第八章:网络地址转换(NAT)
- 格式:ppt
- 大小:1022.00 KB
- 文档页数:37
当前位置:文档之家 › 第八章:网络地址转换(NAT)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第八章 网络地址转换
(理论课时长:6 (理论课时长:6节)
主讲教师:赵怀明 主讲教师:
江西工业职业技术学院
信息工程分院赵怀明教师Βιβλιοθήκη Baidu2009年02月28日 年 月 日
第八章: 第八章:网络地址转换
【教学目的】:通过本章的学习,让学生知道为什么 要进行地址转换、知道解决IP地址不足的四种措施、 知道私有地址和公有地址的分类;掌握网络地址转换 的基本原理,掌握网络地址转换的四种类型;掌握静 态网络地址转换的配置和应用;进一步领会动态地址 转换和端口地址转换的配置和应用。 【重点难点】 –重点:为什么要进行网络地址转换、静态网络地 址转换的原理和配置。 –难点:动态和端口地址转换的原理和配置
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第一部分: 第一部分:NAT概述 概述
二 、私有地址和公有地址
(1)、私有地址是指内部网络(局域网内部)的主机地址, 是指与外部地址相独立的地址域。RFC 1918 为私有、内部使用 保留了A类、B类、C类地址范围各一个。按IANA的规定,私有网 络地址不会在因特网上被分配,而是在一个企业(局域网)内部 使用。各个企业可根据其身身需要来选择一个合适的网络地址。 不同的企业,他们的内部网络地址可以相同。 A类10.0.0.0 -- 10.255.255.255 B类172.16.0.0 -- 172.31.255.255 C类192.168.0.0 -- 192.168.255.255 (2)公有地址:是局域网的外部地址(在因特网上的全 球唯一的IP地址)
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第二部分: 第二部分:NAT分类 分类
TCP负载平衡 由外向内的翻译) 负载平衡( 五 、TCP负载平衡(由外向内的翻译)
以上所有操作是将多个内部地址映射到一个全球地址,从而让内 部多台主机能够利用一个合法的全球地址访问 Internet。和以上操作 不同,TCP负载均衡可以将一个全球地址映射到内部网络的多个地址, 从而实现在多台提供相同服务的主机间进行均衡会话。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第二部分: 第二部分:NAT分类 分类
动态NAT 三 、动态NAT
动态地址NAT是在外部网络中定义了一系列的合法地址,采用动态 分配的方法映射到内部网络。动态地址转换也是将全局地址与内部合 法地址进行一对一的转换,但是动态地址转换是从内部合法地址池选 择一个未使用的内部全局合法地址对内部本地地址进行转换。 当一个局域网中有100台主机,而用户申请到了30个内部合法全球 地址,此时就可以采用动态NAT进行地址转换,使得局域网内的任意30 个用户均可以同时上网。但当内部同时上网的用户多于30个时,因为 NAT转换表中的内部合法全球地址已经被全部使用完毕,后面的用户将 不能访问外网,除非其他用户退出外网访问。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第二部分: 第二部分:NAT分类 分类
(1)内部主机 192.168.1.2 与外部主机通信时,路由器会将内部主 机的身份隐藏起来,将数据包的源地址修改成ISP服务端提供的内部合 法全球IP地址(11.11.11.12),然后再将数据包转发给外部网络。 (2)外部网络要与内部主机 192.168.1.2 通信时,数据包的目的地 址不是 192.168.1.2 ,而是ISP提供的合法全球IP地址 (11.11.11.12),数据包达到NAT路由器时,路由器会根据“NAT转换 表”修改数据包的目的地址,将将数据包转发给指定的内部主机 (192.168.1.2) 静态NAT并不能解决IP地址缺乏问题,这种地址转换技术是出于安 全考虑,是为了隐藏内部主机的真实身份。这种技术的主要原理是为 每一个需要做地址转换的报文分配一个公有网络IP地址(内部全局合 法地址),使用这个IP地址替换原来的报文的源地址。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第二部分: 第二部分:NAT分类 分类
端口地址转换(PAT)或复用动态NAT 四 、端口地址转换(PAT)或复用动态NAT
NAT路由器最强大的功能是它们能支持端口地址转换(Port Address Translation,PAT)或者说支持复用动态NAT,PAT能使多个 内部地址映射到同一个全球地址,所以PAT有时也被称为“多对一NAT”。 使用PAT可以让成千上万的私有地址使用一个全球地址访问Internet。 NAT设备通过映射TCP和UDP端口号来跟踪和记录不同的会话。 NAT复用可以大大减少全球IP地址消耗,但它的能力是有限的。因 为它的能力有限,所以PAT经常与一个到NAT地址池的动态映射一起使 用。这样NAT设备可以先用一对一的动态映射,直到可能的地址几乎被 耗尽,然后NAT将复用剩余的地址。在Cisco路由器上,NAT将首先复用 地址池中的第一个地址,直到达到能力极限,再复用第二个地址,并 且依次类推。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第一部分: 第一部分:NAT概述 概述
网络地址转换(NAT) 四 、网络地址转换(NAT)的定义
网络地址转换(Network Address Translation,NAT)是用 于将一个地址域(如企业内部网Intranet)映射到另一个地址域 (如国际互联网Internet)的标准方法。Nat允许一个机构专用 Intranet 中的主机透明地连接到公共域中的主机,无需内部主 机全部拥有注册的 Internet 地址。 NAT允许一个机构以一个地址出现在Internet上。 NAT可以应用到防火墙技术里,把个别IP地址隐藏起来不被 外界发现,使外界无法直接访问内部网络设备。 采用NAT技术,可以超越地址的限制,合理地安排网络中的 公有Internet 地址和私有IP地址的使用。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第八章: 第八章:网络地址转换
【教学内容】
– – – – – – – – – 为什么需要进行网络地址转换 解决IP不足的四大措施 公有地址和私有地址 网络地址转换的定义 网络地址转换原理 网络地址转换类型 静态地址转换的原理和配置 动态地址转换的原理和配置 端口地址转换的原理和配置
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第二部分: 第二部分:NAT分类 分类
在内部主机连接到外部网络时,当第一个数据包到达NAT路由器时, router 检查它的NAT转换表,然后router将数据包的内部本地地址 (源地址)更换成内部全局合法地址,再转发出去。外部主机接受到 数据包后用接受到的内部全局合法地址来响应,NAT接受到外部回来的 数据包,再根据NAT表把地址翻译成内部本地地址,转发给内部指定主 机。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第二部分: 第二部分:NAT分类 分类
NAT有四种类型 有四种类型: 一、NAT有四种类型:
(1)静态NAT (2)动态NAT (3)端口地址转换 (4)TCP负载平衡
静态NAT 二 、静态NAT
在静态NAT配置中,内部网络中的每个主机都被永久映射成外部网 络中的某个合法地址(是ISP服务商提供的合法的全球IP地址)。静态 地址转换将内部本地地址与内部全局合法地址进行一对一的转换,且 需要指定和哪个合法地址进行转换。如果内部网络有E_MAIL服务器、 WWW服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的 IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第一部分: 第一部分:NAT概述 概述
在使用NAT时,Internet上的主机表面上看起来是直接与NAT 设备通信,而非与专用网络中实际的主机通信。输入的数据包被 发送到NAT设备的IP地址上,并且NAT设备将目的包头地址由自己 的Internet地址变为真正的目的主机的专用网络地址。而结果是, 理论上一个全球唯一IP地址后面可以连接几百台、几千台乃至几 百万台拥有专用地址的主机。 Nat 在常用网络协议上对用户实现“透明”,支持的协议包 括HTTP、Gopher、Telnet、POP、SMTP、IMAP等。但是它存在某 些缺陷,比如,IP安全架构不能跨NAT设备使用,因为包含原始 IP 源地址的原始包头采用了数字签名。如果改变源地址的话, 数字签名将不再有效。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第二部分: 第二部分:NAT分类 分类
当外部主机对 11.11.11.12 地址请求WEB服务时,会 话将会在内部两台提供相同服务的WEB服务器 (192.168.1.2 、192.168.1.3)之间交替,从而可以更好 地为外网客户提供快速的服务。 NAT路由器接受外部主机的请求并依据NAT表建立与内 部主机的连接,把内部合法(目的地址,在此为: 11.11.11.12)翻译成内部局部地址,并转发数据包到内部 主机(可能将数据包转给 192.168.1.2 ,也有可能将数据 包转发给 192.168.1.3),内部主机接受包并做出响应。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第一部分: 第一部分:NAT概述 概述
三 、私有地址与公有地址之间的转换
私有地址是不会在Internet上看见的,使用私有地址 转换的主机是不能直接访问Internet的,同样的道理,在 Internet上也不可能访问到使用私有地址的主机,如果局 域网内的计算机要访问Internet,他就不应该采用私有地 址,而是公有地址----但公有IP地址资源是有限的,许多 局域网内的计算机不得不采用私有地址。解决这个矛盾的 方法就是网络地址转换 网络地址转换。 网络地址转换
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第一部分: 第一部分:NAT概述 概述
NAT地址转换的工作原理 五 、NAT地址转换的工作原理
NAT是一个IETF标准,它使得一个私有网络可以通过 Internet注册IP连接到外部世界,从而使一个使用私有地 址的网络中的主机可以以合法地址出现在Internet上,位 于Inside网络和Outside网络边界上的NAT路由器在发送数 据包之前,负责把内部私有IP地址翻译成内部全局合法IP 地址,反之亦然。它也可以应用到防火墙技术里,把个别 IP地址隐藏起来不被外部发现,使外界无法直接访问内部 网络,从而对内部网络设备起到保护的作用,同时,它还 帮助网络可以超越地址的限制,合理地安排网络中的公有 地址和私有IP地址的使用。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第一部分: 第一部分:NAT概述 概述
Nat技术的工作原理如下图所示。Nat路由器被置于内部网和Internet的 边界上,并且在数据包发送到外部网络之前将数据包的源地址转换为 Internet上的合法地址。当多个内部主机共享一个合法的Internet上的 IP地址时,地址转换是通过端口多路复用技术即改变外出数据包的源端 口并进行端口映射来完成的。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第一部分: 第一部分:NAT概述 概述
解决IP IP地址不足的四种措施 一、解决IP地址不足的四种措施
(1)、VLSM(可变长子网掩码技术):是一种产生不 同大小子网的网络分配机制。它将一个标准网络分成不同 大小的多个子网,从而使得一个标准网络内可以配置多个 不同长度的子网掩码。 (2)、CIDR(无类域间路由技术):通过CIDR技术, 可以将多个连续的C类网络合并成一个超网,满足大型企业 对IP地址的需求(一般应用于路由器) (3)NAT(网络地址转换):使众多的内部主机能使 用一个internet合法地址连接互联网。 (4)IPv6:是终极解决方案。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第八章: 第八章:网络地址转换
【教学方法】 –教学方式:多媒体教学 –教学方法:案例分析+视频教学 通过对比分析让学生掌握静态地址转换、动态地址转 换和端口地址转换的不同和必要性。 利用视频教学资料,使学生在任何时间和地点能重温 教学内容,尽一步掌握静态地址转换、动态地址转换 和端口地址转换的配置和应用。 通过上机实验让学生在boson模拟器的支持下完成静态 网络地址转换的实际配置和应用。
(理论课时长:6 (理论课时长:6节)
主讲教师:赵怀明 主讲教师:
江西工业职业技术学院
信息工程分院赵怀明教师Βιβλιοθήκη Baidu2009年02月28日 年 月 日
第八章: 第八章:网络地址转换
【教学目的】:通过本章的学习,让学生知道为什么 要进行地址转换、知道解决IP地址不足的四种措施、 知道私有地址和公有地址的分类;掌握网络地址转换 的基本原理,掌握网络地址转换的四种类型;掌握静 态网络地址转换的配置和应用;进一步领会动态地址 转换和端口地址转换的配置和应用。 【重点难点】 –重点:为什么要进行网络地址转换、静态网络地 址转换的原理和配置。 –难点:动态和端口地址转换的原理和配置
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第一部分: 第一部分:NAT概述 概述
二 、私有地址和公有地址
(1)、私有地址是指内部网络(局域网内部)的主机地址, 是指与外部地址相独立的地址域。RFC 1918 为私有、内部使用 保留了A类、B类、C类地址范围各一个。按IANA的规定,私有网 络地址不会在因特网上被分配,而是在一个企业(局域网)内部 使用。各个企业可根据其身身需要来选择一个合适的网络地址。 不同的企业,他们的内部网络地址可以相同。 A类10.0.0.0 -- 10.255.255.255 B类172.16.0.0 -- 172.31.255.255 C类192.168.0.0 -- 192.168.255.255 (2)公有地址:是局域网的外部地址(在因特网上的全 球唯一的IP地址)
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第二部分: 第二部分:NAT分类 分类
TCP负载平衡 由外向内的翻译) 负载平衡( 五 、TCP负载平衡(由外向内的翻译)
以上所有操作是将多个内部地址映射到一个全球地址,从而让内 部多台主机能够利用一个合法的全球地址访问 Internet。和以上操作 不同,TCP负载均衡可以将一个全球地址映射到内部网络的多个地址, 从而实现在多台提供相同服务的主机间进行均衡会话。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第二部分: 第二部分:NAT分类 分类
动态NAT 三 、动态NAT
动态地址NAT是在外部网络中定义了一系列的合法地址,采用动态 分配的方法映射到内部网络。动态地址转换也是将全局地址与内部合 法地址进行一对一的转换,但是动态地址转换是从内部合法地址池选 择一个未使用的内部全局合法地址对内部本地地址进行转换。 当一个局域网中有100台主机,而用户申请到了30个内部合法全球 地址,此时就可以采用动态NAT进行地址转换,使得局域网内的任意30 个用户均可以同时上网。但当内部同时上网的用户多于30个时,因为 NAT转换表中的内部合法全球地址已经被全部使用完毕,后面的用户将 不能访问外网,除非其他用户退出外网访问。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第二部分: 第二部分:NAT分类 分类
(1)内部主机 192.168.1.2 与外部主机通信时,路由器会将内部主 机的身份隐藏起来,将数据包的源地址修改成ISP服务端提供的内部合 法全球IP地址(11.11.11.12),然后再将数据包转发给外部网络。 (2)外部网络要与内部主机 192.168.1.2 通信时,数据包的目的地 址不是 192.168.1.2 ,而是ISP提供的合法全球IP地址 (11.11.11.12),数据包达到NAT路由器时,路由器会根据“NAT转换 表”修改数据包的目的地址,将将数据包转发给指定的内部主机 (192.168.1.2) 静态NAT并不能解决IP地址缺乏问题,这种地址转换技术是出于安 全考虑,是为了隐藏内部主机的真实身份。这种技术的主要原理是为 每一个需要做地址转换的报文分配一个公有网络IP地址(内部全局合 法地址),使用这个IP地址替换原来的报文的源地址。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第二部分: 第二部分:NAT分类 分类
端口地址转换(PAT)或复用动态NAT 四 、端口地址转换(PAT)或复用动态NAT
NAT路由器最强大的功能是它们能支持端口地址转换(Port Address Translation,PAT)或者说支持复用动态NAT,PAT能使多个 内部地址映射到同一个全球地址,所以PAT有时也被称为“多对一NAT”。 使用PAT可以让成千上万的私有地址使用一个全球地址访问Internet。 NAT设备通过映射TCP和UDP端口号来跟踪和记录不同的会话。 NAT复用可以大大减少全球IP地址消耗,但它的能力是有限的。因 为它的能力有限,所以PAT经常与一个到NAT地址池的动态映射一起使 用。这样NAT设备可以先用一对一的动态映射,直到可能的地址几乎被 耗尽,然后NAT将复用剩余的地址。在Cisco路由器上,NAT将首先复用 地址池中的第一个地址,直到达到能力极限,再复用第二个地址,并 且依次类推。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第一部分: 第一部分:NAT概述 概述
网络地址转换(NAT) 四 、网络地址转换(NAT)的定义
网络地址转换(Network Address Translation,NAT)是用 于将一个地址域(如企业内部网Intranet)映射到另一个地址域 (如国际互联网Internet)的标准方法。Nat允许一个机构专用 Intranet 中的主机透明地连接到公共域中的主机,无需内部主 机全部拥有注册的 Internet 地址。 NAT允许一个机构以一个地址出现在Internet上。 NAT可以应用到防火墙技术里,把个别IP地址隐藏起来不被 外界发现,使外界无法直接访问内部网络设备。 采用NAT技术,可以超越地址的限制,合理地安排网络中的 公有Internet 地址和私有IP地址的使用。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第八章: 第八章:网络地址转换
【教学内容】
– – – – – – – – – 为什么需要进行网络地址转换 解决IP不足的四大措施 公有地址和私有地址 网络地址转换的定义 网络地址转换原理 网络地址转换类型 静态地址转换的原理和配置 动态地址转换的原理和配置 端口地址转换的原理和配置
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第二部分: 第二部分:NAT分类 分类
在内部主机连接到外部网络时,当第一个数据包到达NAT路由器时, router 检查它的NAT转换表,然后router将数据包的内部本地地址 (源地址)更换成内部全局合法地址,再转发出去。外部主机接受到 数据包后用接受到的内部全局合法地址来响应,NAT接受到外部回来的 数据包,再根据NAT表把地址翻译成内部本地地址,转发给内部指定主 机。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第二部分: 第二部分:NAT分类 分类
NAT有四种类型 有四种类型: 一、NAT有四种类型:
(1)静态NAT (2)动态NAT (3)端口地址转换 (4)TCP负载平衡
静态NAT 二 、静态NAT
在静态NAT配置中,内部网络中的每个主机都被永久映射成外部网 络中的某个合法地址(是ISP服务商提供的合法的全球IP地址)。静态 地址转换将内部本地地址与内部全局合法地址进行一对一的转换,且 需要指定和哪个合法地址进行转换。如果内部网络有E_MAIL服务器、 WWW服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的 IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第一部分: 第一部分:NAT概述 概述
在使用NAT时,Internet上的主机表面上看起来是直接与NAT 设备通信,而非与专用网络中实际的主机通信。输入的数据包被 发送到NAT设备的IP地址上,并且NAT设备将目的包头地址由自己 的Internet地址变为真正的目的主机的专用网络地址。而结果是, 理论上一个全球唯一IP地址后面可以连接几百台、几千台乃至几 百万台拥有专用地址的主机。 Nat 在常用网络协议上对用户实现“透明”,支持的协议包 括HTTP、Gopher、Telnet、POP、SMTP、IMAP等。但是它存在某 些缺陷,比如,IP安全架构不能跨NAT设备使用,因为包含原始 IP 源地址的原始包头采用了数字签名。如果改变源地址的话, 数字签名将不再有效。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第二部分: 第二部分:NAT分类 分类
当外部主机对 11.11.11.12 地址请求WEB服务时,会 话将会在内部两台提供相同服务的WEB服务器 (192.168.1.2 、192.168.1.3)之间交替,从而可以更好 地为外网客户提供快速的服务。 NAT路由器接受外部主机的请求并依据NAT表建立与内 部主机的连接,把内部合法(目的地址,在此为: 11.11.11.12)翻译成内部局部地址,并转发数据包到内部 主机(可能将数据包转给 192.168.1.2 ,也有可能将数据 包转发给 192.168.1.3),内部主机接受包并做出响应。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第一部分: 第一部分:NAT概述 概述
三 、私有地址与公有地址之间的转换
私有地址是不会在Internet上看见的,使用私有地址 转换的主机是不能直接访问Internet的,同样的道理,在 Internet上也不可能访问到使用私有地址的主机,如果局 域网内的计算机要访问Internet,他就不应该采用私有地 址,而是公有地址----但公有IP地址资源是有限的,许多 局域网内的计算机不得不采用私有地址。解决这个矛盾的 方法就是网络地址转换 网络地址转换。 网络地址转换
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第一部分: 第一部分:NAT概述 概述
NAT地址转换的工作原理 五 、NAT地址转换的工作原理
NAT是一个IETF标准,它使得一个私有网络可以通过 Internet注册IP连接到外部世界,从而使一个使用私有地 址的网络中的主机可以以合法地址出现在Internet上,位 于Inside网络和Outside网络边界上的NAT路由器在发送数 据包之前,负责把内部私有IP地址翻译成内部全局合法IP 地址,反之亦然。它也可以应用到防火墙技术里,把个别 IP地址隐藏起来不被外部发现,使外界无法直接访问内部 网络,从而对内部网络设备起到保护的作用,同时,它还 帮助网络可以超越地址的限制,合理地安排网络中的公有 地址和私有IP地址的使用。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第一部分: 第一部分:NAT概述 概述
Nat技术的工作原理如下图所示。Nat路由器被置于内部网和Internet的 边界上,并且在数据包发送到外部网络之前将数据包的源地址转换为 Internet上的合法地址。当多个内部主机共享一个合法的Internet上的 IP地址时,地址转换是通过端口多路复用技术即改变外出数据包的源端 口并进行端口映射来完成的。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第一部分: 第一部分:NAT概述 概述
解决IP IP地址不足的四种措施 一、解决IP地址不足的四种措施
(1)、VLSM(可变长子网掩码技术):是一种产生不 同大小子网的网络分配机制。它将一个标准网络分成不同 大小的多个子网,从而使得一个标准网络内可以配置多个 不同长度的子网掩码。 (2)、CIDR(无类域间路由技术):通过CIDR技术, 可以将多个连续的C类网络合并成一个超网,满足大型企业 对IP地址的需求(一般应用于路由器) (3)NAT(网络地址转换):使众多的内部主机能使 用一个internet合法地址连接互联网。 (4)IPv6:是终极解决方案。
信息工程分院赵怀明教师 2009年02月28日 年 月 日
第八章: 第八章:网络地址转换
【教学方法】 –教学方式:多媒体教学 –教学方法:案例分析+视频教学 通过对比分析让学生掌握静态地址转换、动态地址转 换和端口地址转换的不同和必要性。 利用视频教学资料,使学生在任何时间和地点能重温 教学内容,尽一步掌握静态地址转换、动态地址转换 和端口地址转换的配置和应用。 通过上机实验让学生在boson模拟器的支持下完成静态 网络地址转换的实际配置和应用。