分享会-NAT企业网应用实战.pptx

思博网络 SPOTO NAT 企业网应用实战 讲师：陈陈老师 CCIE 37448 华为官方认证HALP讲师 日期：2019年2月28日 Page 2 课程内容 NAT技术介绍 NAT配置实战 NAT应用缺陷与ALG技术 Page 3 前言 随着Internet的发展和网络应用的增多，IPv4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足的问题，但目前众多的网络设备和网络应用仍是基于IPv4的，因此在IPv6广泛应用之前，一些过渡技术的使用是解决这个问题的主要技术手段。 网络地址转换技术NAT（Network Address Translation）主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时，通过NAT技术可以将其私网地址转换为公网地址，并且多个私网用户可以共用一个公网地址，这样既可保证网络互通，又节省了公网地址。 Page 4 NAT处理报文的几个关键特点： ■ 网络被分为私网和公网两个部分，NAT网关设置在私网到公网的路由出口位置，双向流量必须都要经过NAT网关； ■ 网络访问只能先由私网侧发起，公网无法主动访问私网主机； ■ NAT网关在两个访问方向上完成两次地址的转换或翻译，出方向做源信息替换，入方向做目的信息替换； ■ NAT网关的存在对通信双方是保持透明的； ■ NAT网关为了实现双向翻译的功能，需要维护一张关联表，把会话的信息保存下来。 Page 5 NAT实现技术 静态一对一地址映射 这种工作方式下，NAT把一个私网地址和一个公网地址做静态关联， 在从内而外的方向，将源IP匹配的私网IP替换为公网IP， 反方向则将目的IP匹配公网IP的报文替换为私网IP。 网络层以上的部分不进行替换处理，只修正校验和。 静态多对多地址映射（no-pat） 这种方式与上一种类似，只是把一段私网地址映射到一段公网 址。工作机制与前述的方式没有差别，只是简化配置工作量。 Page 6 私有网络 公共网络 /24 SWA SWA /24 /24 企业或家庭所使用的网络为私有网络，使用的是私有地址；运营商维护的网络为公共网络，使用的是公有地址。私有地址不能在公网中路由。 NAT一般部署在连接内网和外网的网关设备上。 RTA 主机A 主机B NAT应用场景 Page 7 [RTA]interface GigabitEthernet0/0/1 [RTA-GigabitEthernet0/0/1]ip address 54 24 [RTA-GigabitEthernet0/0/1]interface Serial1/0/0 [RTA-Serial1/0/0]ip address 24 [RTA-Serial1/0/0]nat static global inside [RTA-Serial1/0/0]nat static global inside SWA RTA S1/0/0 G0/0/1 主机A 主机B /24 /24 /24 主机C 静态NAT配置 Page 8 课程内容 NAT技术介绍 NAT配置实战 NAT应用缺陷与ALG技术 Page 9 SWA SWA RTA 静态NAT实现了私有地址和公有地址的一对一映射。 一个公网IP只会分配给唯一且固定的内网主机。 主机A 主机B /24 /24 /24 主机C 静态NAT Page 10 NAT的映射表 [R1]dis nat session all NAT Session Table Information: Protocol : ICMP(1) SrcAddr Vpn : DestAddr Vpn : 8 Type Code IcmpId : 0 8 11185 NAT-Info New SrcAddr : 00 New DestAddr : New IcmpId : Page 11 NAT的分类： 一对一 (静态NAT) 一对多(PAT、NAPT) Page 12 NAT实现技术 动态端口映射 这是最基本的工作方式，即前面多次介绍的将一段内网地址动态 翻译为一个或多个公网IP，同时对传输层端口或其他上层协议信 息进行转换，以实现IP复用。对由内而外的报文，替换源地址和 端口，反向报文替换目的地址和端口。仅以连接公网的接口IP作