网络地址转换技术.ppt

网络地址转换技术 议程 为什么需要 NAT NAT基本概念 NAT应用实例 NAT的监视和维护命令 NAT/NAPT带来的好处 解决IPv4地址空间不足的问题； 私有IP地址网络与公网互联； /8，/12，/16 非注册IP地址网络与公网互联； 建网时分配了全局IP地址－但没注册 网络改造中，避免更改地址带来的风险； TCP流量的负载均衡 NAT/NAPT带来的限制 限制 影响网络性能 不能处理IP报头加密的报文； 无法实现端到端的路径跟踪（traceroute) 某些应用可能支持不了：内嵌IP地址 内嵌IP地址的应用有： FTP DNS NetMeeting H.323,VoIP 其它自编应用 议程 为什么需要 NAT NAT基本概念 NAT应用实例 NAT的监视和维护命令 什么是NAT/NAPT NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为 纯软件NAT 防火墙NAT 路由器NAT NAT的类型 NAT（Network Address Translation） 转换后，一个本地IP地址对应一个全局IP地址 NAPT （Network Address Port Translation） 转换后，多个本地地址对应一个全局IP地址 NAT/NAPT的术语 内部网络 － Inside 外部网络 － Outside 内部本地地址－Inside Local Address 内部全局地址－Inside Global Address 外部本地地址－Outside Local Address 外部全局地址－Outside Global Address 议程 为什么需要 NAT NAT基本概念 NAT应用实例 NAT的监视和维护命令 什么时候用NAT NAT：以IP地址为操作对象 如果你需要优化网络性能 如果你有足够多的全局IP地址 如果你的网络主机数也很少 静态与动态NAT 静态NAT 需要向外网络提供信息服务的主机 永久的一对一IP地址映射关系 动态NAT 只访问外网服务，不提供信息服务的主机 内部主机数可以大于全局IP地址数 最多访问外网主机数决定于全局IP地址数 临时的一对一IP地址映射关系 NAT示例 配置静态NAT (config)#ip nat inside source static local-address global-address 定义内部源地址静态转换关系 (config)# interface interface-type interface-number (config-if)#ip nat inside 定义该接口连接内部网络 (config)# interface interface-type interface-number (config-if)#ip nat outside 定义接口连接外部网络 配置动态NAT (config)#ip nat pool address-pool start-address end-address {netmask mask | prefix-length prefix-length} 定义全局IP地址池 (config)#access-list access-list-number permit ip-address wildcard 定义访问列表，只有匹配该列表的地址才转换 (config)#ip nat inside sourcelist access-list-number pool address-pool 定义内部源地址动态转换关系 (config)# interface interface-type interface-number (config-if)#ip nat inside 定义该接口连接内部网络 (config)# interface interface-type interface-number (config-if)#ip nat outside 定义接口连接外部网络 什么时候用NAPT 缺乏全局IP地址 甚至没有专门申请的全局IP地址，只有一个连接ISP的全局IP地址 内部网要求上网的主机数很多 提高内网的安全性 静态与动态NAPT 静态NAPT 需要向外网络提供信息服务的主机 永久的一对一“IP地址 + 端口”映射关系 动态NAPT 只访问外网服务，不提供信息服务的主机 临时的一对一“IP地址＋ 端口”映射关系 NAPT示例 配置静态NAPT (config)#ip nat inside source static {UDP | TCP} local-address port global-address port 定义全局IP地址池 (con