NAT地址转换要点.pdf

NAT讲解 1. Network Address Translation，网络地址转换，是将 IP 数据包头中的 IP 地 址转换为另一个IP 地址的过程。在实际应用中，NAT 主要用于实现私有网 络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有 IP 地址的方式，将有助于减缓可用IP 地址空间的枯竭。 2. NAT功能： NAT不仅能解决 IP 地址不足的问题，而且还能够有效地避免来自 网络外部的攻击，隐藏并保护网络内部的计算机。 1. 宽带分享：这是 NAT 主机的最大功能。 2. 安全防护： NAT 之内的 PC 联机到 Internet 上面时，它所显示的 IP 是 NAT 主机的公共 IP ，所以 Client 端的 PC 当然就具有一定程度的安全了， 外界在进行 portscan （端口扫描） 的时候， 就侦测不到源 Client 端的 PC 。 3. NAT实现方式： NAT的实现方式有三种，即静态转换Static Nat、动态转换 Dynamic Nat 和端口多路复用 OverLoad。 静态转换是指将内部网络的私有IP 地址永久固定得转换为公有IP 地址， 借助于静态转换，可以实现外部网络对内部网络中某些特定设备的访问。多 用于服务器 动态转换是指将内部网络的私有IP 地址转换为公用 IP 地址时，IP 地址 是不确定的，是随机的，所有被授权访问上Internet的私有 IP 地址可随机 转换为任何指定的合法IP 地址。即只要指定哪些内部地址可以进行转换， 以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以 使用多个合法外部地址集。当ISP 提供的合法 IP 地址略少于网络内部的计 算机数量时。可以采用动态转换的方式。 端口多路复用（ Port Address Translation,PAT)是指改变外出数据包的 源端口并进行端口转换， 即端口地址转换（PAT ， Port Address Translation). 采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP 地 址实现对 Internet的访问，从而可以最大限度地节约IP 地址资源。同时， 又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目 前网络中应用最多的就是端口多路复用方式。 4. 现在 IP 地址的适用情况，私有 IP 地址是指内部网络或主机的IP 地址，公 有 IP 地址是指在因特网上全球唯一的IP 地址。 RFC 1918 为私有网络预留 出了三个 IP 地址块，如下： A 类：10.0.0.0 10.255.255.255 B 类：172.16.0.0 172.31.255.255 C 类：192.168.0.0 192.168.255.255 上述三个范围内的地址不会在因特网上被分配，因此可以不必向ISP 或 注册中心申请而在公司或企业内部自由使用。 5. 虽然 NAT可以借助于某些代理服务器来实现，但考虑到运算成本和网络性能， 很多时候都是在路由器上来实现的。 6. NAPT （Network Address Port Translation） ，即网络端口地址转换，可将多 个内部地址映射为一个合法公网地址，但以不同的协议端口号与不同的内部 地址相对应， 也就是 与之间的转 换。NAPT普遍用于接入设备中，它可以将中小型的网络隐藏在一个合法的 IP 地址后面。 NAPT 也被称为“多对一”的NAT ，或者叫 PAT （Port Address Translations，端口地址转换）、地址超载（ address overloading） 。 7. NAPT 与动态地址 NAT不同，它将内部连接映射到外部网络中的一个单独的IP 地址上，同时在该地址上加上一个由NAT设备选定的 TCP端口号。NAPT 算得 上是一种较流行的NAT变体，通过转换 TCP或 UDP 协议端口号以及地址来提 供并发性。除了一对源和目的IP 地址以外，这个表还包括一对源和目的协 议端口号，以及 NAT盒使用的一个协议端口号。 NAT-PT(Network Address Translation-Protocol)附带协议转换器的网络地 址转换器。是一种纯IPv6 节点和 IPv4 节点间的互通方式，所有包括地址、 协议在内的转换工作都由网络设备来完成。 8. PAT的主要优势在于，能够使用一个全球有效IP 地址获得通用性。主要缺点 在于其通信仅限于TCP或 UDP 。当所有通信都采用TCP或 UDP ，PAT允许一台 内部计算机访问多台外部计算机，并允许多台内部主机访问同一台外部计算 机，相互之间不会发生冲突。 9. NAT工作原理 借助于 NAT ，私有（保留）地址的 “ 内部“ 网络通过路由器发送数据包时， 私有地址被转换成合法的IP 地址，一个局域网只需使用少量IP 地址（甚至 是 1 个）即可实现私有地址网络内所有计算机与Internet的通信需求。 NAT将自动修改 IP 报文的源 IP 地址和目的 IP 地址， IP 地址校验则在 NAT处理过程中自动完成。有些应用程序将源IP 地址嵌入到 IP 报文的数据 部分中，所以还需要同时对报文的数据部分进行修改，以匹配IP 头中已经 修改过的源 IP 地址。否则，在报文数据部分嵌入IP 地址的应用程序就不能 正常工作。 10. Nat- 工作流程 上图这个 client（终端）的 gateway （网关）设定为 NAT 主机，所 以当要连上 Internet 的时候，该封包就会被送到 NAT 主机，这个时候 的封包 Header 之 source IP（源 IP） 为 192.168.1.100 ； 透过这个 NAT 主机，它会将 client 的对外联机封包的 source IP ( 192.168.1.100 ) 伪装成 ppp0 ( 假设为拨接情况 ) 这个接口所具有 的公共 IP ，因为是公共 IP 了，所以这个封包就可以连上 Internet 了 ， 同 时NAT 主 机 并 且 会 记 忆 这 个 联 机 的 封 包 是 由 哪 一 个 ( 192.168.1.100 ) client 端传送来的； 由 Internet 传送回来的封包，当然由 NAT主机来接收了，这个时候， NAT 主机会去查询原本记录的路由信息，并将目标 IP 由 ppp0 上面的公共 IP 改回原来的 192.168.1.100 ； 最后则由 NAT 主机将该封包传送给原先发送封包的 Client 。 11. 常见问题 1. NAT 的作用是什么？ 答：NAT的作用是把内网的私有地址，转化成外网的公有地址， 解决 IP 地址 数量紧缺问题。使得内部网络上的（被设置为私有IP 地址的）主机可以访 问 Internet。 NAT 还可以防止外部主机攻击内部主机（或服务器） 2. NAT 分为哪几种？ 答：NAT可以分为 Basic NAT 和 PAT ： - Basic NAT只转化 IP，不映射端口。 - PAT除了转化 IP，还做端口映射，可以用于多个内部地址映射到少量（甚 至一个）外部地址。 NAT还可以分为静态NAT和动态 NAT ： - 静态 NAT ，将内部网络中的每个主机都永久映射成外部网络中的某个合法 的地址，多用于服务器。 - 动态 NAT ，则是在外部网络中定义了一个或多个合法地址，采用动态分配 的方法映射到内部网络。 12. 怎样映射？如何将大量的内部地址，映射成少量的外部地址？ 对于第四层是 TCP或 UDP 的数据包， NAT通过更改源端口号，来实现多对少 的映射。 例如：内部 IP1IP4，4 个地址映射成外部一个地址IP5。 （IP1，Port1 ）映射成（ IP5，Port1 ） （IP2，Port1 ）映射成（ IP5，Port2 ） （IP3，Port2 ）映射成（ IP5，Port3 ） （IP4，Port2 ）映射成（ IP5，Port4 ） 对于 ICMP包，NAT通过更改 ICMP的 ID，来实现多对少的映射。 13. NAT有什么弊端？ 在一个具有 NAT功能的路由器下的主机并没有建立真正的端对端连接，并且 不能参与一些因特网协议。 一些需要初始化从外部网络建立的TCP连接和使 用无状态协议（比如UDP ）的服务将被中断。除非NAT路由器作一些具体的 努力，否则送来的数据包将不能到达正确的目的地址。（一些协议有时可以 在应用层网关的辅助下，在参与NAT的主机之间容纳一个NAT的实例，比如 FTP 。 ）NAT也会使安全协议变的复杂。 14. NAT局限性 （1）NAT违反了 IP 地址结构模型的设计原则。IP 地址结构模型的基础是每 个 IP 地址均标识了一个网络的连接。Internet的软件设计就是建立在这个 前提之上，而 NAT使得有很多主机可能在使用相同的地址，如10.0.0.1 。 （2）NAT使得 IP 协议从面向无连接变成面向连接。NAT必须维护专用 IP 地 址与公用 IP 地址以及端口号的映射关系。在TCP/IP 协议体系中，如果一个 路由器出现故障，不会影响到TCP协议的执行。因为只要几秒收不到应答， 发送进程就会进入超时重传处理。而当存在NAT时，最初设计的TCP/IP 协 议过程将发生变化， Internet可能变得非常脆弱。 （3）NAT违反了基本的网络分层结构模型的设计原则。因为在传统的网络分 层结构模型中，第N层是不能修改第N+1层的报头内容的。 NAT破坏了这种 各层独立的原则。 （4）有些应用是将 IP 地址插入到正文的内容中， 例如标准的 FTP协议与 IP Phone协议 H.323。如果 NAT与这一类协议一起工作，那么NAT协议一定要 做适当地修正。同时，网络的传输层也可能使用TCP与 UDP协议之外的其他 协议，那么 NAT协议必须知道并且做相应的修改。 由于 NAT的存在，使得 P2P 应用实现出现困难，因为P2P的文件共享与语音共享都是建立在IP 协议的 基础上的。 （5）NAT同时存在对高层协议和安全性的影响问题。 NAT配置 1. 内部本地地址 : 私有 IP，不能直接用于互连网。 内部全局地址：用来代替内部本地IP 地址的，对外或在互联网上是合法的 的 IP 地址。 复用内部的全局地址： 将一个内部全局地址用于同时代表多个内部局部地址。 主要用 IP 地址和端口号的组合来唯一区分各个内部主机。 目前在公司内普遍应用。 2. 静态 nat 的语法 第一步，设置外部端口。 interface serial 0 ip address 61.159.62.129 255.255.255.248 ip nat outside 第二步，设置内部端口。 interface ethernet 0 ip address 192.168.0.1 255.255.255.0 ip nat inside 第三步，在内部本地与外部合法地址之间建立静态地址转换。 ip nat inside source static 内部本地地址内部合法地址。 示例： ip nat inside source static 192.168.0.2 61.159.62.130 / 将内部网络地址 192.168.0.2转换为合法 IP 地址 61.159.62.130 至此，静态地址转换配置完毕。 注意： 从外网到内网建立静态映射后， 外网能 PING通内部全局地址 （200.1.1.1 ）, 如果使用真实地址， 则访问失败，这是因为从外网没有到达内网的路由存在！ 3. 动态 nat 的语法 第一步，设置外部端口。 设置外部端口命令的语法如下： ip nat outside 示例： interface serial 0 /进入串行端口 serial 0 ip address 61.159.62.129 255.255.255.192/将 其IP地 址 指 定 为 61.159.62.129,子网掩码为 255.255.255.192 ip nat outside /将串行口 serial 0设置为外网端口 注意，可以定义多个外部端口。 第二步，设置内部端口。 设置内部接口命令的语法如下： ip nat inside 示例： interface ethernet 0 /进入以太网端口 Ethernet 0 ip address 172.16.100.1 255.255.255.0 / 将 其IP地 址 指 定 为 172.16.100.1,子网掩码为 255.255.255.0 ip nat inside /将 Ethernet 0 设置为内网端口。 注意，可以定义多个内部端口。 第三步，定义合法IP 地址池。 定义合法 IP 地址池命令的语法如下： ip nat pool 地址池名称起始 IP 地址终止 IP 地址子网掩码 示例： ip nat pool chinanet 61.159.62.130 61.159.62.190 netmask 255.255.255.192 /指 明 地 址 缓 冲 池 的 名 称 为chinanet,IP地 址 范 围 为 61.159.62.13061.159.62.190,子网掩码为 255.255.255.192 。需要注意的 是，即使掩码为255.255.255.0 ，也会由起始IP 地址和终止 IP 地址对 IP 地址池进行限制。 或 ip nat pool test 61.159.62.130 61.159.62.190 prefix-length 26 第四步，定义内部网络中允许访问Internet的访问列表。 定义内部访问列表命令的语法如下： access-list 标号 permit 源地址通配符（其中，标号为1-99 之间的整数） 示例： access-list 1 permit 172.16.100.0 0.0.0.255 /允许访问 Internet的 网段为 172.16.100.0172.16.100.255，反掩码为 0.0.0.255 。 需要注意的是，在这里采用的是反掩码，而非子网掩码。 第五步，实现网络地址转换。 在全局设置模式下将由access-list指定的内部本地地址与指定的内部合法 地址池进行地址转换。 命令语法如下： ip nat inside source list 访问列表标号 pool 内部合法地址池名字 示例： ip nat inside source list 1 pool chinanet 至此，动态地址转换设置完毕。 4. pat 的语法 第一步，设置外部端口。 interface serial 0 ip address 202.99.160.1 255.255.255.252 ip nat outside 第二步，设置内部端口。 interface ethernet 0 ip address 10.100.100.1 255.255.255.0 ip nat inside 第三步，定义合法IP 地址池。 ip nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252 / 指明地址缓冲池的名称为onlyone,IP地址范围为 202.99.160.2,子网掩 码为 255.255.255.252 。由于本例只有一个IP 地址可用，所以，起始IP 地 址与终止 IP 地址均为 202.99.160.2 。如果有多个 IP 地址，则应当分别键入 起止的 IP 地址。 第四步，定义内部访问列。 access-list 1 permit 10.100.100.0 0.0.0.255 允许访问 Internetr的网段为 10.100.100.010.100.100.255，子网掩码为 255.255.255.0 。需要注意的是，在这里子网掩码的顺序跟平常所写的顺序 相反，即 0.0.0.255 。 第五步，设置复用动态地址转换。 在全局设置模式下，设置在内部的本地地址与内部合法IP 地址间建立复用 动态地址转换。 命令语法如下： ip nat inside source list访问 列 表 号pool 内 部 合 法地 址池 名字 overload 示例： ip nat inside source list 1 pool onlyone overload / 以端口复用方式，将访问列表1 中的私有 IP 地址转换为 onlyone IP 地址 池中定义的合法 IP 地址。 注意： overload 是复用动态地址转换的关键词。 ip nat inside source list access-list-numberpool pool-name overload：使用该命令定义访问控制列表与NAT内部全局地址池之间的映 射。 ip nat outside source list access-list-numberpool pool-name overload：使用该命令定义访问控制列表与NAT外部局部地址池之间的映 射。 ip nat inside destination list access-list-number pool pool-name： 使用该命令定义访问控制列表与终端NAT地址池之间的映射。 show ip nat translations：显示当前存在的NAT转换信息。 show ip nat statistics：查看 NAT的统计信息。 show ip nat translations verbose ：显示当前存在的NAT转换的详细信息。 debug ip nat：跟踪 NAT操作，显示出每个被转换的数据包。 Clear ip nat translations *：删除 NAT映射表中的所有内容 . NAT配置实例 5. 条件：图示 要求： R0配置 NAT ，R1不配置路由，使 PC0能访问 PC1 步骤： 1）路由器配置相应端口地址。 R0 ： R1 ： 2）路由器 R0配置 NAT和默认路由 注意： 从内网到外网建立PAT映射后，若不建立默认路由，则内网能PING通外部 全局地址（ 211.68.121.1 ）, 但如果 PING外部本地地址，则访问失败，这是 因为从内网没有到达外网的路由存在！ 6. 条件： server 在 vlan2 ，PC0在 vlan3 ，PC1在 vlan4 ， 要 求 ： server采 用 静 态NAT 转 换 为219.224.97.20 ； 内 部 网 络 地址 192.168.3.0和 192.168.4.0采用 PAT转换为合法的外部地址。 步骤： 1）在二层交换机上创建Vlan、Trunk 并将端口加入到相应的vlan 中. 2） 三层交换机开启路由功能；下联配置为“Trunk”, 上联为路由口并配置 IP 地址；创建 vlan 并配置 interface vlan；配置默认路由； 定义 interface vlan2、3、4 是 NAT进口（ inside ）, 上联端口是 NAT出口 （outside ） ；内部服务区到外网的 “静态 NAT ” ；将 Vlan2 和 Vlan3 的网段采 用 PAT转换合法的外部地址 . ；配置访问控制列表 【定义 NAT 的进出端口】 【将源地址192.168.2.2 转换为 219.224.9720，静态 NAT 配置已完毕， 可访问目标主机 115.25.87.3】 【以端口复用方式，将访问控制列表90 中的私有地址转换为f0/3 的合法地址】 【ACL ：允许源192.168.3.0 和 192.168.4.0 网段通过】 3）在路由器上配置相应端口IP 即可。 Ping 完包之后：