第10章 局域网与Internet互联 RCNA_T010
教学目标 通过本章学习使学员能够: 1、了解局域网和Internet互联常用技术; 2、掌握NAT技术工作原理; 3、掌握利用NAT/NAPT实现局域网访问互联网的方法。 第二页PPT为本章教学目标,用于使学员理解教学目的,以达成学习目标。 “本章内容”使用30磅黑体,黑色,加阴影; 正文占位符位于PPT空白部分最中央; 一级标题使用21磅黑体,暗红色,加阴影;左对齐,项目编号统一;行距1.5; 如一级标题内包含多项二级标题,可增加二级标题,但仅限二级标题; 二级标题使用18磅华文细黑,黑色,加阴影;左对齐,项目编号统一;行距1.3。 页面中图片大小、位置、版式不得更改。
本章内容 局域网与Internet互联概述 NAT的工作原理 NAT/NAPT的配置 NAT的监视和维护
课程议题 局域网与Internet 互联概述
什么时候使用NAT 局域网与Internet互联时,需要使用NAT技术
常见实现方式 代理服务器 NAT/NAPT(网络地址转换/网络地址端口转换) proxy、ISA、ICS、 wingate、sysgate等 路由器、防火墙、核心交换机、服务器
NAT/NAPT带来的好处 解决地址空间不足的问题; 私有IP地址网络与公网互联; 非注册IP地址网络与公网互联; IPv4的空间已经严重不足 私有IP地址网络与公网互联; 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 非注册IP地址网络与公网互联; 建网时分配了全局IP地址-但没注册 网络改造中,避免更改地址带来的风险
课程议题 NAT工作原理
什么是NAT/NAPT 概念: NAT的类型 NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为 NAT(Network Address Translation) 转换后,一个本地IP地址对应一个全局IP地址 NAPT (Network Address Port Translation) 转换后,多个本地地址对应一个全局IP地址
NAT/NAPT的术语 NAT中用到的接口类型: NAT中常见的术语: 内部网络 -Inside 外部网络 -Outside 内部本地地址-Inside Local Address 内部全局地址-Inside Global Address 外部本地地址-Outside Local Address 外部全局地址-Outside Global Address 互联网 Inside Outside 企业内部网 外部网
NAT工作原理 200.8.7.3/24 200.8.7.4/24 192.168.1.5 63.5.8.1 192.168.1.7 内部本地地址 内部全局地址 192.168.1.7 200.8.7.3 192.168.1.5 200.8.7.4 源IP:192.168.1.7 源IP:200.8.7.3 源IP:200.8.7.3 目的IP:63.5.8.1 目的IP:63.5.8.1 目的IP:63.5.8.1 源IP:63.5.8.1 源IP:63.5.8.1 源IP:63.5.8.1 目的IP:192.168.1.7 目的IP:192.168.1.7 目的IP:200.8.7.3
NAPT工作原理 内部本地地址:端口 内部全局地址:端口 外部全局地址:端口 192.168.1.7:1024 200.8.7.3:1024 200.8.7.3/24 192.168.1.5 63.5.8.1 192.168.1.7 Web服务 内部本地地址:端口 内部全局地址:端口 外部全局地址:端口 192.168.1.7:1024 200.8.7.3:1024 63.5.8.1:80 192.168.1.5:1136 200.8.7.3:1136 源IP:192.168.1.7:1024 源IP:200.8.7.3:1024 源IP:200.8.7.3:1024 目的IP:63.5.8.1:80 目的IP:63.5.8.1:80 目的IP:63.5.8.1:80 源IP:63.5.8.1 :80 源IP:63.5.8.1 :80 源IP:63.5.8.1:80 目的IP:192.168.1.7:1024 目的IP:192.168.1.7:1024 目的IP:200.8.7.3:1024
使用NAPT的情况 在以下几种情况下,需要使用NAPT技术: 缺乏全局IP地址,甚至没有专门申请的全局IP地址,只有一个连接ISP的全局IP地址 内部网要求上网的主机数很多 提高内网的安全性
课程议题 NAT/NAPT的配置
NAT/NAPT的配置 NAT/NAPT的配置有两种 静态NAT/NAPT 动态NAT/NAPT 需要向外网络提供信息服务的主机 永久的一对一IP地址映射关系 只访问外网服务,不提供信息服务的主机 内部主机数可以大于全局IP地址数 最多访问外网主机数决定于全局IP地址数 临时的一对一IP地址映射关系
静态NAT 配置步骤 1、定义内网接口和外网接口 2、建立静态的映射关系 Router(config)#interface fastethernet 1/0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 1/1 Router(config-if)#ip nat inside 2、建立静态的映射关系 Router(config)#ip nat inside source static 192.168.1.7 200.8.7.3
静态NAPT 1、定义内网接口和外网接口 2、建立静态的映射关系 Router(config)#interface fastethernet 0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 1 Router(config-if)#ip nat inside 2、建立静态的映射关系 Router(config)#ip nat inside source static tcp 192.168.1.7 1024 200.8.7.3 1024 Router(config)#ip nat inside source static udp
动态NAT配置 1、定义内网接口和外网接口 2、定义内部本地地址范围 3、定义内部全局地址池 4、建立映射关系 Router(config-if)#ip nat outside Router(config-if)#ip nat inside 2、定义内部本地地址范围 Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 3、定义内部全局地址池 Router(config)#ip nat pool abc 200.8.7.3 200.8.7.10 netmask 255.255.255.0 4、建立映射关系 Router(config)#ip nat inside source list 10 pool abc
动态NAPT配置 1、定义内网接口和外网接口 2、定义内部本地地址范围 3、定义内部全局地址池 4、建立映射关系 Router(config-if)#ip nat outside Router(config-if)#ip nat inside 2、定义内部本地地址范围 Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 3、定义内部全局地址池 Router(config)#ip nat pool abc 200.8.7.3 200.8.7.3 netmask 255.255.255.0 4、建立映射关系 Router(config)#ip nat inside source list 10 pool abc overload
课程议题 NAT的监视和维护
NAT/NAPT的监视和维护命令 显示命令 清除状态命令 show ip nat statistics 显示翻译统计 show ip nat translations [verbose] 显示活动翻译 清除状态命令 clear ip nat translation * 从NAT转换表中清除所有动态地址转换项
NAT/NAPT带来的限制 限制 内嵌IP地址的应用有: NAT与应用的兼容性问题,详见RFC 3027 影响网络性能 无法实现端到端的路径跟踪(traceroute) 某些应用可能支持不了:内嵌IP地址 内嵌IP地址的应用有: FTP DNS NetMeeting H.323,VoIP 其它自编应用 NAT与应用的兼容性问题,详见RFC 3027 在你决定应用NAT时,需要明白NAT同时也会带来一些限制: 影响网络速度,NAT的应用可能会使NAT设备可能成为网络的瓶颈,随着软、硬件技术的发展,该问题已经逐渐得到改善。 跟某些应用不兼容,如果一些应用在有效载荷中协商下次会话的IP地址和端口号,NAT将无法对内嵌IP地址进行地址转换,造成这些应用不能正常运行。 地址转换不能处理IP报头加密的报文。 无法实现对IP端到端的路径跟踪,经过NAT地址转换之后,对数据包的路径跟踪将变得十分困难。
课程回顾 局域网与Internet互联概述 NAT的工作原理 NAT/NAPT的配置 NAT的监视和维护
谢 谢!