网络地址转换

网络地址转换 网络地址转换ISSUE 1.0日期:杭州华三通信技术有限公司 版权所有，未经授权不 得使用与传播引入 网络迅速发展， IPv4地址不敷使用 IPv4地址分配不均 私有地 址用户需要访问Internet NAT提供私有地址到公有地址的转换课程目标 学习完本课 程，您应该能够: 理解NAT技术出现的历史背景 理解NAT的分类及原理 配置常 见NAT应用 处理常见NAT问题 在实际网络中灵活使用NAT技术目录 NAT概述 Basic NAT NAPT Easy IP NAT Server NAT ALG NAT的信息显示和调试公有地址和 私有地址 公司B 10.0.0.0/8 公司A 10.0.0.0/8 Internet 私有地址范围: 10.0.0.0 - 10.255.255.255 公司C 172.16.0.0 - 172.31.255.255 10.0.0.0/8 192.168.0.0 - 192.168.255.255 任何组织都可以任意使用私有地址空间 私有地址在Internet上无法 路由 如果采用私有地址的网络需要访问Internet， 必须在出口处部署NAT设备 www.h3c.comNAT组网和常用术语 私网 公网 HostA 地址池 198.76.28.11 198.76.28.12 …… Server 10.0.0.1 198.76.28.20 Internet Internet 10.0.0.254/24 198.76.28.1/24 10.0.0.2 NAT设备 198.76.29.4/24 HostBwww.h3c.com目录 NAT概述 Basic NAT NAPT Easy IP NAT Server NAT ALG NAT的信息显示和调试Basic NAT 1 D198.76.29.4 3 D198.76.29.4 S10.0.0.1 S198.76.28..11 NAT table HostA Inside Address Global Address 2 10.0.0.1 198.76.28.11 5 10.0.0.2 198.76.28.12 地址池 Server 10.0.0.1 (198.76.28.11,20) Internet Internet 10.0.0.254/24 10.0.0.2 RTA 198.76.28.1/24 198.76.29.4/24 D10.0.0.1 6 D198.76.28.11 4 S198.76.29.4 S198.76.29.4HostBwww.h3c.com配置Basic NAT 配置ACL 用于判断哪些数据包的 地址应被转换 被ACL允许(permit)的报文将被进行NAT转 换，被拒绝(deny) 的报文将不会被转换 配置地址池 nat address-group group-number start-addr end-addr 配置地址转换 nat outbound acl-number address-group group-number no-patwww.h3c.comBasic NAT配置示例 HostA 地址池 Server 10.0.0.1 (198.76.28.11,20) Eth0/1 Internet Internet 10.0.0.254/24 RTA 198.76.28.1/24 10.0.0.2 198.76.29.4/24HostB 通过ACL定义一条rule，匹配源地址属于10.0.0.0/24网 段的数据 RTAacl number 2000 RTA-acl-basic-2000rule 0 permit source 10.0.0.0 0.0.0.255 配置NAT地址池1用于地址转换的，地址池中的地址从198.76.28.11到 198.76.28.20 RTAnat address-group 1 198.76.28.11 198.76.28.20 进入接口模式视图 RTAinterface Ethernet0/1 将地址池1与acl 2000关联，并在接口出方向上应用NAT RTA-Ethernet0/1nat outbound 2000 address-group 1 no-pat www.h3c.com目录 NAT概 述 Basic NAT NAPT Easy IP NAT Server NAT ALG NAT的信息显示和调试NAPT 1 D198.76.29.4 P80 3 D198.76.29.4 P80 S10.0.0.1 P1024 S198.76.28..11 P2001 NAT table Inside Address Global Address HostA Port Port 2 10.0.0.1:1024 198.76.28.11:2001 5 10.0.0.2:1024 198.76.28.11:3001 地址池 Server 10.0.0.1 (198.76.28.11,20) Internet Internet 10.0.0.254/24 10.0.0.2 RTA 198.76.28.1/24 198.76.29.4/24 D10.0.0.1 P1024 6 D198.76.28.11 P2001 4 S198.76.29.4 P80 S198.76.29.4 P80HostBwww.h3c.com配置NAPT 配置ACL 用于判断哪些数据包的地址应被转换 被ACL允许(permit)的报文将被进行NAT转 换，被拒绝(deny)的报文将不会被 转换 配置地址池 nat address-group group-number start-addr end-addr 配置地址转换 nat outbound acl-number address-group group-numberwww.h3c.comNAPT配置举例 HostA 地址池 Server 10.0.0.1 (198.76.28.11) Eth0/1 Internet Internet 10.0.0.254/24 10.0.0.2 RTA 198.76.28.1/24 198.76.29.4/24 通过ACL定义一条rule，匹配源地址属 于10.0.0.0/24网段的数据 RTAacl number 2000HostB RTA-acl-basic-2000rule 0 permit source 10.0.0.0 0.0.0.255 配置NAT地址池1，地址池中只放入一个地址198.76.28.11 RTAnat address-group 1 198.76.28.11 进入接口模式视图 RTAinterface Ethernet0/1 将地址池1与acl 2000关联，并在接口出方向上应用NAT RTA-Ethernet0/1nat outbound 2000 address-group 1www.h3c.com目录 NAT概述 Basic NAT NAPT Easy IP NAT Server NAT ALG NAT的信息显示和调试Easy IP NAT设备直接使用出接口的IP地址 作为 转换后的源地址 不用预先配置地址池 工作原理与普通NAPT相同，是NAPT 的 一种特例 适用于拨号接入Internet或动态获得IP地 址的场合www.h3c.com配置 Easy IP 配置ACL 用于判断哪些数据包的地址应被转换 被ACL允许(permit)的报 文将被进行NAT转 换，被拒绝(deny)的报文将不会被转换 配置地址转换 nat outbound acl-numberwww.h3c.comEasy IP配置举例 HostA Server 10.0.0.1 Eth0/1 Internet Internet 10.0.0.254/24 198.76.28.1/24 10.0.0.2 RTA 198.76.29.4/24 通过ACL 定义一条rule，匹配源地址属于10.0.0.0/24网段的数据HostB RTAacl number 2000 RTA-acl-basic-2000rule 0 permit source 10.0.0.0 0.0.0.255 进入接口模式视图 RTAinterface Ethernet0/1 将acl 2000与接口关联，并在出方向上应用NAT RTA-Ethernet0/1nat outbound 2000 address-group 1www.h3c.com目录 NAT概述 Basic NAT NAPT Easy IP NAT Server NAT ALG NAT的信息显示和调试NAT Server 4 D198.76.29.4 P1033 6 D198.76.29.4 P1033 S10.0.0.1 P8080 S198.76.28..11 P80 NAT Server HostA Inside Address Global Address Port Port 5 10.0.0.1:8080 198.76.28.11:80 2 HostC 10.0.0.1 RTA E0/0 Internet Internet 10.0.0.254/24 198.76.28.1/24 10.0.0.2 198.76.29.4/24 D10.0.0.1 P8080 3 D198.76.28.11 P80 1 S198.76.29.4 P1033 S198.76.29.4 P1033HostBwww.h3c.com