LAB_3 NAT

LAB_3 NAT

一．NAT概述... 1

二．NAT综合实验... 3

三．TCP/UDP端口NAT映射... 5

四．利用地址转换实现负载均衡... 6

一．NAT概述

·NAT核心思想：将私网地址转换成公网地址，从而连接到公共网络。

NAT technology enables private IP networks that use nonregistered IP addresses to connect to a public network.

NAT原理

数据包由内部网络发往外部网络时的基本转换原理如下：

（1）当配置了内部本地地地址的残余域计算机要与外部网络通信时，数据包到达NAT路由器后，经过普通的路由到达网关。数据包采用内部本地地址为源地址，外部本地地址为目的地址进行封装。

（2）NAT路由器先检查在路由表中是否有包含数据包目的地址的路由表项。如果没有与目的地址相匹配的路由表顶，则该数据包被丢弃。如果有与目的地址相匹配的路由表项，则路由器检验数据包是否是从内部网络发往外部网络的，并且检验数据包是否与已配置的NAT匹配。然后，路由器检查地址转换表，看是否有包含内部本地地址和内部全局地址的NAT表项。如果找到了，则把数据包的源地址用内部本地全局地址替换；如果仅配置了静态NAT，而没有与数据包匹配的静态NAT表项，则数据包不被转换，而直接被路由转发。

（3）路由器使用内部全局地址，把数据包发往目的地址。

当数据包是从公用网络发往内部网络时，NAT的基本转换原理如下：

（1）公用网络上的计算机发送数据包到私用网络时，采用源地址是外部全局地址，目的地址为内部全局地址进行封装。

（2）当数据包到达内部网络中，NAT路由器查找地址转换表和目的地址，映射到残余域（私有内部网络）中的计算机。

（2）如果存在匹配的NAT表项，则路由器把内部全局地址转换成内部本地地址，然后在发往目的计算机前检查路由表。如果没有发现与之匹配的NAT表项，数据包不被转换而直接检查与目的地址匹配的路由表。如果没有发现与目的地址路由表项，则数据包将被丢弃。

clip_image001

·NAT常用于下述情形：

1.没有足够的公网连接到Internet

2.当更换ISP需要重新编址

3.合并两个使用重叠地址空间的内部网络

4.使用单个IP地址支持基本的负载分担

·优点：

1.节省了公网IP地址

2.能够处理编址方案重叠的情况

3.网络发生改变时不需要重新编址

4.隐藏了真正的IP地址

·缺点：

1.NAT引起数据交互的延迟

2.导致无法进行端到端的IP跟踪

3.某些应用程序不支持NAT

4.需要消耗额外的CPU和内存

·内部本地地址--分配给内部网络中的主机的IP地址，通常是私有地址。

·内部全局地址--合法的IP地址，通常由ISP提供，全局唯一的。

·外部全局地址--外部网络中的主机的IP地址，来自全局可路由的地址空间。

·外部本地地址--在内部网络中看到的外部主机的IP地址，通常是私有地址。

NAT的三种实现技术：

1、静态：内部地址被预选映像到指定的外部地址，内部地址和外部地址是一一对应的。

clip_image002

2、动态：内部地址可以使用地址池中的外部地址。多个内部地址共享几个外部地址。

clip_image003

（内部＝私网） （外部＝公网）

3、PAT（Port Add translation)：多个内部地址共享一个外部地址，通过

端口号多路复用。

clip_image004

二．NAT综合实验

实验一：

申请一条ADSL线路，在局域网内使用RIP做路由，

用NAT使192.168.1.0/26网段用户能上网，

同时在LAN内搭建一台WEB服务器和一台DHCP服务器，

使用静态NAT做端口地址重定向使外网用户能够访问WEB服务器

配置如下所示

clip_image006

DHCP服务器配置

clip_image008

DHCP中继

clip_image009

客户端自动获取IP

clip_image011

在边界路由器上配置默认信息源

clip_image012

路由表

clip_image013

clip_image014

clip_image015

clip_image018

clip_image016

DNS

clip_image019

Test

clip_image021

clip_image023

clip_image025

三．TCP/UDP端口NAT映射

该企业申请ADSL地址。只有一个合法的IP地址，为企业搭建多种服务应用，可以使用端口地址重定向功能来区分不同服务。

clip_image027

图中在内网增加了一台FTP服务器，并对外提供服务

clip_image029

clip_image031

clip_image030

四．利用地址转换实现负载均衡

clip_image033

随着公司的发展，公司再添置了一台Web服务器，通过 Nat轮询实现负载均衡

clip_image035

Broder(config)#ip nat pool web 192.168.1.68 192.168.1.69 prefix-length 26 type rotary

Broder(config)#access-list 1 permit 12.1.1.1

Broder(config)#ip nat inside destination list 1 pool web

那种简单的负载均衡有较多的局限性：

1、 不检查内部服务器的状态，可能会造成路由黑洞。

2、 不能灵活调整服务器的负载

为了解决这些问题，开始提出新的技术，引入了服务器负载平衡（Server Load Balancing）技术。该技术提供两种工作模式：定向模式和分派模式。

更多NAT相关应用参考--->

HTTP://wwwcisco.blog.51cto.com/218089/40281

Other

设置连接最大数量，限制动态产生的转换表的条目

Router(config)#ip nat translation max-entries 最大数目

转换条目，根据不同的服务有不同的超时值。

Router(config)#ip nat translation 超时值