您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
NAT地址转换原理及配置解决方案.ppt 30页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
你可能关注的文档：
··········
··········
参考资料 RFC 2663 IP Network Address Translator (NAT) Terminology and Considerations RFC 2993 Architectural Implications of NAT RFC 3022 Traditional IP Network Address Translator (Traditional NAT) RFC 3027 Protocol Complications with the IP Network Address Translator * * * * * * * * * * DNS mapping功能是指，通过配置“域名+公网IP地址+公网端口号+协议类型”的映射表，建立内部服务器域名与内部服务器公网信息的对应关系。在配置了NAT的接口上，设备检查接收到的DNS响应报文，根据报文中的域名查找用户配置的DNS mapping映射表，并根据表项内的“公网地址+公网端口+协议类型”信息查找内部服务器地址映射表中该信息对应的私网地址，替换DNS查询结果中的公网地址。这样，私网用户收到的DNS响应报文中就包含了要访问的内部服务器的私网地址，也就能够使用内部服务器域名访问同一私网内的内部服务器。 * * * MSR路由器最新版本支持静态地址转换与接口地址转换为同一公网IP地址。 * * * * * * * * * * MSR路由器（基于全局），SR66路由器，V5防火墙（基于接口）的处理方法不一样 * * * * * * *
* 杭州华三通信技术有限公司
NAT地址转换原理及配置 ISSUE 1.1 日期： 杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播 掌握NAT的工作原理 熟悉NAT的配置实现 了解NAT监控调试方法 常见组网及故障排查方法 课程目标 学习完本课程，您应该能够： NAT工作原理 NAT配置实现 NAT验证及调试 NAT常见组网 目录 NAT 地址转换是在IP地址日益短缺的背景下出现的。 一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了使所有的内部主机都可以访问Internet，需要进行地址转换。 地址转换技术可以有效隐藏局域网内的主机，是一种有效的网络安全保护技术。 地址转换可以按照用户的需要，在局域网内向外提供FTP、WWW、Telnet等服务。 地址类别（公有地址和私有地址） 公有地址和私有地址 公有地址是因特网上全球唯一的IP地址，由IANA统一分配。 私有地址为RFC规定的保留IP地址段，仅用于内部网，不能与Internet直接通信。 Internet 私有 /8 私有 /12 私有 /24 LAN A LAN B LAN C 私有地址范围：
55 NAT基本概念
2 NAT table Inside Address
1 Private Public Address Pool
IP Address pool1 1 …… 0 Address Pool Global Address
HostA RTA 54/24 /24 HostB
Internet HostC /24 address-group 1 （1～0） Basic NAT /24
HostA RTA 54/24 /24 HostB
Internet HostC 1 3 2 4 5 S= D= S=198.76.28..11 D= S= D=1 S= D=
2 NAT table Inside Address
1 Global Address S：源IP地址 D：目的IP地址 address-group 1 （1～0） NAPT
HostA RTA 54/24 /24 HostB
Internet HostC /24 1 3 2 4 5 S= P=1024 D= P=21 S=198.76.28..11 P=2001 D= P=21 S= P=21 D=1 P=2001 S= P=21 D= P= 1 3001 NAT table Inside Address Port
1 Global Address Port S：源IP地址 D：目的IP地址 P：TCP、UDP端口 address-group 1 （1～0） ALG ALG： 有些应用层协议在数据中携带IP地址或端口信息，对它们作NAT时需要同时修改上层数据中的IP地址或端口信息。 一些非TCP、UDP的协议（如ICMP、PPTP）作上层NAT时，需要对它们的特征参数（如ICMP的ID参数）进行转换。
HostA RTA 54/24 /
正在加载中，请稍后...宿舍用路由器的NAT原理,我以为我懂了原来没懂
[问题点数：50分，结帖人wuzhiwenk3001]
本版专家分：2
结帖率 98.33%
CSDN今日推荐
本版专家分：2
匿名用户不能发表回复！|
其他相关推荐【图文】NAT地址转换原理及配置_百度文库
您的浏览器Javascript被禁用，需开启后体验完整功能，
享专业文档下载特权
&赠共享文档下载特权
&10W篇文档免费专享
&每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
NAT地址转换原理及配置
阅读已结束，下载本文到电脑
想免费下载本文？
登录百度文库，专享文档复制特权，积分每天免费拿！
你可能喜欢51CTO旗下网站
5.7.1 利用NAT实现TCP负载均衡原理
《路由器配置与管理完全手册-Cisco篇》第5章Cisco路由器NAT配置，本章将详细、深入地介绍各种NAT类型（包括基本的静态NAT、基本的动态NAT、PAT，Overlapping NAT，以用利用NAT实现TCP负载均衡和基于NVI接口的NAT配置等）的地址转换原理，并以具体示例介绍各种NAT应用的配置思路和方法。绝大多数应用可在实际工作直接拿来来使用。本节为大家介绍利用NAT实现TCP负载均衡原理。
作者：王达来源：华中科技大学出版社| 12:59
5.7 使用NAT实现TCP负载均衡
可以通过目的地址循环转换实现服务器的TCP负载均衡，可以把一个虚拟主机映射到多个真实的主机（如Web服务器）上。虚拟主上每次发起的新TCP会话将与一个不同的真实主机进行。通过NAT，你可以在你的内部网络建立多个真实主机，以分担众多用户对一个虚拟主机访问的负荷。每次从外部网络发起的新会话所对应的真实主机的循环是通过对目的地址以地址池的方式进行轮回转换实现的。它是一种反向NAT转换，是对目的地址的转换，而不是对源地址的转换。
5.7.1 利用NAT实现TCP负载均衡原理
下面以一个示例介绍利用NAT实现TCP负载均衡的原理。示例网络结构如图5-21所示。在本示例中，内部网络有多个真实服务器主机，IP地址分别是1.1.1.1、1.1.1.2、1.1.1.3……。而对应的全局地址（虚拟主机）只有一个，那就是1.1.1.127。外部用户对内部的真实主机访问时，NAT路由器会会截获得访问的数据包，把目的地址以以循环方式把目的地址转换为对应的真实主机上，这样就可以完成内部真实主机（服务器）的TCP负载均衡。
（点击查看大图）图5-21& 利用NAT实现TCP负载均衡示例网络结构
下面是具体的转换原理示例。
（1）外部网络用户主机B（IP地址为9.6.7.3）发起与虚拟主机（内部全局地址）1.1.1.127的连接。此时数据包中的源地址为外部本地地址9.6.7.3，目的地址为虚拟主机地址1.1.1.127。
（2）当路由器接收到连接请求数据包时，创建一个内部网络中真实主机（如1.1.1.1）进行关联的新的NAT转换条目。
（3）NAT路由器把连接请求的数据包中的目的地址用真实主机的本地地址进行替换（源地址不变），然后继续发送连接请求数据包。
（4）内部网络中真实主机1.1.1.1接收到这个连接请求数据包，并发出一个应答数据包。应答数据包中的源地址是内部真实主机本地地址（1.1.1.1），目的地址为外部网络主机B的IP地址（9.6.7.3）。
（5）当NAT路由器接收到这个应答数据包后，使用内部本地地址和端口号，以及外部地址和端口号作为关键字在NAT表中进行查找。找到后把应答包中的源地址转换成虚拟主机地址（内部全局地址）进行替换（目的地址不变），继续转发应答数据包。直接外部网络用户收到应答数据包。
后面的转换过程就是前面的重复，但下一次转换时虚拟主机所对应的内部主机本地地址不再是1.1.1.1，可能是1.1.1.2，或者1.1.1.3……。这是一个动态NAT转换，不是静态的。【责任编辑： TEL：（010）】&&&&&&
大家都在看猜你喜欢
热点热点头条头条热点
24H热文一周话题本月最赞
讲师：30696人学习过
讲师：131588人学习过
讲师：15599人学习过
精选博文论坛热帖下载排行
全书分为基础篇、高级篇和应用篇3个部分，共18章，有重点、分层次地讲解SQL Server 2005的基础知识、高级使用技巧和项目应用方法。第1～10...
订阅51CTO邮刊下次自动登录
现在的位置:
& 综合 & 正文
NAT工作原理及应用
　　一：路由表的快速增长。有数据表明，1990年，只有大约5000条路由被存放在路由表中，到1995年，这个数字达到了35,000，而2000年则 达到了120,000条，而且这个数值会保持60%~100%的增长率。这使得大量的网络设备由于处理速度跟不上而很快被淘汰。
　　二： IP地址即将耗尽。现在广泛采用的IPv4设计于1981年，使用32位二进制数。从95年开始全球的IP地址以平均每年6000万~8000万的速度被 消耗。直到目前，IPv4所提供的40亿个地址以被用去了一半。有专家预测，2005年，全球地址将全部用完。
　　面对这些问题，业界提供了大量的解决方案。对于路由表膨胀的问题，可以使用VLSM，CIDR等技术以及各种路由协议的特性来缓解。
而对于IP地址的耗尽问题，IPv6应该是最终的解决手段。但是，由于现有网络都是使用IPv4，几乎所有的现有设备都不支持IPv6，要升级设备需要 大量的资金，而且改造整个网络也是一项浩大而且复杂的工程。同时，虽然亚太和欧洲地区的地址资源稀缺，但是美国拥有充沛的地址资源，所以很多大型美国厂商 如cisco等并不急于推行IPv6。各种因素的作用，延缓了IPv6的实施。所以IPv6的全面实现还需要一段很长的时间。这样，就需要一种过渡的解决手段，来暂时的解决IP地址耗尽的问题。
2.NAT技术的出现及简介
NAT（Network address translation）（RFC 1631中作出规定）作为这样一种过渡解决手段，可以用来减少对全球合法注册地址的需求。简单的说，NAT就是在内部专用网络中使用内部地址（不可路 由），而当内部节点要与外界网络发生联系时，就在边缘路由器或者防火墙处，将内部地址替换成全局地址——合法地址（可路由），从而在外部公共网上正常使 用。
　　这里需要解释一下，内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由。虽然内部地址 可以随机挑选，但是通常使用的是RFC 1918中定义的专用地址：10.0.0.0~10.255.255.255，172.16.0.0~172.16.255.255， 192.168.0.0~192.168.255.255。全局地址，是指合法的IP地址，它是由NIC或者网络服务提供商分配的地址，对外代表一个或多 个内部局部地址，是全球统一的可寻址的地址（可路由）。
　　NAT的主要作用是节约地址空间。在任一时刻，如果内部网络中只有少数节点与外界 建立连接，那么就只有少数的内部地址需要被转化成全局地址，可以减少对合法地址的需求。同时，还可以使多个内部节点共享一个外部地址，使用端口进行区分 (NAPT)，这样就能更有效的节约合法地址。
　　除了节约地址，NAT还能简化配置，增加网络规划的灵活性。使用NAT，可以在规划地址时有更大的灵活性，从而简化内部网的设计。另外，当两个有地址重叠的私有内部网要连接在一起时，可以使用NAT来防止地址冲突，而避免逐个改变节点的地址这个繁杂的工作。
　　NAT地址转换有两种主要类型：静态转换（Static Translation），动态转换（Dynamic Translations）。
　　静态转换是最简单的一种转换方式，它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目，映射了唯一的全局地址。内部地址与全局地址一一对应。每当内部节点与外界通信时，内部地址就会转化为对应的全局地址。
动态转换，增加了网络管理的复杂性，但也提供了很大的灵活性。它将可用的全局地址地址集定义成NAT池（NAT pool）。对于要与外界进行通信的内部节点，如果还没有建立转换映射，边缘路由器或者防火墙将会动态的从NAT池中选择全局地址对内部地址进行转化。每 个转换条目在连接建立时动态建立，而在连接终止时会被回收。这样，网络的灵活性大大增强了，所需要的全局地址进一步的减少。值得注意的是，当NAT池中的 全局地址被全部占用以后，以后的地址转换的申请会被拒绝。这样会造成网络连通性的问题。所以应该使用超时操作选项来回收NAT池的全局地址。另外，由于每
次的地址转换是动态的，所以同一个节点在不同的连接中的全局地址是不同的，这会使snmp的操作复杂化。
端口地址转换（NAPT—Network address port translatin），是动态转换的一种变形。它可以使多个内部节点共享一个全局IP地址，而使用源和目的的TCP/UDP的端口号来区分NAT表中的 转换条目及内部地址。这样，就更节省了地址空间。比如说，假设内部节点10.1.1.3，10.1.1.2都用源端口1723向外发送数据包。NAPT路 由器把这两个内部地址都转换成全局地址192.168.2.2，而使用不同的源端口号：。当接收方收到的源端口号为1492，则返回的 数据包在边缘网关处，目的地址和端口被转换为10.1.1.3:1723；而接收到的源端口号为1723的，目的被映射到10.1.1.2:1723。
NAPT可以使整个局域网都使用一个IP地址来联入Internet，所以它常常用在小型办公室/家庭办公室（SOHO）中，作与外部公共网络的连接。
　　在以上的映射转换中，只使用了IP地址的转换条目被称为简单条目，而包含IP地址和TCP/UDP端口号的转换条目被称为扩展条目。
　　以上所有的地址转换功能，都是由防火墙或者边缘路由器（即连接内部网络和公用网络的路由器）完成的，而对于通信的各节点，无论是内部还是外部的，都是透明的。
　　那么NAT具体用在哪些地方呢？
外向的NAT，常常用在共享一个IP地址发出流向外部网络的数据流，而不接受外部网络向内部网络发出的连接请求的地方，比如多节点用户、远程的工作点、 小型商业用户等。具体的说，就是通过ISDN、DSL（Digital subscriber Line）、cable modem连接的小型局域网。双向的静态NAT/NAPT常被安装有防火墙的大型企业使用。另外，当ISP的地址发生变化，如果企业不想改变自己的地址规 划，也会用到NAT技术。
3.NAT在CISCO路由器上的基本配置
　　CISCO是全球领先的网络设备厂商和网络互联解决方案供应商，产品包括路由器、局域网和ATM交换机、拨号访问服务器和管理软件。
　　为了最大限度的利用用户的合法注册IP地址，CISCO网络产品的操作系统 IOS（互联网操作系统）在11.2以及以上的版本都全面支持NAT功能。
　　以下简要介绍在cisco路由器上进行NAT配置的基本命令。
一．静态转换：
　　当外出的数据包到达边缘网关时，从NAT表中查找相应的静态转换条目，检索出对应的全局地址，并替换数据包中的源地址（内部地址），而当外部的数据包要通过边缘网关的时候，目的地址（全局地址）被替换成相应的内部地址。（拓扑图见图1）
　　ip nat inside source static 10.1.1.2 192.168.2.3
　　! /*将内部地址转化为外部地址*/
　　interface e0 /*连接内部网的接口，使用ip nat inside 定义*/
　　ip address 10.1.1.9 255.255.255.0
　　ip nat inside
　　interface s0 /连接外部公用网的接口，使用ip nat outside定义*/
　　ip address 172.16.2.1 255.255.255.0
　　ip nat outside
二．动态转换
　　外出的数据包到达边缘网关的时候，首先检查NAT表，看是否已经建立映射。如果没有，则动态的从NAT池中映射一个全局地址，建立转换条目，并替换源地址。当连接终止时，转换条目被删除，全局地址被NAT池回收。（拓扑图见图2）
　　ip nat pool out 192.168.2.1 192.168.2.254 netmask 255.255.255.0
　　ip nat inside source list 1 pool out /*定义外部地址为NAT池"out"，并把内部地址映射到外部地址*/
　　interface e0
　　ip address 10.1.1.9 255.255.255.0
　　ip nat inside
　　interface s0
　　ip address 172.16.2.1 255.255.255.0
　　ip nat outside
　　access-list 1 permit 10.1.1.0 0.0.0.255 /*用标准访问列表来定义内部地址*/
三．端口地址转换实现共享外部地址
　　当数据包到达边缘网关时，首先检查NAT表，看是否已经建立转换条目。如果没有，并且已经存在其他的转换条目，在配置了端口地址转换的情况下，则会再次使用此全局地址，并保存足够信息（IP地址和端口号）。
　　在配置时，只需要在“ip nat inside source list nunber pool name"命令后面加上“overload"的关键字就行了。
四．对发向内部网络的数据实现TCP负载均衡
　　当内部节点共享一个IP地址时，在外部看来就是一台虚拟的主机。如果外部节点要与内部节点建立连接，那么边缘路由器会使用TCP负载均衡的功能。
　　当边缘路由器接收到外部的请求时，会从NAT表中检查上一次的转换条目，并为本次连接分配下面一个条目进行映射，使用下面一个内部地址。本次连接结束后，下一次的外部请求将会被分配到接下来的一个转换条目。（Round-Robin）
ip nat pool internal 10.1.1.1 10.1.1.3 prefix-length 23 type rotary /*关键字type rotary 说明使用TCP负载平衡*/
　　ip nat inside destination list 2 pool internal /*将虚拟主机地址转化成由"internal"池定义的内部地址*/
　　interface s0
　　ip address 192.168.1.129 255.255.255.224
　　ip nat outside
　　interface e0
　　ip address 10.1.1.254 255.255.255.0
　　ip nat inside
　　access-list 2 permit 10.1.1.127 /*用访问列表定义虚拟主机的地址——代表内部节点的全局地址*/
　　清除NAT转换条目： clear ip nat translation *
　　验证NAT： show ip nat translations/statics
　　NAT排错： debug ip nat
4.在使用NAT时需要考虑到的问题：
　 　首先，很明显，使用NAT地址转换会使路由器处理数据包延迟增大。路由器的CPU必须对每个数据包进行检查，对需要改变地址信息的数据包进行操作，因此 会加大运行负载。同时，路由器要使用NAT技术，必须处于处理机交换（process swithing）的工作模式，可能会降低运行性能。
另一方面，NAT隐藏了端到端的ip地址，使得对数据包路径的跟踪变的比较困难。而且，正是由于这个原因，使得一些内嵌的ip地址在应用中会产生问题，比如ICMP协议，FTP，NBT，SNMP，DNS等。
　 　还有，如果使用IPSec进行加密，则只能把NAT放在受保护的VPN内部，或者使用具有NAT功能的IPSec设备。因为IPSec规定ip地址不能 被改变。如果改变了ip地址，就会破坏VPN的功能。如果确实需要对已用IPSec加密的数据进行地址改变，那就应该考虑使用RSIP技术作为代替了。
　　总的来说，NAT带来了很大的优越性，可以节约地址空间、可以简化配置、使网络规划更灵活。但是，它对网络应用带来了一定的影响，也给网络管理带来了一定得复杂性，并且会潜在的影响网络安全性。所以在使用时一定要仔细的规划
【上篇】【下篇】