NAT实例教程_图文.ppt

实例效果
D 内网用户通过NAT服务器成功访问公网资源，
NAT服务器记录转换日志便于排查问题。
05 NAT故障排除与诊断
常见NAT故障现象及原因
01
02
03
无法实现地址转换
可能是由于NAT配置错误、 地址池耗尽或网络设备故 障等原因导致。
网络性能下降
NAT处理过程中可能出现 性能瓶颈，如CPU占用率 高、内存不足等，导致网 络传输延迟和抖动。
在出口路由器上应用NAT 配置，`ip nat inside`和`ip nat outside`分别指定内外 网接口。
动态NAT配置注意事项
确保内部本地地址与内部全 局地址不重叠，以避免地址 冲突。
合理规划公网IP地址池，确 保足够的地址资源供NAT转 换使用。
在配置动态NAT映射时，注 意访问控制列表的匹配条件， 确保需要转换的地址能够被 正确匹配。
03
NAPT（Network Address Port Translation，网络地址 端口转换）：除了转换IP地址外，还同时转换端口号，实 现多个私有网络主机共享一个公网IP地址。适用于公网IP 地址资源紧张的场景。
NAT应用场景及优势
应用场景：家庭网络、企业网络、运营商网络等需要实现私 有网络地址与公网地址转换的场景。 优势 缓解IPv4地址短缺问题，提高公网IP地址利用率。 隐藏内部网络结构，提高网络安全性。 实现网络地址与端口的复用，降低网络成本。
NAT技术展望与发展趋势
IPv6与NAT
NAT与云计算
随着IPv6的普及，NAT的需求将逐渐减少 ，但NAT技术仍将在某些场景下发挥作用 。
在云计算环境中，NAT技术可以帮助实现 虚拟机之间和虚拟机与外部网络之间的通 信。

2.2 NAT实现分类 STUN协议（后面详细介绍）把NAT分为如下几 种类型。 1．完全锥形NAT(Full Cone) 对于全锥形NAT的 情形，当内部主机发起一个至外网的会话时， NAT为其建立一个私有<IP：端口>地址和公有 <IP：端口>地址之间的绑定，然后该主机地址 至外网的任意会话将重用这个公有<IP：端口> 地址，同样，外部任意应用都可通过该公有<IP： 端口>地址到达该内部主机地址。只要有一个连 接会话存在，这个绑定就始终保持激活状态。 可用图1来表示完全锥型NAT的性质。
当内部主机访问Internet或者与外部网络主 机进行通信的时候将涉及地址转换的问题。 NAT设备通过把内部网络主机的IP地址和端 口号转换为外部公有IP地址和端口号，达到 内部网络访问Internet和外部网络主机的目 的。同理通过配置内部网络的应用服务器， 外部网络主机也可以访问并获得内部服务器 提供的服务。
3．端口受限制锥形(Port Restricted Cone) 端 口受限制锥形类似于受限制锥形，但限制更 加严格。只有当内部主机曾经向外部主机地 址上的某个特定端口发送过数据包，这个外 部主机才可以用该特定端口向内部主机发送 数据。可以理解为对外部主机的IP地址和端 口同时进行了限制。图3表示了端口受限制锥 型的概念。
4.对称类型(Symmetric) 该类型的限制 最为严格。对称类型NAT会为内部主机 向外部主机的每一个会话(Session)建立 全新的端口映射，即源地址和端口加上 目的地址端口其中任意一个有变化，则 映射关系也会不同，如图4。
三、STUN协议
STUN （Simple Traversal of UDP over NATs， NAT 的UDP简单穿越）是一种网络协议，它允 许位于NAT（或多重NAT）后的客户端找出自 己的公网地址，查出自己位于哪种类型的NAT 之后以及NAT为某一 个本地端口所绑定的 Internet端端口。这些信息被用来在两个同时处 于NAT 路由器之后的主机之间建立UDP通信Байду номын сангаас 该协议由RFC 3489定义。

配置SNAT对应访问策略
防火墙 > 安全策略 > IPv4安全策略，点击『新建』按钮创建策略规则
配置DNAT对应访问策略
防火墙 > 安全策略 > IPv4安全策略，点击『新建』按钮创建策略规则
02 源NAT
源NAT-转换过程（1）
10.1.1.2 10.1.1.3 ge1 PC
200.0.0.2 ge10
100.0.0.1 Server
SNAT （静态）
SNAT （动态端口）
SA 10.1.1.2
SA 10.1.1.2:3678
SA 10.1.1.3:3678
DA 100.0.0.1
• 定义：源NAT地址转换是内网用户要访问外网时，内网地址转换为 公网地址，然后才可以访问互联网上的资源的 目的NAT地址转换是外网地址要访问内网服务器时，内网服务器地 址映射为外网地址，而外网用户通过访问该映射的外网地址就可以 访问内网服务器了，这样可以保护内部服务器的安全
• NAT 的配置分为： 源地址转换（Source） 、 目的地址转换（Destination） 及静态地址转换（Static） 三种类型。
200.0.0.2:60005
DA 100.0.0.1:80
100.0.0.1:80 DA 100.0.0.2:80
源NAT-WebUI配置
网络配置> NAT 选中<源NAT>项，点击『新建』按钮创建源NAT规则 网络配置> NAT 选中<地址池>项，点击『新建』按钮创建转换后的地址池
03 目的NAT
05 NAT匹配顺序与 相关策略
NAT匹配规则
NAT规则匹配顺序 每一条NAT 都有唯一一个ID 号。流量进入安全网关时，安全网关对NAT规则进行顺序 查找，然后按照查找到的相匹配的第一条规则对流量的 IP 做NAT转换。ID 的大小顺序 并不是规则匹配顺序。使用show running-config nat 命令列出的规则顺序才是规则匹 配顺序。通过移动已有的NAT 规则从而改变规则的排列顺序。

14
NAT的基本工作原理
• NAT的基本工作方式：
– NAT－一对一的地址转换 – PAT－多对一的地址转换 – NPAT－多对多的地址转换
15
NAT的基本工作原理
• NAT方式
16
NAT的基本工作原理
• NAT方式
– 在出方向上转换IP报文头中的源IP地址，而不 对端口进行转换。
– 在私有网络地址和外部网络地址之间建立一对 一映射，实现比较简单
NAT的基本工作原理
• 内部服务器
21
NAT的基本工作原理
• 利用ACL控制地址转换
可以使用地 址转换访问
Internet
不能访问 Internet
22
NAT的基本工作原理
• DNS和内部服务器使用私网地址
– 由于内部www服务器和DNS服 务器都在一个私网内，这样， 当内部DNS进行为内部服务器 进行域名到IP地址的转换时， 会得到一个内部网的IP地址， 然后DNS将这个内部地址返回 给外部要访问的内部服务器的 主机。而这个地址由于是私网 地址，所以外部网访问不到。
9
NAT基本概念
• 转换关联
– 转换关联就是将一个地址池和一个访问列表关
联起来，这种关联指定了“具有某些特征的IP
报文”是使用“这样的地址池中的地址”，而
另一些可能是使用另外一个地址池中的地址。
在地址转换时，是根据这样的对应进行地址转
换的。当一个内部网络的数据包文发往外部网
络时，首先根据访问列表判定是否是允许的数
7
NAT基本概念
• 地址池
– 地址池是由一些外部地址（全球唯一的IP地址 ）组合而成的，我们称这样的一个地址集合为 地址池。在内部网络的数据包通过地址转换达 到外部网络时，将会选择地址池中的某个地址 作为转换后的源地址，这样可以有效利用用户 的外部地址，提高内部网络访问外部网络的能 力。

▪ 建立内部本地地址与内部全局地址间的静态转换
RouterX(config-if)# ip nat inside
▪ 将该接口标记为连接内部网络的接口
RouterX(config-if)# ip nat outside
▪ 将该接口标记为连接外部网络的接口
RouterX# show ip nat translations
一个Outside网络中的设备，在Inside的IP地址，即外部主机由NAT 设备转换后的地址
➢ Outside global address(外部全局地址)：
一个Outside网络中的设备，在Outside的IP地址，即外部主机的真 实地址
配置和检验静态转换
RouterX(config)# ip nat inside source static local-ip global-ip
▪ 显示活动的转换
大家学习辛苦了，还是要坚持
继续保持安静
启用静态 NAT 地址映射示例
interface s0 ip address 192.168.1.1 255.255.255.0 ip nat outside ! interface e0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! ip nat inside source static 10.1.1.2 192.168.1.2
过载内部全局地址示例
hostname RouterX ! interface Ethernet0 ip address 192.168.3.1 255.255.255.0 ip nat inside ! interface Ethernet1 ip address 192.168.4.1 255.255.255.0 ip nat inside ! interface Serial0 description To ISP ip address 172.17.38.1 255.255.255.0 ip nat outside ! ip nat inside source list 1 interface Serial0 overload ! ip route 0.0.0.0 0.0.0.0 Serial0 ! access-list 1 permit 192.168.3.0 0.0.0.255 access-list 1 permit 192.168.4.0 0.0.0.255 !

上海师范大学数理信息学院
常见心律失常心电图诊断的误区诺如 病毒感 染的防 控知识 介绍责 任那些 事浅谈 用人单 位承担 的社会 保险法 律责任 和案例 分析现 代农业 示范工 程设施 红地球 葡萄栽 培培训 材料
IP地址解析的考虑
✓ 连接到互联网的一个网卡必须指定一个互联网服务提供商(ISP)向 你提供的IP地址
✓ 让客户机指向你的DNS服务器而不是你的互联网服务提供商的
DNS服务器
上海师范大学数理信息学院
常见心律失常心电图诊断的误区诺如 病毒感 染的防 控知识 介绍责 任那些 事浅谈 用人单 位承担 的社会 保险法 律责任 和案例 分析现 代农业 示范工 程设施 红地球 葡萄栽 培培训 材料
NAT的技术背景
常见心律失常心电图诊断的误区诺如 病毒感 染的防 控知识 介绍责 任那些 事浅谈 用人单 位承担 的社会 保险法 律责任 和案例 分析现 代农业 示范工 程设施 红地球 葡萄栽 培培训 材料
NAT常用术语
✓ 内部本地地址（inside local）
➢ 只能在本地网络中路由的地址，是本地网络的真实地址
常见心律失常心电图诊断的误区诺如 病毒感 染的防 控知识 介绍责 任那些 事浅谈 用人单 位承担 的社会 保险法 律责任 和案例 分析现 代农业 示范工 程设施 红地球 葡萄栽 培培训 材料
Unit 11 网络地址转换(NAT)
✓实验目的
➢了解NAT的工作原理。
✓实验内容
➢了解NAT的工作原理，实现由内网通过 NAT访问因特网；端口映射
Inside Outside
SA 192.168.0.1
SA 61.129.78.23
NAT
Internet
✓ NAT可以缓解IP地址耗尽的问题 ✓ NAT对于用户是透明的 ✓ 使具有私有地址的主机可与互联网上的其它主机通讯 ✓ 可以让具有重叠IP地址的主机之间进行通讯 ✓ 可以使用多台服务器进行负载均衡

13
静态NAT配置 静态NAT配置3-1 配置3
Internet 61.159.62.129 192.168.100.1 NAT外部端口 外部端口
NAT内部端口 内部端口
内部网络
192.168.100.2-192.168.100.6/24
将内部网络地址192.168.100.2将内部网络地址192.168.100.2-192.168.100.6, Chapter 转换为合法的外部地址61.159.62.130转换为合法的外部地址61.159.62.13061.159.62.134
2
10.1.1.1
1
internet 10.1.1.1 外部主机B 外部主机
4
主机A 主机 NAT
3
经过路由器转换的包 经过路由器转换的包 SA=192.2.2.1
内部全局地址
主机A发出的包 主机 发出的包
1
外部局部地址
2
10.1.1.2 外部主机C 外部主机
SA=10.1.1.1 DA＝193.3.3.1 ＝
静态NAT配置 静态NAT配置3-3 配置3
5
192.168.100.6 DA
192.168.100.2
3
SA
61.159.62.130
4
155.34.2.3 外部主机
Internet 192.168.100.3
1
SA
2 NAT转换 转换
61.159.62.129 192.168.100.1
协议
TCP TCP TCP
172.20.7.3
外部主机B 外部主机B Internet 10.1.1.2
1
SA
10.1.1.1 172.21.7.3

私有IP地址范围
• A 类：10.0.0.0～10.255.255.255 • B 类：172.16.0.0～172.31.255.255 • C 类：192.168.0.0～192.168.255.255
NAT技术与传统技术原理图
家用路由器的设置
总结路由器常用功能
• 1，在公网与公网之间，私网与私网之间， 对不同局域网进行的连接 • 2，路径的选择 • 3，在公网与私网之间， NAT？
• 网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种 将私有IP地址转化为合法公有IP地址的转换技 术，它被广泛应用于各种类型Internet接入方 式和各种类型的网络中。 • 原因很简单，私有IP能重复使用，公有IP资源 有限，NAT不仅完美地解决了lP地址不足的问 题，而且还能够有效地避免来自网络外部的攻 击，隐藏并保护网络内部的计算机。