DPtech NAT技术白皮书
杭州迪普科技有限公司
2013年8月
目录
1、概述3
2、迪普科技专业NAT技术3
2.1源NAT3
2.2目的NAT4
2.3一对一NAT5
2.4NAT stick功能5
2.5对称NAT6
2.6圆锥NAT7
2.7端口块NAT9
2.8NAT64与DS-Lite10
2.9Session级NAT12
2.10NAT会话管理与溯源12
2.11NAT ALG13
1、概述
随着Internet的发展和网络应用的增多,IPv4地址枯竭已成为制约网络发展的瓶颈,尽管IPv6可以从根本上解决IPv4地址空间不足问题,但目前众多网络设备和网络应用大多是基于IPv4的。同时对于国内各大运营商而言,随着业务的深入开展,互联网用户数也不断增多,IP地址资源已经严重匮乏,是IPv4网络发展面临的最紧迫问题。因此在IPv6广泛应用之前,采用NAT(Network Address Translation)技术是解决这个问题最主要、最有效的技术手段。
NAT技术作为一种过渡方案,采用地址复用的方法来满足IP地址的需要,可以在一定程度上缓解IP地址空间枯竭的压力。对于内部访问可以利用私网IP
地址,如果需要与外部通信或访问外部资源,NAT网关会用一个合法的公网IP 地址替换原报文中的源IP地址,并对这种转换进行记录;之后,当报文从外网返回时,NAT网关查找原有的记录,将报文的目的地址再替换回原来的私网地址,并送回发出请求的主机。对于一般用户而言,与普通的网络访问并没有任何的区别。
2、迪普科技专业NAT技术
迪普科技NAT解决方案可支持多种NAT技术,可满足各种城域网、IDC、园区网等多种组网的需求。
2.1源地址NAT
源地址NAT方式属于多对一的地址转换,它通过使用“IP地址+端口号”的形式进行转换,使多个私网用户可共用一个公网IP地址访问外网,因此是地址转换实现的主要形式,也称作NAPT。
图1源NAT方式配置截图
迪普设备提供灵活的NAT复用方式,可以选择借用出接口、NAT地址池、和特定的流不做NAT功能,部署起来非常灵活,可以满足各种各样的需要。
2.2目的地址NAT
出于安全考虑,大部分私网主机通常并不希望被公网用户访问。但在某些实际应用中,需要给公网用户提供一个访问私网服务器的机会。而在源NAT方式下,由于由公网用户发起的访问无法动态建立NAT表项,因此公网用户无法访问私网主机。目的地址NAT(映射内部服务器)方式就可以解决这个问题——通过目的地址NAT配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,NAT设备可以将公网地址“反向”转换成私网地址。
目的地址NAT方式的处理过程如下:
1、在NAT设备上手工配置静态目的NAT转换表项(正反向)。
2、NAT设备收到公网侧主机发送的访问私网侧服务器的报文。
3、NAT设备根据公网侧报文的“目的IP地址+目的端口号”查找目的NAT规则表项,并依据查表结果将报文转换后向私网侧发送,并建立会话信息。
4、NAT设备收到私网侧的回应报文后,根据其五元组查找会话信息,这时刚好匹配会话的反向流信息,并依据查表结果将报文转换后向公网侧发送。
图2目的NAT配置截图
2.3一对一NAT
一对一NAT是高级的目的地址NAT,将内部服务器的私网IP通过静态的一对一NAT配置映射成公网IP地址。一对一NAT就是将内部私网服务器的所有服务都进行开放,允许公网用户通过公网IP地址进行访问。配置如下图:
2.4Sticky NAT功能
一个IP地址通过NAT转换设备之后建立一个转换后IP与发起方IP的映射关系,之后该IP访问任何地址经过NAT转换设备都将转换为第一映射的IP地址。
图3Sticky NAT
某些视频监控客户端软件监控过程要求与多个服务器通信并要求IP和端口要一直保持一致,以及网上银行应用登陆、认证、交易都是多服务器通信要求使用相同的IP地址,如果没有Sticky NAT功能,监控业务可能异常或网银可能登录不了,迪普科技NAT设备采用IP和端口的分配分别通过不同的算法来计算,因此不会存在这个问题,这种问题主要存在于端口+IP作为资源进行离散分配的设备上。
2.5对称NAT
一条流通过NAT转换设备后,将在NAT网关中建立一个映射表,在表项老化期内只有同一个设备的反向流量到达NAT网关才能匹配五元组映射表进行NAT 转换。
图4对称NAT
2.6圆锥NAT
一条流经过NAT设备转换,在老化期内任何IP都可以允许访问该条NAT转换后的IP及端口。
图5圆锥NAT
圆锥NAT主要应用在P2P应用比较多的环境中。由于NAT破坏了IP的端到端的网络模型,通过圆锥NAT可以弥补NAT在UDP方面的缺陷,由于目前各种UDP协议也考虑了NAT设备,因此部分后续的基于UDP协议的应用自身就可以穿越NAT设备,如QQ等。
圆锥NAT主要部署与用户对应用体验非常敏感的地方,如P2P下载,由于破坏了端到端的网络模型,如果应用不支持NAT穿越协议(STUN等协议),由公网侧发起对NAT后私网的下载报文将被NAT设备丢弃,部署圆锥NAT将改善这种情况。
圆锥NAT的公网IP及端口对,是报文匹配圆锥NAT规则,且在首次用户访问外网UDP应用时创建,其老化时间默认为30秒,如果公网用户访问其公网IP 及端口对,则将实时更新这个资源,如30秒后没有报文经过,则删除这资源对。
图6圆锥NAT配置
相应的圆锥NAT还有特殊的两种:限制圆锥NAT及端口限制圆锥NAT,这两种NAT无非就是对外部设备的IP及端口进行进一步的限制,如限制圆锥NAT就是对PC的IP地址进行限制,只有PC2的所有端口才可以对这地址及端口进行访问,而端口限制圆锥NAT就是对端口进行限制,所有PC的端口只有一个,不像圆锥NAT对所有的IP及端口都没有限制。
2.7端口块NAT
首先把端口范围(1025-65535,由于1-1023属于知名端口因此保留)切块,每块大小是相同的;每个地址池IP中都有port/block(端口范围/块大小)个端口块,端口块总资源=ip*port/block,每个内网IP独占一个端口块资源,内网IP数必须小于等于端口块资源数。
图7端口块NAT
端口块NAT:网络设备上配置内网ip范围为addr1~addr2,外网IP地址池为addr3~addr4,块大小为n,根据ip*port/block分配方式得到端口块资源;PC1分到block1,PC2分到block2。PC1访问PC3转换后的IP和端口一定在block1中,PC2访问PC3转换后的IP和端口一定在block2中。
此种类型的NAT主要应用于对日志溯源有很高要求,且日志溯源系统能力不强的情况下。由于NAT日志的量很大,用户不清楚是否日志丢失,因此使用端口块分配NAT,通过端口块分配日志来替代会话日志。如果日志系统能力足够则NAT日志不会丢失则用户的溯源是没有问题的,因此也不需要部署这种NAT。
端口块NAT配置分两种,一种为静态端口块NAT,配置端口块与IP的对应关系已经确定,总资源大小为端口范围除以端口块大小乘以公网IP数。
图8静态端口NAT配置
另外一种为动态端口NAT,配置端口块时端口块总数就固定下了,每次有一个新的内网IP发起就会占用一个端口块资源,直到资源耗尽为止,每个资源没有会话引用时会释放资源,新的IP可以重新占用该资源。
图9动态端口NAT配置
2.8NAT64与DS-Lite
顾名思义,NAT64转换机制是指将IPv6数据报文转换为IPv4数据报文,迪普科技支持完善的NAT64转换技术。在NAT64网络环境中,发起端的IPv6数据在NAT网关上进行NAT64处理并转发到IPv4网络中去。
图10NAT64配置截图
DS-Lite(Dual Strack Lite),是一种IPv4over IPv6的隧道技术。通过在CPE(Customer Premises EqulPment家庭网关设备)和CGN(Carrier Grade NAT 运营商级NAT)支持双栈实现IPv4到IPv6过渡技术。
由于当前IPv4地址即将耗尽,因此运营商会直接建纯IPv6网络,由于IPv4的业务用户需要持续发展,可以使用隧道+NAT技术保证IPv4的业务正常承载。通过CPE与CGN之间建立IPv4over IPv6隧道,CPE把IPv4私网报文通过隧道发送到CGN后,由CGN进行NAT,CPE和CGN通过支持双栈完成IP承载。
图11DS-Lite原理图
如上图所示,CPE给Private主机分配IPv4的私网地址,当支持IPv4协议的主机想通过IPv6网络访问IPv4网络时,可以通过DS-Lite进行地址转换。
1、当CPE收到IPv4的报文后,将会对报文增加IPv6报文头。IPv6报文的源地址为CPE的地址,目的地址为隧道的地址,CPE将报文发往CGN设备。
2、当CGN设备收到报文后,会先去除IPv6头部,然后将IPv4报文做NAT44的转换,替换IPv4报文中的源IP和源端口,并将报文发往IPv4公网。
3、当反向报文到达CGN时,先根据IPv4的转换信息替换报文的目的IP和目的端口,根据IPv6转换信息加上IPv6的报文头后将报文发给CPE设备。
4、CPE再去除IPv6头部,将报文转发给主机。
这样就实现了IPv4私网通过IPv6公网访问IPv4公网的目的。
图12防火墙配置DS-Lite
2.9Session级NAT
Session级NAT主要是针对NAT地址池单一地址的会话支持能力而言的。传统的NAT技术单一地址只能使用65535个端口,而Session级NAT可提供无限制的NAT。无限制NAT可根据五元组信息区分会话,同一端口可用于不同的会话中,实现端口复用。
Session级NAT功能通常部署在公网地址比较紧张的应用场景下。
2.10NAT会话管理与溯源
无论是源NAT,还是目的NAT及一对一NAT,所有类型会话的建立包括NAT 会话都是统一由会话管理模块统一管理,各种协议下(TCP、HTTP、流媒体、P2P),对会话的建立与删除是统一进行管理的,由于会话的老化是由定时器维护的,由于应用协议的不同,各种会话的老化时间也不同,针对不同应用协议,只要不涉及ALG,此类的会话的处理都是一样的,而各类应用协议唯一不同的是会话的老
化时间,其处理机制是相同的。
迪普科技可提供强大的NAT溯源能力,用于对用户行为进行追踪。日志报文被送往设定的统一网管平台进行分析解析存储,以便于查询和检索。记录的时间分别为NAT转换表项建立、转换表项老化以及转换表项超过一定的活跃时间,日志发送具备可靠性机制,保障在大流量前提下,能将所有会话日志进行完整记录。
2.11NAT ALG
通常情况下,NAT只改变IP报文头部地址信息,而不对报文载荷进行分析,这对于普通的应用层协议(如Telnet)来说,并不会影响其业务的开展;然而有一些应用层协议,其报文载荷中可能也携带有地址或端口信息,若这些信息不能被有效转换,就可能导致问题。譬如,某些应用层协议会在客户端与服务器之间协商端口号,然后服务器使用协商出的端口号向客户端发起连接。如果NAT 设备对二者的协商过程一无所知,那么当服务器向客户端发起连接时,就会因为在NAT设备上找不到内部与外部的IP地址/端口号对应关系而造成连接失败。
这个问题可以通过应用级网关(ALG)机制来解决。ALG是特定应用协议的转换代理,它通过对IP报文的载荷进行解析,改变封装在其中的地址和端口信息,并完成其它必要的工作以使应用协议可以穿越NAT。ALG机制可处理的应用层协议包括DNS、FTP、H.323、ILS和SIP等,下面以FTP协议为例介绍ALG处理的过程。
在FTP工作过程中,客户端与服务器之间将建立两条TCP连接:一条为控制连接,负责传输诸如用户指令和参数等控制信息,其中包括发起数据连接时要用到的端口信息;另一条为数据连接,负责在服务器与客户端之间建立数据通道以传送文件。FTP可分为主动和被动两种模式,根据所采用的模式以及服务器/客户端的位置来决定是否需要进行ALG处理:
FTP主动模式NAT ALG处理
在主动模式下,在由客户端发起控制连接中,客户端将指定的端口通过PORT 指令发送给服务器,然后由服务器向该端口发起数据连接,因此:
?当客户端位于公网而服务器位于私网时,由于客户端向服务器通告的是公网地址和端口,服务器可直接向其发起数据连接,因此无需在控制连接中进行ALG处理;
?当客户端位于私网而服务器位于公网时,由于客户端向服务器通告的是私网地址和端口,因此需在控制连接中通过ALG处理将其转换为公网地址和端口,以供服务器发起数据连接所用,其过程下图所示。
图13主动模式下FTP ALG的处理
1、首先,由客户端向服务器发送PORT指令,以向服务器通知发起数据连接所应使用的地址和端口(IP1,Port1);
2、NAT设备收到该指令后,将其中所携带的私网地址和端口(IP1,Port1)替换为公网地址和端口(IP2,Port2),并据此创建相应的NAPT表项——此过程即为ALG处理;
3、服务器收到该指令后,主动向公网地址和端口(IP2,Port2)发起数据连接,并在通过NAT设备时被转化为私网地址和端口(IP1,Port1)。
实验二十九 配置静态NAT 【实验名称】 配置静态NAT 。 【实验目的】 配置网络地址变换,提供到公司共享服务器的可靠外部访问。 【背景描述】 某IT 企业因业务扩展,需要升级网络,他们选择172.16.1.0/24作为私有地址,并用NAT 来处理和外部网络的连接。 【需求分析】 公司需要将172.16.4.2访问外网,同时考虑到包括安全在内的诸多因素,公司希望对外部隐藏内部网络,使外部网络不能访问内部网络。 【实验】 1.1 实验设备 用户自定义路由器2621XM 2台 交换机2950-24 1台 PC 机 2台 1.2 组网图 S0/0S0/0 F0/0 PC3 F0/0 1.3 设备IP 地址表
【实验原理】 在路由器RT3上把通过NAT地址转换,将172.16.4.2、172.16.4.3两台主机访问互联网的行为转换成路由器RT3上220.1.1.2访问互联网的行为,从而实现把内网隐藏起来。 1.4 配置步骤 第一步在路由器上RT1配置静态路由选择和IP地址。 第二步在路由器上RT2配置静态路由选择和IP地址。 第三步在路由器上RT3配置静态路由选择和IP地址。 第四步在路由器RT3上配置静态NAT。 第五步在路由器RT3上指定一个内部接口和一个外部接口。 第六步在RT3上查看地址转换的情况 先从内网PING 外网计算机,再查看地址转换情况 Router#show ip nat translations 1.5 验证配置 1、主机PC1通过PING 命令PING主机PC3截图保存在PKT文件中。 2、RT3上对主机PC1通过PING 命令PING主机PC3时进行的地址转换 3、主机PC2通过PING 命令PING主机PC3截图保存在PKT文件中。 4、RT3上对主机PC2通过PING 命令PING主机PC3时进行的地址转换 5、主机PC3通过PING 命令PING主机PC1(或PC2)截图保存在PKT文件中。
静态NAT配置实例 NAT的实现方式有三种,即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。 静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,而是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。但在一个时间点上,同时访问外网的主机数量不会多于地址中的公有IP 地址数量。只有释放后才能被其它的内网主机重新获取分配。即:在一个时间点上是一对一的关系,在一个时间段上是一对多的关系。 端口多路复用是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,PortAddressTranslation),采用端口多路复用方式。内部网络的所有主机均可共享一个(或多个地址池中的)合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。实现一对多的对应关系 【背景描述】 现假设某单位创建了PC1和 PC2,这两台PC机不但允许内部用户(IP 地址为 172.16.1.0/24 网段)能够相互访问,而且要求 Internet 上的外网用户也能够访问。为实现此功能,本单位向当地的ISP申请了一段公网的IP地址210.28.1.0/24(210.28.1.10和210.28.1.11)。通过静态NAT转换,当Internet 上的用户访问这两台PC时,实际访问的是210.28.1.10和210.28.1.11这两个公网的IP地址,但用户的访问数据被路由器R1(NAT)分别转换为172.16.1.10
NAT有3种实现方式,包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址;动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络;端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,选择相应的NAT技术类型。 一般我们实际工作中都使用复用NAT,即复用断口NAT,也叫PNAT. 所以掌握最后配置就可以了。 静态NAT配置步骤: 首先,配置各接口的IP地址。内网使用私有IP.外网使用公网IP.并指定其属于内外接口。 其次,定义静态建立IP地址之间的静态映射。 最后,指定其默认路由。 Router>en(进入特权模式) Router#config (进入全局配置模式) Configuring From terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ho R3(命名为R3) R3(config)#no ip domain-lo(关闭域名查询,在实验环境中,敲入错误的命令,它将进行域名查询,故关闭他) R3(config)#line c 0(进入线路CONSOLE接口0下) R3(config-line)#logg syn(启用光标跟随,防止日志信息冲断命令显示的位置)R3(config-line)#exec-t 0 0(防止超时,0 0为永不超时) R3(config-line)#exit R3(config)#int e0(进入以太网接口下) R3(config-if)#ip add 192.168.1.1 255.255.255.0(设置IP地址) R3(config-if)#ip nat inside(设置为内部接口) R3(config-if)#no shut R3(config-if)#exit R3(config)#int ser1 (进入串口下) R3(config-if)#ip add 100.0.0.1 255.255.255.0 R3(config-if)#no shut R3(config-if)#ip nat outside(设置为外部接口) R3(config-if)#exit R3(config)#ip nat inside source static 191.168.1.1 100.0.0.1(设置静态转换,其中ip nat inside source为NAT转换关键字,这里是静态,故为STATIC)R3(config)#ip classless R3(config)#ip route 0.0.0.0 0.0.0.0 s0(这里是出口或者下一跳地址) R3(config)#exit
实验目的: 1、掌握静态NAT的配置 2、掌握动态NAT的配置 实验拓扑: PC1:IP:192.168.1.1 /24 GW:192.168.1.254 PC2:IP:192.168.1.2 /24 GW:192.168.1.254 PC3:IP:202.1.1.0 /24 PC3不要配置网关, IP地址的基本配置 R1(config)#int f1/0 R1(config-if)#ip add 192.168.1.254 255.255.255.0 R1(config-if)#no shut R1(config)#int f0/0 R1(config-if)#ip add 202.1.1.10 255.255.255.0 R1(config-if)#no shut 静态NAT的配置 1、设置对内和对外接口 R1(config)#int f1/0 R1(config-if)#ip nat inside F1/0是连接外网的 R1(config-if)#int f0/0 R1(config-if)#ip nat outside F0/0是连接外网的 R1(config)#ip nat inside source static 192.168.1.1 202.1.1.100 R1(config)#ip nat inside source static 192.168.1.2 202.1.1.101 这时PC1和PC2去ping外网地址202.1.1.10可以ping通。外网的真实PC可以ping不通内网的地址,但是可以ping通202.1.1.100和202.1.1.101地址。因为ARP缓存表中有该地址对应的MAC。 2、动态NAT的配置 R1(config)#int f1/0
网络工程实验四 NAT和PAT配置 一、实验环境 一台装有Boson NetSim for CCNP 和Boson Network Designer 软件的PC 机。 二、实验目的 本实验的目的是通过配置静态地址传输,动态地址传输,对NAT的工作原理有初步的熟悉,把握NAT在路由器上的配置方法,对NAT在网络上的应用有更深的了解。 三、实验步骤 1、通过Boson Network Designer 画出实验拓扑图。 2、配置静态NAT查看配置并用Ping命令检验 3、配置动态NAT同样查看配置并检验 4、配置动态PAT 四、实验过程 Stepl :在BOSOn NetWOrk DeSigner 画出实验拓扑图如图3-1所示。
图 4-1HoSt 1IP 地址 图 4-2HoSt 1IP 地址 图 4-3HoSt 1IP 地址 清冈厨踣 h p://WVWW.vi p tn. c om 图3-1实验拓扑图 Step2:配置各个路由器端口的IP 地址,并在ROuterB 和ROuterC 上配置到 202.116.78.0 网段的静态路由。而在 ROUterA 上分别为ROUterB 和ROUterC 配 置一条到达内部全局地址的静态路由。如图 4-1,4-2 ,4-3,4-4,4-5,4-6所 示。 EO 202 11664 1 20? 116 64. 2 192 IBS. 1. 1 HDST -2 1$2. l&a. 1. 2 转按成 202. 116.67.x S02- 11S. 78. 1 HJ$T_1 302.11& 70. 2 所有掩码为24位 ID. 0. 1. i HDSTJS 10. 0. 1. 2 nou
实验一静态NAT
Router(config)#ipnat inside source static 192.168.1.1 200.1.1.10 Router(config)#interface f0/0 Router(config-if)#ipnat inside Router(config-if)#ex Router(config)#interface f0/1 Router(config-if)#ipnat outside 验证从外网ping内网的主机看回包 实验二、动态NAT 1、建立地址池 Router(config)#ipnat pool p1 200.1.1.20 200.1.1.21 netmask 255.255.255.0 2、控制内部网络 Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 3、建立控制列表和地址池关系 Router(config)#ipnat inside source list 10 pool p1 4、定义接口类型 Router(config)#interface f0/0 Router(config-if)#ipnat inside Router(config)#interface f0/1 Router(config-if)#ipnat outside
验证实验结果,从外部向内部ping 实验三、基于动态NAT的NAPT 修改第三步 Router(config)#ipnat inside source list 10 pool p1 overload 验证实验结果,所有主机使用一条IP访问外网
实验三十三:静态路由-网络地址转换 一、实验介绍: 1、实验名称: 2、实验目的: 3、实验设备: 4、实验时间:30 实验步骤: 二、多网段的NAT 地址转换 1、路由器 R2600 >enable !进入全局模式 # configure terminal !进入特权模式 (config)# interface fastethernet 0 !进入路由器B 的以太网接口 (config-if)# ip address 192.168.19.18 255.255.255.0 !定义路由器以太网接口IP 地址 (config-if)# no shutdown !开启以太网接口 (config-if)# exit !退出以太网口,返回到特权模式 (config)# interface S 2 !进入广域网口WAN0配置模式 (config-if)# ip address 10.20.30.2 255.255.255.0 !定义DCE 的W AN0口IP 地址 (config-if)# no shutdown !开启DCE 的WAN0口 (config-if)# exit !退出W AN0口,返回到特权模式 (config)# ip route 0.0.0.0 0.0.0.0 192.168.19.100 (config)# ip route 172.16.0.0 255.255.0.0 10.20.30.1 PC1 IP:172.16.1.2/24 GW:172.16.1.1 PC2 IP:172.16.2.2/24 GW:172.16.2.1 PC3 IP:172.16.3.2/24 GW:172.16.3.1
实验报告 项目12 静态NAT配置 1 任务概述 静态NAT是设置内部IP和外部IP一对一的转换,将某个私有IP地址固定的映射成为一个合法的公有IP。如下图配置计算机和路由器,设置RouterA的IP地址:s0/0: 60.1.1.1/24 ,f0/0: 10.65.1.1/16 ,将接口f0/0设置为内部接口,接口s0/0设置为外部接口,静态映射私有IP为公网IP,映射规则如下: 私有IP ——> 公网IP 10.65.1.2 60.1.1.33 10.65.1.3 60.1.1.34 10.65.1.4 60.1.1.35 2 方案设计 2.1需求分析 网络地址转换(NA T,Network Address Translation)被广泛应用于各种类型Internet 接入方式和各种类型的网络中。原因很简单,NAT 不仅完美地解决了lP 地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。NAT 的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。 2.2 方案设计示意图(可以用Office的Visio软件画图): 2.3设备清单 搭建如上图所示的网络环境,需要如下的设备及材料: (1)Cisco2621路由器(2台); (2)PC机2台; (3)双绞线(若干根); 2.4 规划路由器各接口IP地址、子网掩码如下表所示: 路由器名称接口IP地址子网掩码描述 Router A F0/0 10.65.1.1/16 255.255.0.0 连接内网 Router A F0/1 60.1.1.1/30 255.255.255.252 连接外网 Router B F0/0 60.1.1.2/16 255.255.0.0 连接外网 Router B F0/1 133.0.0.2/24 255.255.255.0 连接外网 2.5 规划各计算机的IP地址、子网掩码和网关如下表所示: 计算机IP地址子网掩码网关
实验报告 项目13 动态NAT配置 1 任务概述 动态NAT一般用于局域网中多个私有IP在出口时,从公有IP地址池中提取合法 的公有IP对外访问。 设内部局域网使用10.65.0.0/16网络,公网IP地址133.1.1.33~133.1.1.62为一 个地址池,当内部网络要访问外网时,从地址池中提取公有IP。 2 方案设计 2.1需求分析 网络地址转换(NA T,Network Address Translation)被广泛应用于各种类型Internet 接入方式和各种类型的网络中。原因很简单,NAT 不仅完美地解决了lP 地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。NAT 的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。 2.2 方案设计示意图(可以用Office的Visio软件画图): 2.3设备清单 搭建如上图所示的网络环境,需要如下的设备及材料: (1)Cisco2621路由器(2台); (2)PC机3台; (3)串行电缆1根; (4)Cisco2960交换机1台; (5)双绞线(若干根); (6)直连线(若干根)。 2.4 规划路由器各接口IP地址、子网掩码如下表所示: 路由器名称接口IP地址子网掩码描述 Router A F0/0 10.65.1.1/16 255.255.0.0 连接内网 Router A S0/0 133.1.1.1/30 255.255.255.252 连接外网 Router B S0/0 133.1.1.2/24 255.255.255.0 外网 Router B S0/1 133.0.0.2/24 255.255.255.0 外网
大连理工大学实验报告 学院(系):专业:班级: 姓名:学号:组:__ 实验时间:实验室:实验台: 指导教师签字:成绩: 实验七:防火墙配置与NAT配置 一、实验目的 学习在路由器上配置包过滤防火墙和网络地址转换(NAT) 二、实验原理和内容 1、路由器的基本工作原理 2、配置路由器的方法和命令 3、防火墙的基本原理及配置 4、NAT的基本原理及配置 三、实验环境以及设备 2台路由器、1台交换机、4台Pc机、双绞线若干 四、实验步骤(操作方法及思考题) {警告:路由器高速同异步串口(即S口)连接电缆时,无论插拔操作,必须在路由器电源关闭情况下进行;严禁在路由器开机状态下插拔同/异步串口电缆,否则容易引起设备及端口的损坏。} 1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别 将两台路由器的配置清空,以免以前实验留下的配置对本实验产生影响。2、在确保路由器电源关闭情况下,按图1联线组建实验环境。配置IP地址,以
及配置PC A 和B 的缺省网关为 202.0.0.1,PC C 的缺省网关为 202.0.1.1,PC D 的缺省网关为 202.0.2.1。 202.0.0.2/24 202.0.1.2/24 192.0.0.1/24192.0.0.2/24 202.0.0.1/24 202.0.1.1/24S0 S0 E0E0 202.0.0.3/24 202.0.2.2/24 E1 202.0.2.1/24AR18-12 AR28-11 交叉线 交叉线 A B C D 图 1 3、在两台路由器上都启动RIP ,目标是使所有PC 机之间能够ping 通。请将为达到此目标而在两台路由器上执行的启动RIP 的命令写到实验报告中。(5分) 答:(本组四台路由器均为AR-28) PC A 上命令: [H3C]interface ethernet 0/0 [H3C-Ethernet0/0]ip address 202.0.0.1 255.255.255.0 [H3C-Ethernet0/0]interface serial 2/0 [H3C-Serial2/0]ip address 192.0.0.1 255.255.255.0 [H3C-Serial2/0]shutdown [H3C-Serial2/0]undo shutdown [H3C]rip [H3C-rip]network 0.0.0.0 PC C 上命令: [H3C]interface ethernet 0/0 [H3C-Ethernet0/0]ip address 202.0.1.1 255.255.255.0 [H3C-Ethernet0/0]interface ethernet 0/1 [H3C-Ethernet0/1]ip address 202.0.2.1 255.255.255.0 [H3C-Ethernet0/1]interface serial 0/1 [H3C-Serial0/1]ip address 192.0.0.2 255.255.255.0 [H3C-Serial0/1]shutdown [H3C-Serial0/1]undo shutdown [H3C]rip [H3C-rip]network 0.0.0.0 4、在AR18和/或AR28上完成防火墙配置,使满足下述要求: (1) 只有PC 机A 和B 、A 和C 、B 和D 之间能通信,其他PC 机彼此之 间都不能通信。(注:对于不能通信,要求只要能禁止其中一个方向就可以了。)
实验 DHCP 与 NAT 配置练习 拓扑图 地址表 所有内容版权所有 ? 1992–2007 Cisco Sy stems, Inc. 保留所有权利。本文档为 Cisco 公开信息。 第 1 页(共 4 页)
接入WAN:IP编址服务 学习目标 完成本实验后,您将能够: 实验7.4.2:DHCP与NAT配置练习 ? ? ? ? ? ? ? 准备网络 执行基本路由器配置 配置Cisco IOS DHCP服务器配置静态路由和默认路由 配置静态NAT 利用地址池配置动态NAT 配置NAT过载 场景 本实验中,请使用拓扑图所示的网络配置IP地址服务。如需帮助,请参考前面的基本DHCP与NAT配置实验。不过,请尽量自己完成练习。 任务1:准备网络 步骤1:根据拓扑图所示完成网络电缆连接。 您可使用实验室中现有的、具有拓扑中所示接口的路由器。 注:如果使用1700、2500或2600系列路由器,显示的路由器输出和接口描述可能会有所不同。 步骤2:清除路由器的所有配置。 任务2:执行基本路由器配置 根据以下说明配置R1、R2和ISP路由器: ? ? ? ? ? ? ? ? 配置设备主机名。 禁用DNS查找。 配置特权执行模式口令。 配置当日消息标语。 为控制台连接配置口令。 为所有vty连接配置口令。 在所有路由器上配置IP地址。本实验中,PC稍后将从DHCP接收IP编址信息。在R1和R2上使用进程ID 1启用OSPF。请勿通告209.165.200.224/27网络。 注:可以在R2上配置环回接口来使用IP地址192.168.20.254/24,而不必将服务器与R2相连。这样做的话,便无需配置快速以太网接口。 所有内容版权所有? 1992–2007 Cisco Sy stems, Inc.保留所有权利。本文档为Cisco公开信息。第2页(共4页)
实验NAT配置 一、实验需求 (1)在路由器R1上配置静态NAT,使外网能通过域名访问内网的web服务器; (2)在路由器R1上配置动态NAT或Easy IP,使内网能访问外网。 二、实验拓扑 图 NAT实验配置 三、实验步骤 (1)请根据实验拓扑图,配置各个路由器的主机名(主机名格式:如R1-zhangsan),接口IP地址,并给出路由器R1、ISP的配置截图。
(2)按拓扑图中的IP网络参数,配置web服务器、DNS服务器、PC1和PC2,请给出WEB服务器、DNS服务器和PC1的配置截图。
(3)在web服务器上指定D:盘作为根目录,并启用web服务;在DNS 上做好域名解析,请给出设置界面的截图。
(4)通过PC1 ping ,检验域名解析是否成功,并给出ping结果截图。 //能ping通,则域名解析正常,否则,说明配置有误。 (5)在R1上给web服务器和DNS服务器配置静态NAT,使web服务器和公网IP 建立一对一映射;使DNS服务器和公网IP 建立一对一映射。请给出R1的静态NAT配置截图。
(6)在ISP上建立静态域名解析表,然后ping web服务器,检验静态NAT是否生效,请给出ping结果的截图。 (7)在R1上配置动态NAT和去往外网的静态路由,使得内网能访问外网,请给出R1配置动态NAT的截图。 (8)通过PC1 ping ,检验NAT是否生效,请给出ping结果截图。 //能ping通,则说明动态NAT工作正常,反正实验存误! (9)在R1上查看静态NAT转换信息,请给出截图。
(10)先在PC1上执行ping –c 2,再立即在R1上查看动态NAT转换信息,请给出PC1和R1的截图。
实验八NAT协议实验 一、实验目的 1. 掌握NAT相关概念和工作原理 2. 掌握配置静态NAT和动态NAT的命令和步骤 二、实验设备 1. 服务器两台; 2. 客户机一台; 3. R1762路由器一台; 4. S2126交换机一台。 三、相关准备知识 图一 图二 【实验步骤】 步骤一静态NAT的配置(图一) Router#configure terminal
Router(config)#interface fastethernet 0 !定义为内部接口 Router(config-if)#ip nat inside Router(config-if)#ip address 10.0.0.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface serial 0 !定义为外部接口 Router(config-if)#ip nat outside Router(config-if)#ip address 2.2.2.3 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#ip nat inside source static 10.0.0.100 2.2.2.3 !定义内部源地址静态转换关系 步骤二动态路由的配置(图二) R2: 配置接口ip地址: R2(config)#int f0/0 R2(config-if)#ip add192.168.1.254 255.255.255.0 R2(config-if)#no sh R2(config-if)#int s1/0 R2(config-if)#ip add 202.96.1.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit 配置默认路由让流量出去: R2(config)#ip route 0.0.0.0 0.0.0.0 202.96.1.2 配置感兴趣流,指定需要转换的地址: R2(config)#access-list 1 permit 192.168.1.0 0.0.0.255 配置nat地址池: R2(config)#ip nat pool nat 202.96.1.3 202.96.1.100 netmask 255.255.255.0 关联感兴趣流和地址池: R2(config)#ip nat inside source list 1 pool nat 指定为内网: R2(config)#int f0/0 R2(config-if)#ip nat inside 指定为外网: R2(config-if)#int s1/0 R2(config-if)#ip nat outside R3: 配置接口ip地址: R3(config)#int s1/0 R3(config-if)#ip add 202.96.1.2 255.255.255.0 R3(config-if)#clock rate 64000
网络工程实验四 NAT与PAT配置 一、实验环境 一台装有Boson NetSim for CCNP与BosonNetworkDesigner软件得PC机. 二、实验目得 本实验得目得就是通过配置静态地址传输,动态地址传输,对NAT得工作原理有初步得熟悉,把握NAT在路由器上得配置方法,对NAT在网络上得应用有更深得了解。 三、实验步骤 1、通过Boson Network Designer画出实验拓扑图。 2、配置静态NAT,查瞧配置并用Ping命令检验 3、配置动态NAT,同样查瞧配置并检验 4、配置动态PAT 四、实验过程 Step1:在Boson Network Designer画出实验拓扑图如图3-1所示。 图3—1 实验拓扑图 Step2:配置各个路由器端口得IP地址,并在RouterB与RouterC上
配置到202、116、78、0网段得静态路由。而在RouterA上分别为RouterB 与RouterC配置一条到达内部全局地址得静态路由。如图4-1,4-2,4—3,4—4,4—5,4-6所示。 图4-1Host_1IP地址图4-2Host_1IP地址图4-3Host_1IP地址 图4—4RouterA各端口与静态路由配置
图 4-5RouterB各端口与静态路由配置 图4—6RouterC各端口与静态路由配置 Step3:在RouterB上配置静态NAT,将Host_2得内部局部地址10。0。1、2转化为外部全局地址202、116、65、1。如图4—7所示. 图4—7在RouterB配置静态NAT 在Host_1主机上使用Ping202、116、65、1检验静态NAT,如图4—8所示可以Ping通,证明静态NAT配置成功。
实验二配置静态Nat 【实验名称】 配置静态NAT。 \\192.168.111.18 【实验目的】 配置网络地址变换,提供到公司共享服务器的可靠外部访问。【背景描述】 某IT企业因业务扩展,需要升级网络,他们选择172.16.1.0/24作为私有地址,并用NAT来处理和外部网络的连接。 【需求分析】 公司需要将172.16.1.2和172.16.1.3两台主机作为共享服务器,需要外网能够访问,考虑到包括安全在内的诸多因素,公司希望对外部隐藏内部网络。 这两台PC机不但允许内部用户(IP 地址为 172.16.1.0/24 网段)能够访问,而且要求 Internet 上的外网用户也能够访问。为实现此功能,本单位向当地的ISP(互联网服务提供商)申请了两个公网的IP地址1.1.1.3和1.1.1.4,通过静态NAT转换,当Internet上的用户访问这两台PC时,实际访问的是1.1.1.3和1.1.1.4这两个公网的IP地址,但用户的访问数据被路由器Router-A分别转换为
172.16.1.2和172.16.1.3两个内网的私有IP地址。 【实验拓扑】 【实验设备】 路由器2台 交换机1台 PC机2台 【预备知识】 路由器基本配置知识、IP路由知识、NAT原理。 【实验原理】 静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP 地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 静态 NAT 使用本地地址与全局地址的一对一映射,这些映射保持不变。静态 NAT 对于必须具有一致的地址、可从 Internet 访问
实验一:NAT配置实验目的 1、掌握NAT相关概念、分类和工作原理 2、学习配置NAT的命令和步骤 3、查看NAT转换配置情况 4、练习配置动态NAT和PAT 实验要求 1、NAT拓扑与地址规划; 2、NAT基本配置和PAT配置 3、验证NAT和PAT配置并给出配置清单 实验拓扑
实验设备(环境、软件) 路由器2台,交叉线3条,serial DCE线一条。Pc机2台,www服务器一台。 实验设计到的基本概念和理论 NAT技术使得一个私有网络可以通过internet注册IP连接到外部世界,位于inside网络和outside 网络中的NAT路由器在发送数据包之前,负责把内部IP翻译成外部合法地址。内部网络的主机不可能同时于外部网络通信,所以只有一部分内部地址需要翻译。 NAT的主要用途是让网络能使用私有IP地址一节省IP地址。NAT将不可路由的私有内部地址转换成可路由的 NAT的翻译可以采取静态翻译(static translation)和动态翻译(dynamic translation)两种。静态翻译将内部地址和外部地址一对一对应。当NAT需要确认哪个地址需要翻译,翻译时采用哪个地址pool时,就使用了动态翻译。采用portmultiplexing技术,或改变外出数据的源port技术可以将多个内部IP地址影射到同一个外部地址,这就是PAT(port address translator)。 当影射一个外部IP到内部地址时,可以利用TCP的load distribution技术。使用这个特征时,内部主机基于round-robin机制,将外部进来的新连接定向到不同的主机上去。注意:load distributiong 只有在影射外部地址到内部的时候才有效。 实验过程和主要步骤 步骤一:主机与服务器的IP地址配置 1、PC0上IP的配置 192.168.3.1 2、PC1上IP的配置 192.168.2.1 3、服务器IP的配置
路由实验实验五 NAT-网络地址转换协议配置实验 一、实验目的 加深对NAT-网络地址转换协议工作原理的理解,掌握NAT-网络地址转换协议的应用与配置。 二、实验命令简介 1、锐捷公司路由器使用以下配置命令来配置静态NAT: (1)定义内网接口和外网接口 Router(config)#interface fastethernet 1/0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 1/1 Router(config-if)#ip nat inside (2)建立静态的映射关系 Router(config)#ip nat inside source static 192.168.1.7 200.8.7.3 2、锐捷公司路由器使用以下配置命令来配置静态NAPT: (1)定义内网接口和外网接口 Router(config)#interface fastethernet 0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 1 Router(config-if)#ip nat inside (2)建立静态的映射关系 Router(config)#ip nat inside source static tcp 192.168.1.7 1024 200.8.7.3 1024 Router(config)#ip nat inside source static udp 192.168.1.7 1024 200.8.7.3 1024 3、锐捷公司路由器使用以下配置命令来配置动态NAT: (1)定义内网接口和外网接口 Router(config-if)#ip nat outside Router(config-if)#ip nat inside (2)定义内部本地地址范围 Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 (3)定义内部全局地址池 Router(config)#ip nat pool abc 200.8.7.3 200.8.7.10 netmask 255.255.255.0 (4)建立映射关系 Router(config)#ip nat inside source list 10 pool abc 4、锐捷公司路由器使用以下配置命令来配置动态NAPT: (1)定义内网接口和外网接口 Router(config-if)#ip nat outside Router(config-if)#ip nat inside (2)定义内部本地地址范围 Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 (3)定义内部全局地址池 Router(config)#ip nat pool abc 200.8.7.3 200.8.7.3 netmask 255.255.255.0
静态NAT 实验 一、实验拓扑 二、实验概述 Internet 技术的飞速发展,使越来越多的用户加入到Internet,因此,IP 地址短缺已成为一个十分突出的问题。NAT(Network Address Translation,网络地址翻译)是解决IP 地址短缺的重要手段。 NAT 技术使用一个私有网络可以通过Internet 注册IP 连接到外部世界,位于Inside 网络和Outside 网络中的NAT 路由器在发送数据包之前,负责把内部IP 地址翻译成外部合法的IP 地址。NAT 将每个局域网节点的IP 地址转换成一个合法的IP 地址,反之亦然。它也可以应用到防火墙技术中,把个别IP 地址隐藏起来不被外界发现,对内部网络设备起到保护的作用,同时,它还可以帮助网络超越地址的限制,合理地安排网络中的公有Internet 地址和私有IP 地址的使用。 三、实验步骤 内部主机配置
配置路由器R1提供NAT 服务 R1(config)#int f1/0 R1(config-if)#ip add 192.168.1.3 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#int s0/0 R1(config-if)#ip add 202.103.224.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exi R1(config)#ip route 0.0.0.0 0.0.0.0 s0/0//配置默认路由能够去往目标网络 R1(config)#ip nat inside source static 192.168.1.1202.103.224.10 R1(config)#ip nat inside source static 192.168.1.2202.103.224.11//配置静态NAT的映射,将内部私有地址在通过外网设备时被转换成一个共有IP地址 将NAT关联到接口 R1(config)#int f1/0 R1(config-if)#ip nat inside //配置NAT 内部接口 R1(config-if)#int s0/0 R1(config-if)#ip nat outside//配置NAT外部接口 配置R2作为外网 R2(config)#int s0/0 R2(config-if)#ip add 202.103.224.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#int lo0 R2(config-if)#ip add 2.2.2.2 255.255.255.255 R2(config)#ip route 0.0.0.0 0.0.0.0 s0/0(需要访问内网时所需) 四、实验分析
CCNA:PAT、动态nat、静态nat配置 2008-12-21 10:59:20| 分类:程序之路阅读169 评论0字号:大中小 PAT(port address translation):端口多路复用技术将192.168.1.2--192.168.1.254 转换为60.28.33.42/27 ,通过一个IP地址,不同的端口号访问外网 外部接口的端口复用(只有一个公网地址,用在了外部接口的时侯) 1 设置内外部接口IP地址:(省略) 2 定义内部允许访问外部的ACL router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 3 设置端口复用IP地址转换 router(config-if)#ip nat inside source list 1 interface s0/0 overload “1“:允许访问外部的ACL的名字 “interface s0/0”:因为不定义公网IP地址池,而直接使用外部地址IP,所以这里直接使用外部接 口。 “overload”:代表使用地址复用 4 在内外不接口启用NAT router(config)#inter s0/0 (进入外部接口) router(config-if)#ip nat outside (在外部接口启用nat) router(config)#inter f0/0 (进入内部接口) router(config-if)#ip nat inside (在内部接口启用nat)
带公网地址池的端口复用 步骤和上面一样,只有在第二步后,多了一步 定义公网IP地址池 router(config)#ip nat pool test 60.28.33.42 60.28.33.42 netmask 255.255.255.224 ”test“:地址池的名字 ”60.28.33.42 60.28.33.42”:地址池内起始到终止的IP地址(因为只有一个,所有起始和终止都一 样)。 动态NAT 把内部地址:192.168.1.2--192.168.1.254 转换为外部地址:60.28.33.42--60.28.33.45 1 设置内外部接口IP地址:(省略) 2 定义允许访问外部的ACL router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 (代表这个网段内IP都可以通过 nat转换访问外网) 3 定义合法的IP地址(都是公网IP) router(config)#ip nat pool test 60.28.33.42 60.28.33.45 netmask 255.255.255.224 type rotary “test”:地址池的名字 “60.28.33.42 60.28.33.45”:地址池内起始到终止的IP地址