项目7 私有网络接入Internet.ppt

IPv4地址资源的紧缺 为了解决IPv4 地址资源的紧缺，在RFC1918中规定了在企业内部使用的私有地址空间。私有地址是指可不经过申请直接在内部私有网络中使用的地址，私有地址不能出现在公共网络上。而公有地址是指局域网的外部地址（即在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址： A类：10.0.0.0～10.255.255.255； B类：172.16.0.0～172.31.255.255； C类：192.168.0.0～192.168.255.255。 使用私有地址的网络 NAT的基本概念 NAT（Network Address Translation，简称NAT）称为网络地址转换，它是在IP地址日益短缺的情况下提出的。它是一种把内部网络的私有地址翻译成合法的公共网络的公有IP地址的技术。 NAT可以有效的节约Internet公网IP地址，使得所有的内部主机都可以使用有限的外部合法地址连接到Internet网络。地址转换技术还可以有效的隐藏内部局域网中的主机，因此地址转换同时也是一种有效的网络安全保护技术。 NAT的优点 （1）可以节省公网IP地址，缓解IP地址资源匮乏的问题； （2）减少和消除地址冲突发生的可能性； （3）小型网络可以通过NAT的方式，灵活地接入Internet； （4）对外界隐藏内部网络结构，维持局域网的私密性。 NAT的缺点 （1）使用NAT必然要引入额外的延迟； （2）丧失端到端的IP跟踪能力； （3）一些特定应用可能无法正常工作，如地址转换对于报文内容中含有有用的地址信息的情况很难处理； （4）地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。 NAT的工作原理 NAT的工作原理 NAT的工作方式 一对一转换 一对一转换是指在进行地址转换过程中，一个私有地址对应转换为一个合法的公有地址，私有地址和公有地址是一对一的关系。一对一转换可以存在静态NAT和动态一对一转换两种方式。 一对多转换 为了更有效的节约公有地址，使用了一对多超载（Overloading）方式。一对多超载是指在进行转换时将内部私有地址转换成一个外部合法的IP地址和某个传输层的端口号的组合，即“私有IP+端口号→公有IP+端口号”。一对多转换包括一对多超载和PAT（Port Address Translation，称为端口地址转换）两种方式。 静态一对一转换 动态一对一转换 一对多超载 PAT转换 静态NAT配置 启动NAT功能 配置静态转换关系 定义内外部接口 静态NAT转换配置实例 基础知识 第一步：在全局配置模式，启动NAT功能。 RouterA(config)#ip nat start 第二步：配置静态NAT转换规则，将内部主机192.168.1.1发出的数据包中的源地址转换为210.31.235.1发送到外部网络。 RouterA(config)#ip nat inside source static 192.168.1.1 210.31.235.1 第三步：进入接口配置模式，配置IP地址，指定此接口为NAT的内部接口。 RouterA(config)#interface fei_0/1 RouterA(config-if)#ip address 192.168.1.254 255.255.255.0 RouterA(config-if)#ip nat inside 基础知识 第四步：进入另一个接口的配置模式，配置IP地址，指定此接口为NAT的外部接口。 RouterA(config)#interface serial_0/2 RouterA(config-if)#ip address 12..0.0.1 255.255.255.252 RouterA(config-if)#ip nat outside 注意：为了让上述NAT正常工作，还需要为路由器A，B配置路由器信息。 （1）为路由器A配置默认路由 RouterA(config)#ip route 0.0.0.0 0.0.0.0 12.0.0.2 （2）为了让路由器B配置静态路由 RouterA(config)#ip route 210.31.235.1 255.255.255.255 12.0.0.1 在完成上述配置后，主机A就可以访问外部网络了，我们可以利用ping命令进行测试 动态NAT配置 启动NAT功能 配置NAT转换的地址池 定义访问控制列表 配置转换规则 定义内外部接口 示例 示例1：配置一对一动态转换。 ZXR10(config)#access-list 3 permit 10.1.1.0 0.0.0.255 ZXR10(config)