RCNA10局域网Internet网互联.docx
- 文档编号:28203099
- 上传时间:2023-07-09
- 格式:DOCX
- 页数:10
- 大小:164.91KB
RCNA10局域网Internet网互联.docx
《RCNA10局域网Internet网互联.docx》由会员分享,可在线阅读,更多相关《RCNA10局域网Internet网互联.docx(10页珍藏版)》请在冰豆网上搜索。
RCNA10局域网Internet网互联
第十章 局域网与Internet网互联
10.1 网络地址转换(NAT)技术概述
10.1.1NAT技术的概念和用途
在Internet发展早期,不管人们当时是否打算连接到Internet上,业界恳切请求他们申请全球唯一网络地址。这种想法是为了在专用网络连接到公共Internet时避免出现问题。
但是,随着Internet不断以指数级速度增长,一个重要而紧迫的问题出现了——IP地址空间迅速的枯竭,尽管即将出现的IPV6被视为解决internet长期发展的解决方案,但是在过去的几年中还提出了一些短期的解决方案,其中一项重要的技术就是NAT。
NAT技术的出现使人们对IP地址枯竭的恐慌得到了大大的缓解,甚至在一定程度上延缓了IPV6技术在网络中的发展和推广速度。
在RFC1631中对NAT进行了描述。
和无类别域间路由(CIDR)一样,NAT最初的目的也是通过允许较少的公用IP地址代表多数的专有IP地址来减缓IP地址空间枯竭的速度。
在RFC3022中描述的IP地址转换操作扩展了RFC1631介绍的地址转换和包括了一类的网络地址和TCP/UDP端口转换。
最早出现的NAT(NetworkAddressTranslation,网络地址翻译)技术,是用来解决互联网IP地址耗尽问题的,随着网络技术的发展,安全需求的提升,NAT逐渐演变为隔离内外网络、保障网络安全的基本手段,而且采用这种技术,无须额外投资,单纯利用现有网络设备,即可轻松达到安全目的。
我们借助图10-1-1-1来介绍NAT简单的功能和该技术中需要掌握的概念.
外部网络
内部网络
NAT路由器
192.168.1.100/24
图10-1-1-1NAT路由器用一个公网地址202.1.2.3替换PC1的私有地址192.168.1.100
图10-1-1-1描述了NAT技术在网络中的简单实现。
PC1具有一个私有地址192.168.1.100,这个地址在互联网上是不被传输的,当PC1要访问远程主机PC2的时候,数据包要通过一个运行NAT技术的路由器。
路由器把PC1的私有地址转换成一个可以在互联网上传输的公有地址202.1.2.3。
然后把数据包转发出去。
当PC2应答PC1的时候,PC2数据包中的目标地址是202.1.2.3,当通过路由器接收到PC2目标地址是202.1.2.3的数据包时,路由器会把数据包的目的地址转换成PC1的私有地址,完成PC1和PC2的通信。
在上面的例子中,对于PC1来讲,本身是不知道202.1.2.3这个公有地址的;对于PC2来讲,
认为是与202.1.2.3这个地址的主机进行通信,并不知道PC1的真实地址。
所以NAT技术对于网络上的终端用户是透明的。
下面的例子描述了NAT技术的双向性。
外部
图10-1-1-2NAT技术对于地址可以进行双向隐藏
在上面这个例子中,PC1的地址被转换成202.1.2.3,PC2的地址被转换成203.4.5.6。
PC1认为PC2的地址是203.4.5.6,所以发往PC2的数据包的目标地址是203.4.5.6,PC2认为PC1的地址是202.1.2.3,所以应答PC1的数据包的目标地址是202.1.2.3。
其实PC1和PC2真实的地址分别是192.168.1.100和192.16.2.50。
NAT技术把地址分成两大部分,即内部地址和外部地址。
内部地址分为内部本地(IL,InsideLocal)地址和内部全局(IG,InsideGlobal)地址,外部地址分为外部本地(OL,OutsideLocal)地址和外部全局(OG,OutsideGlobal)地址。
这四个概念清楚的阐明了代表相同主机的不同地址在NAT技术中所处的位置。
注意在这里,四个概念是相对于网络中某一台主机来讲的,因为主机处在不同的网络中,在中NAT可以解释为不同的地址。
下面我们来解释这四个基本概念。
内部本地地址(IL)――分配给网络内部设备的IP地址,这个地址可能是非法的未向相关机构注册的IP地址,也可能是合法的私有网络地址。
内部全局地址(IG)――合法的IP地址,是由网络信息中心(NIC)或者服务提供商提供的可在互联网传输的地址,在外部网络代表着一个或多个内部本地地址。
外部本地地址(OL)――外部网络的主机在内部网络中表现的IP地址,该地址不一定是合址,也可能是内部可路由地址。
外部全局地址(OG)――外部网络分配给外部主机的IP地址,该地址是合法的全局可路由地址。
在上面的例子中以PC1为例,192.168.1.100是内部本地地址,202.1.2.3是内部全局地址
203.4.5.6是外部本地地址,192.16.2.50是外部全局地址。
10.1.2 NAT技术的应用
在本教材中我们重点讨论NAT技术中最常用的两种实现模式:
静态NAT和动态NAT.
静态NAT是建立内部本地地址和内部全局地址的一对一的永久映射.当外部网络需要通过固定的全局可路由地址访问内部主机,静态NAT就显得十分重要.
动态NAT是建立内部本地地址和内部全局地址池的临时对应关系,如果经过一段时间,内部本地地址没有向外的请求或者数据流,该对应关系将被删除.
上图反映了内部源地址NAT的整个过程。
当内部网络一台主机访问外部网络资源时,详细过程描述如下:
1)内部主机192.168.12.2发起一个到外部主机168.168.12.1的连接。
2)当路由器接收到以192.168.12.2为源地址的第一个数据包时,引起路由器检查NAT映射表:
a)该地址有配置静态映射,就执行第三步;
b)如果没有静态映射,就进行动态映射,路由器就从内部全局地址池中选择一个有效的地址,并在NAT映射表种创建NAT转换记录。
这种记录叫基本记录。
3)路由器用192.168.12.2对应的NAT转换记录中全局地址,替换数据包源地址,经过转换后,数据包的源地址变为200.168.12.2,然后转发该数据包。
4)168.168.12.1主机接收到数据包后,将向200.168.12.2发送响应包。
5)当路由器接收到内部全局地址的数据包时,将以内部全局地址200.168.12.2为关键字查找NAT记录表,将数据包的目的地址转换成192.168.12.2并转发给192.168.12.2。
6)192.168.12.2接收到应答包,并继续保持会话。
第一步到第五步将一直重复,直到会话结束。
NAPT网络地址端口转换
NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上..网络地址端口转换NAPT(NetworkAddressPortTranslation)是人们比较熟悉的一种转换方式。
NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。
NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。
在Internet中使用NAPT时,所有不同的TCP和UDP信息流看起来好像来源于同一个IP地址。
这个优点在小型办公室内非常实用,通过从ISP处申请的一个IP地址,将多个连接通过NAPT接入Internet。
实际上,许多SOHO远程访问设备支持基于PPP的动态IP地址。
这样,ISP甚至不需要支持NAPT,就可以做到多个内部IP地址共用一个外部IP地址上Internet,虽然这样会导致信道的一定拥塞,但考虑到节省的ISP上网费用和易管理的特点,用NAPT还是很值得的
•静态NAPT
–需要向外网络提供信息服务的主机
–永久的一对一“IP地址+端口”映射关系
•动态NAPT
–只访问外网服务,不提供信息服务的主机
–临时的一对一“IP地址+端口”映射关系
上图反映了内部源地址NAPT的整个过程。
以下详细描述了内部网络NAPT的整个过程:
1)内部主机192.168.12.2发起一个到外部主机168.168.12.1的连接。
2)当路由器接收到以192.168.12.2为源地址的第一个数据包时,引起路由器检查NAT映射表:
a)如果NAT没有转换记录,路由器就为192.168.12.2作地址转换,并创建一条转换记录。
b)如果启用了NAPT,就进行另外一次转换,路由器将复用全局地址并保存足够的信息以便能够将全局地址转换回本地地址。
NAPT的地址转换记录称为扩展记录。
3)路由器用192.168.12.2对应的NAT转换记录中全局地址,替换数据包源地址,经过转换后,数据包的源地址变为200.168.12.2,然后转发该数据包。
4)168.168.12.1主机接收到数据包后,将向200.168.12.2发送响应包。
5)当路由器接收到内部全局地址的数据包时,将以内部全局地址200.168.12.2及其端口号、外部全局地址及其端口号为关键字查找NAT记录表,将数据包的目的地址转换成192.168.12.2并转发给192.168.12.2。
6)192.168.12.2接收到应答包,并继续保持会话。
第一步到第五步将一直重复,直到会话结束。
常规NAT操作
NAT设备后面的客户端通常通过DHCP(动态主机配置协议)分配到专用的IP地址,或者由管理员进行静态配置。
在该专用网络的外面进行通讯时,通常会发生下列事情。
客户机上当应用程序想同服务器通讯时,它将打开与源IP地址、源端口、目标IP地址、目标端口及网络协议相关联的套接字。
这样可以识别通讯所需的两个端点。
当应用程序利用该套接字传输信息时,客户机的专用IP地址(源IP地址)和端口(源端口)将被插入数据包的源字段中。
数据包的目标字段将包含服务器的IP地址(远程主机-目标IP地址)和端口。
由于该数据包的目的地是该专用网络之外的某个位置,因此客户机将把该数据包转发给默认的网关。
这种情况下的默认网关就是NAT设备。
10.1.3如何配置NAT
我们采用一个例子来说明NAT的基本配置方法,通过基本配置命令我们可以对NAT功能有一个明晰的认识。
假设某公司有FTP服务器可以为外部用户提供服务,但是该服务器处在公司的内网中,一则通过公网访问不到该服务器,二来该公司也不想让外界获悉本地网络结构,所以采用一个公网地址和一个私有地址映射的办法来实验外网与内网用户都能对该服务器进行访问。
如图10-1-3-1所示
图10-1-3-1
NAT的基本配置方法:
在特权模式下,通过如下步骤,您可以完成NAT的基本配置
步骤1configureterminal进入全局配置模式。
步骤2在全局配置模式下定义inside接口和outside接口,一般把连接内网(本地局域网)的接口作为inside接口,把连接外网的接口作为outside接口,
interfacefastethernet0进入连接内网的快速以太网接口,然后在该接口的配置模式(接口模式)下ipnatinside将该接口定义为内部接口;interfaceserial0进入连接外网的同步串口(当然要根据网络的实际情况来确定连接外网的接口),然后在该接口的配置模式(接口模式)下ipnatoutside将该接口定义为外部接口。
步骤3在全局配置模式下进行NAT技术关键的一步——进行地址映射:
ipnatinsidesourcestatic192.168.1.2192.1.1.3这一操作将服务器的原本的私有地址192.168.1.2跟一个公网地址192.1.1.3映射起来,该服务器被外
界用户访问时,外界用户将访问192.1.1.3这个公网地址,而不知道该服务器的真正的内网地址。
10.1.4使用NAT的注意事项
采用NAT后,一个最主要的改变就是你失去了端对端IP的traceability,也就是说,从此 你不能再经过NAT使用ping和traceroute,其次就是曾经的一些IP对IP的程序不再可以正常运行,潜在的不易被观察到的缺点就是增加了网络延时。
NAT可以支持大部分IP协议,但有几个协议需要注意,首先tftp,rlogin,rsh,rcp和ip 、multicast都被NAT支持,其次就是bootp,snmp和路由表更新全部给拒绝了。
10.1.5NAT综述
NAT技术使得NAT设备维护一个地址转换表,用来把私有的IP地址映射到合法的IP地址上去。
每个数据包的地址在NAT设备中都被翻译成正确的IP地址,这样一来解决了IP地址衰竭的问题,但是同时带来了安全隐患和路由更新的问题。
NAT技术只是IPV4向IPV6过渡时期的临时解决方案,NAT技术带来的问题是业内的普遍问题,这些问题必将被IPV6的发展与普及最终解决。
10.2思考与练习
1.NAT技术的产生解决了网络中的什么问题?
2.NAT技术的产生带来了那些不利于网络传输的问题?
3.思考PC在网络中处于不同地位时,该PC地址和NAT各个地址名称的对应情况
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- RCNA10 局域网 Internet 网互联