论文部分内容阅读
NAT是当前园区网对解决内部网共用某个公共网IP地址的技术,在互联网越来越庞大,使用规模越来越大,其中不断涌现各种规模的园区网,例如基站无线移动设备的使用更是如雨后春笋层出不穷。通过对园区网进行NAT配置,这样就可以有效解决IP地址有限问题。
NAT 负载均衡
内部地址 外部网络 内部源地址
目前互联网的一个重要问题就是IP地址需求急剧膨胀,IP地址控件衰竭,NAT的使用缓解了该问题。NAT的使用使得一个组织的IP网络呈现给外部网络的IP地址(全球唯一IP),可以与正在使用的内部IP地址(私有IP)空间完全不同。这样一个组织就可以将本来非全局可路由IP地址通过NAT操作后,变为全局可路由IP地址,实现了原有网络与互联网的连接,而不需要重新给每台主机分配IP地址。
NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关处,将内部地址替换成公用地址,从而在外部公网(internet)上正常使用,NAT可以使多台计算机共享Internet连接,这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法,可以只申请一个合法IP地址,就把整个局域网中的计算机接入Internet中。这时,NAT屏蔽了内部网络,所有内部网计算机对于公共网络来说是不可见的,而内部网计算机用户通常不会意识到NAT的存在,只能通过NAT的配置访问外网。
NAT的主要应用包括以下两个方面。
第一,主机没有全局唯一的可路由IP地址,却需要与互联网连接。NAT使得用非注册IP地址构建的私有网络可以与互联网联通,这也是NAT最重要的用处之一。NAT在连接内部网络和外部网络的边界路由器上进行配置,当内部网络主机访问外部网络时,将内部网络地址转换为全局唯一的可路由IP地址。
第二,需要做TCP流量的负载均衡,又不想购买昂贵的专业设备。用户可以将单个全局IP地址对应到多个内部IP地址,这样,NAT就可以通过轮询的方式实现TCP流量的负载均衡。
应用NAT存在的问题包括以下几个方面:(1)影响网络速度。NAT的应用可能使NAT设备成为网络的瓶颈,随着软硬件技术的发展,该问题已经逐渐得到改善。(2)跟某些应用不兼容。如果一些应用在有效载荷中协商下次会话的IP地址和端口号,NAT将无法对内嵌IP地址进行转换,造成这些应用无法正常运行。(3)地址转换不能处理IP报头加密的报文。(4)无法实现对IP端到端的路径跟踪,经过NAT地址转换之后,对数据的路径跟踪将变得十分困难。
NAT的基本概念
第一,内部网络:这些网络的地址需要被转换。在内部网络,每台主机都分配一个内部IP地址,但与外部网络通信时又表现另一个IP地址。每台主机的前一个地址又称为内部本地地址,后一个又称为外部全局地址。
第二,外部网络:是指内部网络需要连接的网络,一般指互联网。
第三,内部本地地址:是指分配给内部网络主机的IP地址,该地址可能是非法的未经相关机构注册的IP地址,也可能是合法的私有网络地址。
第四,内部全局地址:合法的全局可路由地址,在外部网络代表着一个或多个内部本地地址。
第五,外部本地地址:外部网络的主机在内部网络中表现的IP地址,该地址是内部可路由地址,一般不是注册的全局唯一地址。
第六,外部全局地址:外部网络分配给外部主机的IP地址,该地址为全局可路由地址。
内部源地址NAT配置
当内部网络需要与外部网络通信时,需要配置NAT,将内部私有IP地址转换成全局唯一IP地址。用户可以配置静态或动态的NAT来实现互联互通的目的,内部源地址NAT的工作过程如下:
静态NAT建立内部本地地址和内部全局地址的一对一永久映射。当外部网络需要通过固定的全局可路由地址访问内部主机时,静态NAT就显得十分重要。
动态NAT建立内部本地地址和内部全局地址池的临时映射关系,过一段时间没有用就会删除映射关系。
当内部网络一台主机192.168.12.2访问外部网络主机168.168.12.1的资源时,具体工作过程如下:
主机192.168.12.2发送一个数据包到路由器;路由器接收到以192.168.12.2为源地址的第一个数据包时,路由器检查NAT映射表,若该地址配置静态映射,就执行第三步;如果没有静态映射,就进行动态映射,路由器就从内部全局地址池中选择一个有效的地址,并在NAT映射表中创建NAT转换记录;路由器用192.168.12.2对应的NAT转换记录中的全局地址,替换数据包源地址,经过转换后,数据包的源地址变为200.168.12.2,然后转发该数据包;168.168.12.2主机接收到数据包后,将向200.168.12.2发送响应包;当路由器接收到内部全局地址的数据包时,将以内部全局地址200.168.12.2为关键字查找NAT记录表,将数据包的目的地址转换成192.168.12.2并转发给192.168.12.2;192.168.12.2接收到应打包,并继续保持会话。第一步到第五步将一直重复,直到会话结束。
静态NAT配置。配置静态NAT,在全局配置模式下执行如下步骤:
R(config)#ip nat inside source static local-address global-address 定义内部源地址静态转换关系; R(config)#interface interface-type interface-number 进入接口配置模式;R(config-if)#ip nat inside 定義接口连接内部网络;R(config)#interface-type interface-number 进入接口配置模式;R(config-if)#ip nat outside 定义接口连接外部网络。
动态NAT配置。配置动态NAT,在全局配置模式下执行如下步骤:
R(config)#ip nat pool address-pool start-address end-address{netmask mask/prefix-length prefix-length} 定义全局IP地址池;R(config)#access-list access-list-number permit ip-address wildcard 定义访问列表,只有匹配该列表的地址才转换;R(config)#ip nat inside sourcelist access-list-numberpool address-pool 定义内部源地址动态转换关系;R(config)#interface interface-type interfacenumber interface-number 进入接口配置模式;R(config-if)#ip nat inside 定义接口连接内部网络;R(config)#inteface interface-type interface-number 进入接口配置模式;R(config-if)#ip nat outside 定义接口连接外部网络。
最后,通过实验操作来实现对NAT节点的配置,可以让内网IP通过一个公共IP实现和外网之间的练习,这样节省了互联网IP资源分配,有效减轻了互联网IP膨胀的负担。更有效的让园区网的运行合理和高效。
NAT 负载均衡
内部地址 外部网络 内部源地址
目前互联网的一个重要问题就是IP地址需求急剧膨胀,IP地址控件衰竭,NAT的使用缓解了该问题。NAT的使用使得一个组织的IP网络呈现给外部网络的IP地址(全球唯一IP),可以与正在使用的内部IP地址(私有IP)空间完全不同。这样一个组织就可以将本来非全局可路由IP地址通过NAT操作后,变为全局可路由IP地址,实现了原有网络与互联网的连接,而不需要重新给每台主机分配IP地址。
NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关处,将内部地址替换成公用地址,从而在外部公网(internet)上正常使用,NAT可以使多台计算机共享Internet连接,这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法,可以只申请一个合法IP地址,就把整个局域网中的计算机接入Internet中。这时,NAT屏蔽了内部网络,所有内部网计算机对于公共网络来说是不可见的,而内部网计算机用户通常不会意识到NAT的存在,只能通过NAT的配置访问外网。
NAT的主要应用包括以下两个方面。
第一,主机没有全局唯一的可路由IP地址,却需要与互联网连接。NAT使得用非注册IP地址构建的私有网络可以与互联网联通,这也是NAT最重要的用处之一。NAT在连接内部网络和外部网络的边界路由器上进行配置,当内部网络主机访问外部网络时,将内部网络地址转换为全局唯一的可路由IP地址。
第二,需要做TCP流量的负载均衡,又不想购买昂贵的专业设备。用户可以将单个全局IP地址对应到多个内部IP地址,这样,NAT就可以通过轮询的方式实现TCP流量的负载均衡。
应用NAT存在的问题包括以下几个方面:(1)影响网络速度。NAT的应用可能使NAT设备成为网络的瓶颈,随着软硬件技术的发展,该问题已经逐渐得到改善。(2)跟某些应用不兼容。如果一些应用在有效载荷中协商下次会话的IP地址和端口号,NAT将无法对内嵌IP地址进行转换,造成这些应用无法正常运行。(3)地址转换不能处理IP报头加密的报文。(4)无法实现对IP端到端的路径跟踪,经过NAT地址转换之后,对数据的路径跟踪将变得十分困难。
NAT的基本概念
第一,内部网络:这些网络的地址需要被转换。在内部网络,每台主机都分配一个内部IP地址,但与外部网络通信时又表现另一个IP地址。每台主机的前一个地址又称为内部本地地址,后一个又称为外部全局地址。
第二,外部网络:是指内部网络需要连接的网络,一般指互联网。
第三,内部本地地址:是指分配给内部网络主机的IP地址,该地址可能是非法的未经相关机构注册的IP地址,也可能是合法的私有网络地址。
第四,内部全局地址:合法的全局可路由地址,在外部网络代表着一个或多个内部本地地址。
第五,外部本地地址:外部网络的主机在内部网络中表现的IP地址,该地址是内部可路由地址,一般不是注册的全局唯一地址。
第六,外部全局地址:外部网络分配给外部主机的IP地址,该地址为全局可路由地址。
内部源地址NAT配置
当内部网络需要与外部网络通信时,需要配置NAT,将内部私有IP地址转换成全局唯一IP地址。用户可以配置静态或动态的NAT来实现互联互通的目的,内部源地址NAT的工作过程如下:
静态NAT建立内部本地地址和内部全局地址的一对一永久映射。当外部网络需要通过固定的全局可路由地址访问内部主机时,静态NAT就显得十分重要。
动态NAT建立内部本地地址和内部全局地址池的临时映射关系,过一段时间没有用就会删除映射关系。
当内部网络一台主机192.168.12.2访问外部网络主机168.168.12.1的资源时,具体工作过程如下:
主机192.168.12.2发送一个数据包到路由器;路由器接收到以192.168.12.2为源地址的第一个数据包时,路由器检查NAT映射表,若该地址配置静态映射,就执行第三步;如果没有静态映射,就进行动态映射,路由器就从内部全局地址池中选择一个有效的地址,并在NAT映射表中创建NAT转换记录;路由器用192.168.12.2对应的NAT转换记录中的全局地址,替换数据包源地址,经过转换后,数据包的源地址变为200.168.12.2,然后转发该数据包;168.168.12.2主机接收到数据包后,将向200.168.12.2发送响应包;当路由器接收到内部全局地址的数据包时,将以内部全局地址200.168.12.2为关键字查找NAT记录表,将数据包的目的地址转换成192.168.12.2并转发给192.168.12.2;192.168.12.2接收到应打包,并继续保持会话。第一步到第五步将一直重复,直到会话结束。
静态NAT配置。配置静态NAT,在全局配置模式下执行如下步骤:
R(config)#ip nat inside source static local-address global-address 定义内部源地址静态转换关系; R(config)#interface interface-type interface-number 进入接口配置模式;R(config-if)#ip nat inside 定義接口连接内部网络;R(config)#interface-type interface-number 进入接口配置模式;R(config-if)#ip nat outside 定义接口连接外部网络。
动态NAT配置。配置动态NAT,在全局配置模式下执行如下步骤:
R(config)#ip nat pool address-pool start-address end-address{netmask mask/prefix-length prefix-length} 定义全局IP地址池;R(config)#access-list access-list-number permit ip-address wildcard 定义访问列表,只有匹配该列表的地址才转换;R(config)#ip nat inside sourcelist access-list-numberpool address-pool 定义内部源地址动态转换关系;R(config)#interface interface-type interfacenumber interface-number 进入接口配置模式;R(config-if)#ip nat inside 定义接口连接内部网络;R(config)#inteface interface-type interface-number 进入接口配置模式;R(config-if)#ip nat outside 定义接口连接外部网络。
最后,通过实验操作来实现对NAT节点的配置,可以让内网IP通过一个公共IP实现和外网之间的练习,这样节省了互联网IP资源分配,有效减轻了互联网IP膨胀的负担。更有效的让园区网的运行合理和高效。