局域网与 Internet 互联

第10章 局域网与Internet互联

教学目标 • 通过本章学习使学员能够：１、了解局域网和Internet互联常用技术；２、掌握NAT技术工作原理； 3、掌握利用NAT/NAPT实现局域网访问互联网的方法。

局域网与Internet互联概述 NAT的工作原理 NAT/NAPT的配置 NAT的监视和维护本章内容

局域网与Internet 互联概述课程议题

什么时候使用NAT 局域网与Internet互联时，需要使用NAT技术

代理服务器 proxy、ISA、ICS、 wingate、sysgate等 NAT/NAPT(网络地址转换/网络地址端口转换) 路由器、防火墙、核心交换机、服务器常见实现方式

解决地址空间不足的问题； IPv4的空间已经严重不足私有IP地址网络与公网互联； 10.0.0.0/8，172.16.0.0/12，192.168.0.0/16 非注册IP地址网络与公网互联；建网时分配了全局IP地址－但没注册网络改造中，避免更改地址带来的风险 NAT/NAPT带来的好处

NAT工作原理 课程议题

概念： NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为 NAT的类型 NAT（Network Address Translation）转换后，一个本地IP地址对应一个全局IP地址 NAPT （Network Address Port Translation）转换后，多个本地地址对应一个全局IP地址什么是NAT/NAPT

NAT中用到的接口类型： 内部网络－Inside 外部网络－Outside NAT中常见的术语：内部本地地址－Inside Local Address 内部全局地址－Inside Global Address 外部本地地址－Outside Local Address 外部全局地址－Outside Global Address NAT/NAPT的术语互联网 Outside Inside 企业内部网外部网

200.8.7.3/24 200.8.7.4/24 NAT工作原理 192.168.1.5 63.5.8.1 192.168.1.7 源IP:200.8.7.3 源IP:200.8.7.3 源IP:192.168.1.7 目的IP:63.5.8.1 目的IP:63.5.8.1 目的IP:63.5.8.1 源IP:63.5.8.1 源IP:63.5.8.1 源IP:63.5.8.1 目的IP:192.168.1.7 目的IP:192.168.1.7 目的IP:200.8.7.3

200.8.7.3/24 NAPT工作原理 192.168.1.5 63.5.8.1 192.168.1.7 Web服务源IP:200.8.7.3:1024 源IP:200.8.7.3:1024 源IP:192.168.1.7:1024 目的IP:63.5.8.1:80 目的IP:63.5.8.1:80 目的IP:63.5.8.1:80 源IP:63.5.8.1 :80 源IP:63.5.8.1 :80 源IP:63.5.8.1:80 目的IP:192.168.1.7:1024 目的IP:192.168.1.7:1024 目的IP:200.8.7.3:1024

在以下几种情况下，需要使用NAPT技术： 缺乏全局IP地址,甚至没有专门申请的全局IP地址，只有一个连接ISP的全局IP地址内部网要求上网的主机数很多提高内网的安全性使用NAPT的情况

NAT/NAPT的配置 课程议题

NAT/NAPT的配置有两种 静态NAT/NAPT 动态NAT/NAPT 静态NAT/NAPT 需要向外网络提供信息服务的主机永久的一对一IP地址映射关系动态NAT/NAPT 只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数临时的一对一IP地址映射关系 NAT/NAPT的配置

配置步骤 1、定义内网接口和外网接口 Router(config)#interface fastethernet 1/0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 1/1 Router(config-if)#ip nat inside 2、建立静态的映射关系 Router(config)#ip nat inside source static 192.168.1.7 200.8.7.3 静态NAT

1、定义内网接口和外网接口 Router(config)#interface fastethernet 0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 1 Router(config-if)#ip nat inside 2、建立静态的映射关系 Router(config)#ip nat inside source static tcp 192.168.1.7 1024 200.8.7.3 1024 Router(config)#ip nat inside source static udp 192.168.1.7 1024 200.8.7.3 1024 静态NAPT

1、定义内网接口和外网接口 Router(config-if)#ip nat outside Router(config-if)#ip nat inside 2、定义内部本地地址范围 Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 3、定义内部全局地址池 Router(config)#ip nat pool abc 200.8.7.3 200.8.7.10 netmask 255.255.255.0 4、建立映射关系 Router(config)#ip nat inside source list 10 pool abc 动态NAT配置

1、定义内网接口和外网接口 Router(config-if)#ip nat outside Router(config-if)#ip nat inside 2、定义内部本地地址范围 Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 3、定义内部全局地址池 Router(config)#ip nat pool abc 200.8.7.3 200.8.7.3 netmask 255.255.255.0 4、建立映射关系 Router(config)#ip nat inside source list 10 pool abc overload 动态NAPT配置

NAT的监视和维护 课程议题

显示命令 show ip nat statistics 显示翻译统计 show ip nat translations [verbose] 显示活动翻译清除状态命令 clear ip nat translation * 从NAT转换表中清除所有动态地址转换项 NAT/NAPT的监视和维护命令

限制影响网络性能不能处理IP报头加密的报文；无法实现端到端的路径跟踪（traceroute) 某些应用可能支持不了：内嵌IP地址内嵌IP地址的应用有： FTP DNS NetMeeting H.323,VoIP 其它自编应用 NAT与应用的兼容性问题，详见RFC 3027 NAT/NAPT带来的限制

局域网与Internet互联概述 NAT的工作原理 NAT/NAPT的配置 NAT的监视和维护课程回顾

The End

局域网与 Internet 互联