1、成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院2024-6-291成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院内容要求内容要求 理解理解NAT与与NAPT的基本知识的基本知识 掌握利用动态掌握利用动态NAPT实现局域网访问互联网的配置实现局域网访问互联网的配置 掌握利用动态掌握利用动态NAT实现外网络访问内部网络的配置实现外网络访问内部网络的配置重点重点 理解理解NAT的基本知识的基本知识 掌握配置掌握配置NAT的基本命令和配置流程的基本命令和配置流程难点难点 掌握利用掌握利用NAT实现局域网访问互联网的配置实现局域网访问互联网的配置 掌握利用掌握利用
2、NAT实现外网络访问内部网络的配置实现外网络访问内部网络的配置2024-6-292成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院NAT 简介 NAT(Network Address Translation Network Address Translation),),中文译名:网络地址转换中文译名:网络地址转换 目前互联网的一个重要问题是目前互联网的一个重要问题是IP IP 地址空间的地址空间的衰竭,衰竭,NAT NAT 的使用缓解了该问题。的使用缓解了该问题。NAT NAT 特性的使特性的使用,使得一个组织的用,使得一个组织的IP IP 网络呈现给外部网络的网络呈现给外部
3、网络的IP IP 地址,可以与正在使用的地址,可以与正在使用的IP IP 地址空间完全不同。地址空间完全不同。这样一个组织就可以将本来非全局可路由地址通这样一个组织就可以将本来非全局可路由地址通过过NAT NAT 之后,变为全局可路由地址,实现了原有之后,变为全局可路由地址,实现了原有网络与互联网的连接,而不需要重新给每台主机网络与互联网的连接,而不需要重新给每台主机分配分配IP IP 地址。关于地址。关于NAT NAT 的详细描述,请参见的详细描述,请参见RFC3022RFC3022。2024-6-293成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院 什么时候需要什么时候
4、需要NAT?l 主机没有全局唯一的可路由主机没有全局唯一的可路由IP IP 地址,却需要与互联网连接。地址,却需要与互联网连接。NAT NAT 使使得用得用非注册非注册IP IP 地址构建的私有网络可以与互联网连通地址构建的私有网络可以与互联网连通,这也是,这也是NAT NAT 最重要的用处之一。最重要的用处之一。NAT NAT 在连接内部网络和外部网络的边界路由器上在连接内部网络和外部网络的边界路由器上进行配置,当内部网络主机访问外部网络时,将内部网络地址转换为进行配置,当内部网络主机访问外部网络时,将内部网络地址转换为全局唯一的可路由全局唯一的可路由IP IP 地址。地址。l 你必须变更内
5、部网络的你必须变更内部网络的IP IP 地址地址。为了避免花费大量工作在。为了避免花费大量工作在IP IP 地址的地址的重新分配上,你可以选择使用重新分配上,你可以选择使用NATNAT,这样内部网络地址分配可以保持,这样内部网络地址分配可以保持不变。不变。l 需要做需要做TCP TCP 流量的负载均衡流量的负载均衡,又不想购买昂贵的专业设备。你可以将,又不想购买昂贵的专业设备。你可以将单个全局单个全局IP IP 地址对应到多个内部地址对应到多个内部IP IP 地址,这样地址,这样NAT NAT 就可以通过轮询就可以通过轮询方式实现方式实现TCP TCP 流量的负载均衡。流量的负载均衡。作为网络
6、互通问题的解决方案,在实际应用中,作为网络互通问题的解决方案,在实际应用中,NAT NAT 只能允许内只能允许内部网络部分的主机地址同时可以转换到全局可路由地址,部网络部分的主机地址同时可以转换到全局可路由地址,这种地址转这种地址转换是不固定的换是不固定的,只要有空余的全局可路由地址,内部主机地址就可以,只要有空余的全局可路由地址,内部主机地址就可以得到转换。当然做网络地址端口转换得到转换。当然做网络地址端口转换(NAPT)(NAPT),可以很大缓解全局地址,可以很大缓解全局地址不足问题,使得更多的内部主机地址得到转换,但不足问题,使得更多的内部主机地址得到转换,但NAPT NAPT 一般只适
7、合一般只适合客户端主机地址的转换。客户端主机地址的转换。2024-6-294成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院应用应用NAT带来的限制带来的限制l 影响网络速度影响网络速度,NAT NAT 的应用可能会使的应用可能会使NAT NAT 设备可能成为网设备可能成为网络的瓶颈,随着软、硬件技术的发展,该问题已经逐渐得络的瓶颈,随着软、硬件技术的发展,该问题已经逐渐得到改善。到改善。l 跟某些应用不兼容跟某些应用不兼容,如果一些应用在有效载荷中协商下次,如果一些应用在有效载荷中协商下次会话的会话的IP IP 地址和端口号,地址和端口号,NAT NAT 将无法对内嵌将无法
8、对内嵌IP IP 地址进行地址进行地址转换,造成这些应用不能正常运行。地址转换,造成这些应用不能正常运行。l 地址转换不能处理地址转换不能处理IPIP报头加密的报文。报头加密的报文。l 无法实现对无法实现对IP IP 端到端的路径跟踪端到端的路径跟踪,经过,经过NAT NAT 地址转换之地址转换之后,对数据包的路径跟踪将变得十分困难。后,对数据包的路径跟踪将变得十分困难。2024-6-295成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院 NAT NAT 的一些术语的一些术语 inside inside 表示内部网络,这些网络的地址需要被转换。在内部网络,每台表示内部网络,这
9、些网络的地址需要被转换。在内部网络,每台主机都分配一个内部主机都分配一个内部IP IP 地址,但与外部网络通讯时,又表现为另外一个地址。地址,但与外部网络通讯时,又表现为另外一个地址。每台主机的前一个地址又称为内部本地地址,后一个地址又称为外部全局地每台主机的前一个地址又称为内部本地地址,后一个地址又称为外部全局地址。址。outside outside 是指内部网络需要连接的网络,一般指互联网,也可以是另外是指内部网络需要连接的网络,一般指互联网,也可以是另外一个机构的网络。外部的地址也可以被转换,外部主机也同时具有内部地址一个机构的网络。外部的地址也可以被转换,外部主机也同时具有内部地址和外
10、部地址。和外部地址。综上所述,综上所述,NAT NAT 做了以下定义:做了以下定义:l 内部本地地址(内部本地地址(Inside Local AddressInside Local Address),是指分配给内部网络主机的是指分配给内部网络主机的IP IP 地地址,该地址可能是非法的未向相关机构注册的址,该地址可能是非法的未向相关机构注册的IP IP 地址,也可能是合法的私有地址,也可能是合法的私有网络地址。网络地址。l 内部全局地址(内部全局地址(Inside Global AddressInside Global Address),合法的全局可路由地址,在外),合法的全局可路由地址,在外
11、部网络代表着一个或多个内部本地地址。部网络代表着一个或多个内部本地地址。l 外部本地地址(外部本地地址(Outside Local AddressOutside Local Address),外部网络的主机在内部网络中表外部网络的主机在内部网络中表现的现的IP IP 地址,该地址是内部可路由地址,一般不是注册的全局唯一地址。地址,该地址是内部可路由地址,一般不是注册的全局唯一地址。l 外部全局地址(外部全局地址(Outside Global AddressOutside Global Address),外部网络分配给外部主机的外部网络分配给外部主机的IP IP 地址,该地址为全局可路由地址。地
12、址,该地址为全局可路由地址。2024-6-296成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院NAT与与NAPT NAPTNAPT是指网络端口地址转换,传统的是指网络端口地址转换,传统的NAT NAT 一一般是指一对一的地址映射,不能同时满足所有的般是指一对一的地址映射,不能同时满足所有的内部网络主机与外部网络通讯的需要。使用内部网络主机与外部网络通讯的需要。使用NAPTNAPT,可以将多个内部本地地址映射到一个内部全局地可以将多个内部本地地址映射到一个内部全局地址,路由器用址,路由器用“内部全局地址内部全局地址+TCP/UDP+TCP/UDP 端口号端口号”来对应来对应“
13、一个内部主机地址一个内部主机地址+TCP/UDP+TCP/UDP 端口号端口号”。当进行当进行NAPT NAPT 转换时,路由器需要维护足够的信息转换时,路由器需要维护足够的信息(比如(比如IPIP地址、地址、TCP/UDP TCP/UDP 端口号)才能将全局地端口号)才能将全局地址转换回内部本地地址。址转换回内部本地地址。2024-6-297成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院动态动态NAPTNAPT实现局域网访问互联网的配置实现局域网访问互联网的配置基本网络拓扑:基本网络拓扑:2024-6-298成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学
14、院动态动态NAPTNAPT实现局域网访问互联网的配置实现局域网访问互联网的配置步骤步骤1.局域网路由器配置局域网路由器配置RedGiant(config)#hostname lan-routerLan-router(config)#interface fastethernet 1/0Lan-router(config-if)#ip address 172.16.1.1 255.255.255.0Lan-router(config-if)#no shutdownLan-router(config-if)#exitLan-router(config)#interface serial 1/2Lan
15、-router(config-if)#ip address 200.1.8.7 255.255.255.0Lan-router(config-if)#no shutdownLan-router(config-if)#exit2024-6-299成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院动态动态NAPTNAPT实现局域网访问互联网的配置实现局域网访问互联网的配置互联网路由器配置互联网路由器配置Internet-router(config)#interface fastethernet 1/0Internet-router(config-if)#ip address 63.
16、19.6.1 255.255.255.0Internet-router(config-if)#no shutdownInternet-router(config-if)#exitInternet-router(config)#interface serial 1/2Internet-router(config-if)#ip address 200.1.8.8 255.255.255.0Internet-router(config-if)#clock rate 64000Internet-router(config-if)#no shutdownInternet-router(config-if
17、)#end2024-6-2910成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院动态动态NAPTNAPT实现局域网访问互联网的配置实现局域网访问互联网的配置在在lan-router上配置缺省路由上配置缺省路由Lan-router(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2验证测试验证测试:Internet-router#ping 200.1.8.7!在外网路由器上在外网路由器上ping内网路由器内网路由器2024-6-2911成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院动态动态NAPTNAPT实现局域网访问互联
18、网的配置实现局域网访问互联网的配置配置动态的配置动态的NAPT映射映射Lan-router(config)#interface fastethernet 1/0Lan-router(config-if)#ip nat insideLan-router(config)#interface serial 1/2 Lan-router(config-if)#ip nat outsideLan-router(config-if)#exitLan-router(config)#ip nat pool to-internet 200.1.8.7 200.1.8.7 netmask 255.255.255.
19、0 !定义内部全局地址池定义内部全局地址池Lan-router(config)#access-list 10 permit 172.16.1.0 0.0.0.255!定义允许转换的地址!定义允许转换的地址Lan-router(config)#ip nat inside source list 10 pool to_internet overload!为内部本地调用转换地址池为内部本地调用转换地址池2024-6-2912成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院动态动态NATPNATP实现局域网访问互联网的配置实现局域网访问互联网的配置验证测试:验证测试:1、在服务器、在
20、服务器63.19.6.2上配置上配置web服务服务2、在、在PC机测试访问机测试访问63.19.6.2的网页的网页3、在路由器、在路由器lan-router上查看上查看NAPT映射关系映射关系Lan-router#show ip nat translations注意事项注意事项l 不要把不要把inside和和outside应用的接口弄错应用的接口弄错l 要加上能使数据包向外转发的路由,比如默认路由。要加上能使数据包向外转发的路由,比如默认路由。l 尽量不要用广域网接口地址作为映射的全局地址。尽量不要用广域网接口地址作为映射的全局地址。2024-6-2913成都信息工程大学成都信息工程大学 网络
21、空间安全学院网络空间安全学院网络拓扑网络拓扑2024-6-2914成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院步骤步骤1.基本配置基本配置Red-Giant(config)#hostname lan-routerLan-router(config)#interface fastethernet 1/0Lan-router(config-if)#ip address 172.16.8.1 255.255.255.0Lan-router(config-if)#no shutdownLan-router(config-if)#exitLan-router(config)#int
22、erface serial 1/2Lan-router(config-if)#ip address 200.1.8.7 255.255.255.0Lan-router(config-if)#no shutdownLan-router(config-if)#exit2024-6-2915成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院外网路由器配置外网路由器配置Internet-router(config)#interface fastethernet 1/0Internet-router(config-if)#ip address 63.19.6.1 255.255.255.
23、0Internet-router(config-if)#no shutdownInternet-router(config-if)#exitInternet-router(config)#interface serial 1/2Internet-router(config-if)#ip address 200.1.8.8 255.255.255.0Internet-router(config-if)#clock rate 64000Internet-router(config-if)#no shutdownInternet-router(config-if)#end2024-6-2916成都信
24、息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院在在lan-router上配置缺省路由上配置缺省路由Lan-router(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2验证测试验证测试:Internet-router#ping 200.1.8.7!在外网路由器上在外网路由器上ping内网路由器内网路由器2024-6-2917成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院步骤步骤2.配置反向配置反向NAT映射映射Lan-router(config)#interface fastethernet 1/0Lan-router(c
25、onfig-if)#ip nat insideLan-router(config)#interface serial 1/2 Lan-router(config-if)#ip nat outsideLan-router(config-if)#exitLan-router(config)#ip nat pool web_server 172.16.8.5 172.16.8.5 netmask 255.255.255.0 !定义内网服务器地址池定义内网服务器地址池Lan-router(config)#access-list 3 permit 200.1.8.7 0.0.0.255!定义外网的公网!
26、定义外网的公网IP地址地址Lan-router(config)#ip nat inside destnation list 3 pool web_server!将外网的公网将外网的公网ip地址转换为地址转换为web服务器地址服务器地址Lan-router(config)#ip nat inside source static tcp 172.16.8.5 80 200.1.8.7 80!定义访问外网定义访问外网IP的的80端口时转换为内网的服务器端口时转换为内网的服务器IP的的80端口端口2024-6-2918成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院步骤步骤3.验证测
27、试验证测试1、在内网主机上配置、在内网主机上配置web服务服务2、在外网的、在外网的1 台主机通过台主机通过IE浏览器访问浏览器访问200.1.8.73、可以用下面命令查看映射关系、可以用下面命令查看映射关系Lan-router#show ip nat translation2024-6-2919成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院1、完成本节要求的、完成本节要求的2个个NAT实验实验2、将实验步骤和测试结果写入实验报告、将实验步骤和测试结果写入实验报告3、每人一份实验报告,并计入平时成绩、每人一份实验报告,并计入平时成绩2024-6-2920成都信息工程大学成都信息工程大学 网络空间安全学院网络空间安全学院NAT中有几种不同的地址?含义是什么?中有几种不同的地址?含义是什么?NAT与与NATP的区别?的区别?NAT转换地址的详细过程描述?转换地址的详细过程描述?2024-6-2921