第一篇:NAT个人学习总结
个人学习总结---NAT
1、NAT本原理
NAT即网络地址转换,最初是由RFC1631(目前已由RFC3022替代)定义,用于私有地址向公有地址的转换,以解决公有IP地址短缺的问题。后来随着NAT技术的发展及应用的不断深入,NAT更被证明是一项非常有用的技术,可用于多种用途,如:提供了单向隔离,具有很好的安全特性;可用于目标地址的映射,使公有地址可访问配置私有地址的服务器;另外还可用于服务器的负载均衡和地址复用等。
NAT分为源NAT和目的NAT。源NAT是基于源地址的NAT,可细分为动态NAT、PAT和静态NAT。动态NAT和PAT是一种单向的针对源地址的映射,主要用于内网访问外网,减少公有地址的数目,隐藏内部地址。动态NAT指动态地将源地址转换映射到一个相对较小的地址池中,对于同一个源IP,不同的连接可能映射到地址池中不同的地址;PAT是指将所有源地址都映射到同一个地址上,通过端口的映射实现不同连接的区分,实现公网地址的共享。静态NAT是一种一对一的双向地址映射,主要用于内部服务器向外提供服务的情况。在这种情况下,内部服务器可以主动访问外部,外部也可以主动访问这台服务器,相当于在内、外网之间建立了一条双向通道。
基于目标地址的NAT,我们称为目的NAT,可分为目标地址映射、目标端口映射、服务器负载均衡等。基于目标地址的NAT也称为反向NAT或地址映射。目的NAT是一种单向的针对目标地址的映射,主要用于内部服务器向外部提供服务的情况,它与静态NAT的区别在于它是单向的。外部可以主动访问内部,内部却不可以主动访问外部。另外,可使用目的NAT实现负载均衡的功能,即可以将一个目标地址转换为多个内部服务器地址。也可以通过端口的映射将不同的端口映射到不同的机器上。另外,掌握NAT的基本原理之后,NAT不仅仅可用于公有地址和私有地址之间的转换,还可用于公有地址与公有地址之间、私有地址与私有地址之间的转换。
2、Nat功能
NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。1.宽带分享:这是 NAT 主机的最大功能。
2.安全防护:NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行 portscan(端口扫描)的时候,就侦测不到源Client 端的 PC。
3、Nat的分类
系统中把NAT的配置分为: 源地址转换(Source)、目的地址转换(Destination)及静态地址转换(Static)三种类型。
每条NAT规则都是和某个特定的接口关联的,需要注意的是,源地址转换是在离开接口时进行转换的,目的地址转换是在进入接口时进行转换的,所以配置源地址转换的时候必须和对应的出接口关联,而配置目的地址转换的时候需要和对应的入接口关联。
内网环境:PC1----ge0/1口 外网环境:PC2----ge0/7口
外部地址:需要转换的外部地址:101.1.1.101 内部地址:需要转换的内部地址:100.1.1.77 内部接口:和内部网络连接的接口名 ge0/1 外部接口:和外部网络相连的接口名ge0/7 3.1 源NAT:
源地址转换是一种单向的针对源地址的映射,主要用于内网访问外网,减少公有地址的数目,隐藏内部地址。
ips# show ip nat source
ip nat source ge0/7 yuanip mudi any interface enable log 1
ips#
PC1和PC2进行通信,在内网主机PC1上显示,源IP为:100.1.1.77,目的IP为101.1.1.101 报文的处理流程:接口收包,交三层处理,然后对其查路由,找到下一跳出接口,在出接口检查是否做源地址转换。如果要做源地址转换,查NAT表,检查nat表中是否有对应的转换条目,如果有,做转换;如果没有,从设置的全局地址中找要转换的地址,对源地址做转换。转换后,重新封装报文,交下层处理,将报文从出接口转发。
在外网主机上面显示源IP为:101.1.1.1,目的IP为101.1.1.101
内部客户机向外部网络发送一个请求时,本来源地址是100.1.1.77,而目标地址应该是101.1.1.101。但经过源NAT的转换之后,源地址就变成了101.1.1.1,目标地址仍会是101.1.1.101。
反过来,外部网络会回应我们的请求,那么这时源地址将会是101.1.1.101,目标地址是101.1.1.1。同样地,IPS会处理这一请求,变成了源地址是101.1.1.1,目标地址是101.1.1.101。
实际上,网络中数据的传输总是双向的,那么IPS会同时转换请求与应答设备的源地址,以达到路由目的。
3.2 目的NAT 目的地址转换根据应用场不同,可以分为以下三种: 服务器地址、端口映射:实现外网地址和内部地址的单向映射或同时实现转换端口;
服务器业务分流:根据访问的业务不同,系统把目的地址转换为内部不同的服务器地址;
服务器负载分担:把一个外部IP映射到内部的一个地址池中,即一到多的映射功能;
接口映射:根据外网出接口的IP自动更改目的NAT规则,主要用于PPPoE等拨号上网获得动态IP的情况。配置目的nat
ips# show ip nat destination ip nat destination ge0/1 yuan d any f enable log 1 ips# PC1和PC2进行通信,在内网主机PC1上显示,源IP为:100.1.1.77,目的IP为100.1.1.1 报文的处理流程:接口收包,在入接口检查是否做目的地址转换。如果要做目的地址转换,查NAT表,检查nat表中是否有对应的转换条目,如果有,做转换;如果没有,从设置的全局地址中找要转换的地址,对目的地址做转换。转换后,重新封装报文,交下层处理,将报文从出接口转发。
内部客户机向外部网络发送一个请求时,本来目的地址是100.1.1.77,而目标地址应该是100.1.1.1。但经过目的NAT的转换之后,目的地址就变成了101.1.1.101,源地址仍会是100.1.1.77。3.3静态NAT 静态地址转换是一对一的双向地址映射。在这种情况下,被映射的内部主机可以主动访问外部,外部也可以主动访问这台内部主机,相当于在内、外网之间建立了一条双向通道。
外部地址:需要转换的外部地址。101.1.1.102 内部地址:需要转换的内部地址。100.1.1.77 外部接口:和外部网络相连的接口名。ge0/7
ips# show ip nat static ip nat static ge0/7 100.1.1.77 101.1.1.102 enable log 1 ips#
PC1和PC2进行通信,在内网主机PC1上显示,源IP为:100.1.1.77,目的IP为101.1.1.101
在外网主机PC2上抓包显示,源IP已经变为:101.1.1.102。
4、NAT的意义
1,环境ip资源的紧缺
2,通过nat的使用,可以很好的隐藏内网的内部网络结构,避免来自外网的攻击,保护内网的安全。
3,当两个使用相同的私网网段的私网进行互通时,可以解决地址重叠的问题
4,当内网存在多个服务器时,可以将外网对服务器的访问映射到不同的服务器上面,这样可以达到负载分担的效果。
5、问题补充
5.1我们的设备端口映射在哪里配置
端口映射配置在目的NAT。目标端口映射是目的NAT的一种。基于目标地址的NAT也称为反向NAT或地址映射。目的NAT是一种单向的针对目标地址的映射,主要用于内部服务器向外部提供服务的情况。外部可以主动访问内部,内部却不可以主动访问外部。另外,可使用目的NAT实现负载均衡的功能,即可以将一个目标地址转换为多个内部服务器地址。也可以通过端口的映射将不同的端口映射到不同的机器上。
PC1(client)-------------------IPS-------------------PC2(server)100.1.1.77
100.1.1.1
101.1.1.1
101.1.1.101 在PC2创建http server,端口号设置成1234
配置目的地址转换,源ip为100.1.1.77 目的ip为100.1.1.1 转换之后的ip为101.1.1.101,转换后的端口配置成1234
在PC1上面的浏览器上面访问http://100.1.1.1:4444 若目的NAT不配置端口转换是无法访问成功的 配置之后可访问成功
在PC1上面抓包,查看端口是原来的端口
经过IPS的目的地址转换,转换之后的端口号变成了1234 在server上面抓包观察报文如下;
5.2为什么源NAT不支持端口映射?
端口映射是基于目的NAT生效,转换端口之后才能正常访问server。假如源NAT配置了端口映射,本身client的源端口号在访问server的时候是不关心的,所以源端口号转换不转换对server是没有任何意义的。
5.3Http和ftp在经过NAT时有没有区别?如果有,区别在哪里?
FTP客户端的报文经过了路由器NAT之后,服务器端看到的报文的客户端的报文的IP源地址和端口都已经被改变了,当然对于控制连接来说这没有影响,因为有网关或者路由器的NAT模块在中间做管理,但是对于正要通过控制连接建立的数据连接就有问题了,因为NAT改变的仅仅是IP报文头,而对于因为报文中PORT命令中包含的地址和端口信息没有做任何改动,这样服务器是无法和一个内部地址建立连接的,所以这个时候就出现了ALG这个功能。ALG就是在发现如果报文头做了NAT,在这个时候如果发现这个是一个FTP的连接的时候,就需要同时改变PORT命令中的地址和端口。HTTP在经过NAT网关时只需要使用普通的NAT转换处理,但是对于FTP,由于FTP在应用层中携带了IP地址或端口等信息,因此需要ALG的帮助才能正常穿越NAT网关。FTP协议PORT模式的FTP在经过NAT时需要ALG的处理,因此NAT网关需要关注用户的每一个FTP命令,并识别需要进行ALG处理的命令,进行相应的ALG处理
第二篇:Juniper Netscreen NAT简单总结
Juniper Netscreen NAT简单总结
1、源网络地址转换
执行源网络地址转换(NAT-src)时,安全设备将初始源 IP 地址转换成不同的地址。已转换地址可以来自动态 IP(DIP)池或安全设备的出口接口。如果从 DIP 池中提取已转换的地址,安全设备可以随机提取或提取明确的地址,也就是说,既可以从DIP 池中随机提取地址,也可以持续提取与初始源 IP 地址有关的特定地址。可以配置安全设备,在接口级或策略级应用 NAT-src。如果配置策略以应用 NAT-src,且入口接口处于 NAT 模式下,则基于策略的 NAT-src 设置会覆盖基于接口的 NAT。基于策略的NAT-SRC优先级高于接口级的NAT-src。
2、目标网络地址转换
基于策略的 NAT-dst:
MIP:MIP的地址转换双向执行,因此安全设备可以将到达 MIP 地址的所有信息流中的目标
IP 地址转换成主机 IP 地址,并将主机 IP 地址发出的所有信息流中的源 IP 地址转
换成 MIP 地址。
VIP:是从一个 IP 地址到基于目标端口号的另一个 IP 地址的映射。在同一子网中定义为接口的单个 IP 地址可以托管从若干服务(使用不同的目标端口号标识)到同样多主机的映射。VIP 还支持端口映射。与 MIP 不同,VIP的地址转换将单向执行。安全设备可以将到达VIP 地址的所有信息流中的目标 IP地址转换成主机 IP 地址。
ScreenOS 不支持同时将基于策略的 NAT-dst 与 MIP、VIP 配合使用。如果您配置了 MIP 或 VIP,安全设备会在应用了基于策略的 NAT-dst 的任何信息流上应用MIP 或 VIP。换言之,如果安全设备偶然将 MIP 和 VIP 应用于同一信息流,则MIP 和 VIP 将禁用基于策略的 NAT-dst。感觉是MIP,VIP优先级高于基于策略的NAT-DST。
虽然 MIP 和 VIP 的地址转换机制是双向的,但基于策略的 NAT-src 和 NAT-dst 能够将入站和出站信息流的地址转换分开,以提供较好的控制与安全性能。基于策略的 NAT-src 和 NAT-dst 各提供一种单一方法,加起来可以取代基于接口的 MIP 和 VIP 功能,而且超过了后者。这一点太重要了,也就是在Netscreen可以用基于策略的NAT-src,NAT-dst实现所有的NAT功能,而且安全性、灵活性、控制粒度都优于其他方法。
Comment:
1、个人从不让接口工作在NAT模式,不论是trust, untrust zone,还是DMZ Zone的接口都工作在route mode。
2、对于转换的IP地址,一定要检查是否存在该IP的路由。
eg 把trust zone的一台服务器 10.180.0.25 对外发布为 59.42.5x.6x, 除了配置相应的NAT策略外,还一定 要添加路由59.42.5x.6x/32
set vrouter trust-vr route 59.42.5x.6x/32 interface ethernet13、在工作中尝试用基于策略NAT-src,NAT-dst完成所有的NAT
第三篇:NAT类型整理总结[小编推荐]
NAT类型整理总结(以思科为例)
本文例子:
公网地址段:100.1.1.0/24 内网地址段:192.168.100.0/24
一、静态转换
IP地址的对应关系是一对一,且是不变的,借助静态转换能实现外部网络对内部网络中某些指定的访问,一个内网IP固定对应一个公网IP,常用于内网服务器允许公网访问的情况。
出接口配置 ip nat outside 入接口配置 ip nat inside 全局:ip nat inside source static 192.168.100.1 100.1.1.10
二、动态转换
IP地址的对应关系是N对N,且随机、不确定的,所有被授权访问的内网IP可随机转换为任何指定的合法的公网IP地址。公网IP地址池有几个IP,那么同一时间就只能有几台电脑可以访问公网,其他主机要上网必须等临时映射关系结束才能使用被释放的公网IP进行转换。一般用于公网IP地址充足,同时访问Internet的内网主机数少于公网地址池IP个数时使用。
出接口配置 ip nat outside 入接口配置 ip nat inside 全局:access-list 1 permit 192.168.100.0 0.0.0.255 全局:ip nat pool NatTest 100.1.1.10 100.1.1.12 netmask 255.255.255.0(定义地址池IP范围)
全局:ip nat inside source list 1 pool NatTest
三、端口多路复用PAT(常用)
IP地址的对应关系是多对一,通过改变外出数据包的源IP地址和源端口并进行端口转换,多台内网主机可共享一个公网IP地址实现互联网的访问,以随机分配的端口号区分。常用于只有一个公网IP的情况,配置时注意后缀overload关键字不能缺少。
出接口配置 ip nat outside 入接口配置 ip nat inside 全局:access-list 1 permit 192.168.100.0 0.0.0.255 全局:ip nat inside source list 1 interface g0/0/1 overload(公网出接口)
四、动态 + 端口多路复用(常用)
IP地址的对应关系是N对M,与PAT类似,区别在于该类型有多个公网IP,内网主机随机选择其中一个公网IP,且每个公网IP允许多台内网主机同时使用,以随机分配的端口号区分。常用于有多个公网IP或双出口的情况。出接口配置 ip nat outside 入接口配置 ip nat inside 全局:access-list 1 permit 192.168.100.0 0.0.0.255 全局:ip nat pool NatTest 100.1.1.10 100.1.1.12 prefix-length 24 全局:ip nat inside source list 1 pool NatTest overload(公网地址池)
五、区域无关NAT 这个类型用得很少,相关资料也不多,以下介绍是从某博客复制过来的:
Domainless NAT就是说不再区分inside和outside,只是单纯地做NAT,没有用所谓的平衡点,进而两个方向NAT的处理HOOK点也不再基于平衡点对称,所有的NAT操作全部在PREROUTING上做,它用一个叫做NATVirtual Interface(NVI)的虚拟接口来实现,通过路由的方式将带有ipnat enable配置的接口进来的包全部导入这个虚拟接口NVI0中。然后用数据包的源地址和目标地址分别查询SNAT表和DNAT表,根据结果进行NAT操作,随后进入真正的路由查询,可见,不管方向,不管路由,只要数据包进入了一块带有ip natenable配置的物理网卡,就会先路由再NAT然后再路由(第一个路由只是匹配一下路由,而没有真正的路由行为,第二个路由则是真实的路由行为),不管是SNAT和DNAT都在这里进行。数据包在进入真正的路由查询前,NAT就已经完成了,在路由器看来,NAT操作被藏起来了,就好像数据包本来就是那个样子一样。当然Domainless的NAT也不再和任何其它操作关联,ACL,VPN感兴趣流匹配,policyrouting等都和NAT无关。
出接口配置 ip nat enable 入接口配置 ip nat enable 全局:access-list 1 permit 192.168.100.0 0.0.0.255 全局:ip nat source list 1 interface g0/0/1 overload(注意source前没有inside)
查看NAT规则状态: show ip nat statistics rule 查看NAT转换记录: show ip nat translations
NAT与PAT的区别 :
NAT(包括动态和静态)的地址转换是指每个内网地址都被转换成IP地址+源端口的方式,这需要公网IP地址为多个,即有多少个内网IP访问互联网就需要多少个公网IP转换,内外端口号一致。
PAT可以节省公网IP,公网IP地址不足时,就会出现内网地址被转换成IP地址+端口段的形式,即一个公网IP允许多个内网IP共同使用,以随机分配的端口号区分。
举例如下:
NAT:
192.168.100.1:4444----〉100.1.1.2:4444 192.168.100.2:5555----〉100.1.1.1:5555 192.168.100.3:1233----〉100.1.1.4:1233
PAT:
192.168.100.1:4444----〉100.1.1.1:50003 192.168.100.2:5555----〉100.1.1.1:50004 192.168.100.3:1233----〉100.1.1.1:50005
动态 + 端口多路复用
192.168.100.1:4444----〉100.1.1.1:50003 192.168.100.2:5555----〉100.1.1.1:50004 192.168.100.3:1233----〉100.1.1.2:50004 192.168.100.4:1233----〉100.1.1.2:50005
ip nat inside source与ip nat source的区别 :
ip nat inside source :数据包由inside接口向outside接口发包时,是先路由再NAT转换;而数据包由outside接口向inside接口发包时是先NAT转换再路由,数据包的发送方向不同,则处理过程也不同。
ip nat source :做NAT转换时,在需要NAT转换接口上使用的命令为ip nat enable,数据包在由一个接口向另一个接口发包时,顺序是先路由再NAT然后再路由(第一个路由只是匹配一下路由,而没有真正的路由行为,第二个路由则是真实的路由行为),不管数据包从哪个接口发向哪个接口,处理过程都是一样的。
第四篇:NAT教案
NAT基本知识及其配置、无线接入模块、广域网接入
引入:
通过讲述网络地址的用尽带来的影响,如何解决网络地址少的问题,将课堂引入到NAT知识上来,描述IPV6的相关信息,提高学生的积极性。
新授:
一、NAT基本知识
网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。概述:
NAT(Network Address Translation,网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用IP地址空间的枯竭。
说明:
私有 IP 地址是指内部网络或主机的IP 地址,公有IP 地址是指在因特网上全球唯一的IP 地址。
RFC 1918 为私有网络预留出了三个IP 地址块,如下: A 类:10.0.0.0~10.255.255.255 B 类:172.16.0.0~172.31.255.255 C 类:192.168.0.0~192.168.255.255 上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。实现方式:
NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。实例:
在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT。通常情况下,连接到用户内部网络的接口是NAT内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。1).静态地址转换的实现
假设内部局域网使用的lP地址段为192.168.0.1~192.168.0.254,路由器局域网端(即默认网关)的IP地址为192.168.0.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.128~61.159.62.135,路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.248可用于转换的IP地址范围为61.159.62.130~61.159.62.134。要求将内部网址192.168.0.2~192.168.0.6分别转换为合法IP地址61.159.62.130~61.159.62.134。
第一步,设置外部端口。interface serial 0 ip address 61.159.62.129 255.255.255.248 ip nat outside 第二步,设置内部端口。interface ethernet 0 ip address 192.168.0.1 255.255.255.0 ip nat inside 第三步,在内部本地与外部合法地址之间建立静态地址转换。ip nat inside source static 内部本地地址 外部合法地址。2).动态地址转换的实现
假设内部网络使用的IP地址段为172.16.100.1~172.16.100.254,路由器局域网端口(即默认网关)的IP地址为172.16.100.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.128~61.159.62.191,路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.192,可用于转换的IP地址范围为61.159.62.130~61.159.62.190。要求将内部网址172.16.100.1~172.16.100.254动态转换为合法IP地址61.159.62.130~61.159.62.190。
第一步,设置外部端口。
设置外部端口命令的语法如下: ip nat outside 第二步,设置内部端口。
设置内部接口命令的语法如下: ip nat inside 第三步,定义合法IP地址池。
定义合法IP地址池命令的语法如下:
ip nat pool 地址池名称起始IP地址 终止IP地址子网掩码 其中,地址池名字可以任意设定。
第四步,定义内部网络中允许访问Internet的访问列表。定义内部访问列表命令的语法如下:
access-list 标号 permit 源地址通配符(其中,标号为1~99之间的整数)
access-list 1 permit 172.16.100.0 0.0.0.255 //允许访问Internet的网段为172.16.100.0~172.16.100.255,反掩码为0.0.0.255。需要注意的是,在这里采用的是反掩码,而非子网掩码。反掩码与子网掩码的关系为:反掩码+子网掩码=255.255.255.255。例如,子网掩码为255.255.0.0,则反掩码为0.0.255.255;子网掩码为255.0.0.0,则反掩码为0.255.255.255;子网掩码为255.252.0.0,则反掩码为0.3.255.255;子网掩码为255.255.255.192,则反掩码为0.0.0.63。
另外,如果想将多个IP地址段转换为合法IP地址,可以添加多个访问列表。例如,当欲将172.16.98.0~172.16.98.255和172.16.99.0~172.16.99.255转换为合法IP地址时,应当添加下述命令:
access-list2 permit 172.16.98.0 0.0.0.255 access-list3 permit 172.16.99.0 0.0.0.255 第五步,实现网络地址转换。
在全局设置模式下,将第四步由access-list指定的内部本地地址列表与第三步指定的合法IP地址池进行地址转换。命令语法如下:
ip nat inside source list 访问列表标号 pool 内部合法地址池名字 3).端口复用动态地址转换(PAT)内部网络使用的IP地址段为10.100.100.1~10.100.100.254,路由器局域网端口(即默认网关)的IP地址为10.100.100.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为202.99.160.0~202.99.160.3,路由器广域网中的IP地址为202.99.160.1,子网掩码为255.255.255.252,可用于转换的IP地址为202.99.160.2。要求将内部网址10.100.100.1~10.100.100.254 转换为合法IP地址202.99.160.2。
第一步,设置外部端口。interface serial 0 ip address 202.99.160.1 255.255.255.252 ip nat outside 第二步,设置内部端口。interface ethernet 0 ip address 10.100.100.1 255.255.255.0 ip nat inside 第三步,定义合法IP地址池。
ip nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252 // 指明地址缓冲池的名称为onlyone,IP地址范围为202.99.160.2,子网掩码为255.255.255.252。由于本例只有一个IP地址可用,所以,起始IP地址与终止IP地址均为202.99.160.2。如果有多个IP地址,则应当分别键入起止的IP地址。
第四步,定义内部访问列表。
access-list 1 permit 10.100.100.0 0.0.0.255 允许访问Internetr的网段为10.100.100.0~10.100.100.255,子网掩码为255.255.255.0。需要注意的是,在这里子网掩码的顺序跟平常所写的顺序相反,即0.0.0.255。
第五步,设置复用动态地址转换。
在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。命令语法如下:
ip nat inside source list访问列表号pool内部合法地址池名字overload 操作实例:
二、无线接入技术
无线接入技术RIT(radio interface technologies)无线接入技术(也称空中接口)是无线通信的关键问题。它是指通过无线介质将用户终端与网络节点连接起来,以实现用户与网络间的信息传递。无线信道传输的信号应遵循一定的协议,这些协议即构成无线接入技术的主要内容。无线接入技术与有线接入技术的一个重要区别在于可以向用户提供移动接入业务。无线接入网是指部分或全部采用无线电波这一传输媒质连接用户与交换中心的一种接入技术。在通信网中,无线接入系统的定位:是本地通信网的一部分,是本地有线通信网的延伸、补充和临时应急系统。组成:
典型的无线接入系统主要由控制器、操作维护中心、基站、固定用户单元和移动终端等几个部分组成。各部分所完成的功能如下。
控制器
控制器通过其提供的与交换机、基站和操作维护中心的接口与这些功能实体相连接。控制器的主要功能是处理用户的呼叫(包括呼叫建立、拆线等)、对基站进行管理,通过基站进行无线信道控制、基站监测和对固定用户单元及移动终端进行监视和管理。
操作维护中心
操作维护中心负责整个无线接入系统的操作和维护,其主要功能是对整个系统进行配置管理,对各个网络单元的软件及各种配置数据进行操作:在系统运转过程中对系统的各个部分进行监测和数据采集;对系统运行中出现的故障进行记录并告警。除此之外,还可以对系统的性能进行测试。
基站
基站通过无线收发信机提供与固定终接设备和移动终端之间的无线信道,并通过无线信道完成话音呼叫和数据的传递。控制器通过基站对无线信道进行管理。基站与固定终接设备和移动终端之间的无线接口可以使用不同技术,并决定整个系统的特点,包括所使用的无线频率及其一定的适用范围。
固定终接设备
固定终接设备为用户提供电话、传真、数据调制解调器等用户终端的标准接口——Z接
口。它与基站通过无线接口相接。并向终端用户透明地传送交换机所能提供的业务和功能。固定终接设备可以采用定向天线或无方向性天线,采用定向天线直接指向基站方向可以提高无线接口中信号的传输质量、增加基站的覆盖范围。根据所能连接的用户终端数量的多少;固定终接设备可分为单用户单元和多用户单元。单用户单元(SSU)只能连接一个用户终端;适用于用户密度低、用户之间距离较远的情况;多用户单元则可以支持多个用户终端,一般较常见的有支持4个、8个、16个和32个用户的多用户单元,多用户单元在用户之间距离很近的情况下(比如一个楼上的用户)比较经济。
移动终端
移动终端从功能上可以看作是将固定终接设备和用户终端合并构成的一个物理实体。由于它具备一定的移动性,因此支持移动终端的无线接入系统除了应具备固定无线接入系统所具有的功能外,还要具备一定的移动性管理等蜂窝移动通信系统所具有的功能。如果在价格上有所突破,移动终端会更受用户及运营商的欢迎。
三、无线接入系统的接口 无线接入系统中的各个功能实体通过一系列接口相互连接,并通过标准的接口与本地交换机和用户终端相互连接。在无线接入系统中最重要的两个接口是控制器与交换机之间的接口和基站与固定终接设备之间的无线接口。除此之外,无线接入系统所包含的接口还有控制器与基站之间的接口、控制器与网管中心之间的接口以及固定终接设备与用户终端之间的接口。技术类型:
无线接入系统可分以下几种技术类型: 模拟调频技术
工作在470MHz频率以下,通过FDMA方式实现,因载频带宽小于25KHz,其用户容量小,仅可提供话音通信或传真等低速率数据通信业务,适用于用户稀少、业务量低的农村地区。在超短波频率已大量使用的情况下,在超短波频段给无线接入技术规划专用的频率资源不会很多。因此,无线接入系统在与其他固定、移动无线电业务互不干扰的前提下可共用相同频率。
数字直接扩频技术
工作在1700MHz频率以上,宽带载波可提供话音通信或高速率、图像通信等业务,其具有通信范围广、处理业务量大的特点,可满足城市和农村地区的基本需求。
数字无绳电话技术
可提供话音通信或中速率数据通信等业务。欧洲的DECT、日本的PHS等技术体制和采用PHS体制的UT斯达康的小灵通等系统用途比较灵活,既可用于公众网无线接入系统,也可用于专用网无线接入系统。最适宜建筑物内部或单位区域内的专用无线接入系统。也适宜公众通信运营企业在用户变换频繁、业务量高的展览中心、证券交易场所、集贸市场组建小区域无线接入系统,或在小海岛上组建公众无线接入系统。
蜂窝通信技术
利用模拟蜂窝移动通信技术,如TACS、AMPS等技术体制和数字蜂窝移动通信技术?如GSM、DAMPS、IS-95CDMA和正在讨论的第3代无线传输技术等技术体制组建无线接入系统,但不具备漫游功能。这类技术适用于高业务量的城市地区。通讯技术 无线接入 调频技术
三、广域网接入技术
目前可供接入广域网的方式有十种,即:PSTN、ISDN、ADSL、VDSL、DDN、Cable-Modem、LAN、PON、LMDS和 PLC。简介如下: PSTN(拨号上网)
PSTN(公用电话交换网)通过普通电话线“-拨号接入”上网。最高速率为56kbps,实际速率为20-50kbps,其速率远远不能满足多媒体信息传输需求,但方便,只要能打电话,再加上MODEM(调制解调器)即可。不足之处是在上网时不能拨打电话。ISDN(一线通)、ISDN(综合业务数字网)在上网时可任意拨打电话。普通Modem拨号需要等待1到5分钟才能接入,ISDN只需要1至3秒钟就可实现接入,速度可达56-128kbps。窄带ISDN也不能满足高质量的VOD等宽带应用。使用ISDN需要专用终端设备。
ADSL
ADSL(非对称数字用户环路)是一种通过普通电话线路提供宽带数据业务的技术。它支持上行640kbps-1Mbps与下行1Mbps-8Mbps的速率,其有效传输距离为3-5公里。
ADSL无需拨号,始终在线,用户到机房是专线,局端出口是共享方式。ADSL接入需要网卡或USB接口和ADSL MODEM。VDSL
VDSL(甚高速数字用户环路),它是ADSL的快速版,其短距离内的最大下载速率可达55Mbps,上传速率可达2.3Mbps。DDN
DDN(数字数据网),进网速率最高可达2M,接入方式一般为专线。
DDN专线向用户提供永久性的数据连接,沿途不进行复杂的软件处理,因此延时较短,避免了传统分组网中传输协议复杂等缺点。DDN专线接入采用交叉连接装置,可根据用户需要,在约定的时间内接通。
有线宽带网
Cable-Modem(线缆调制解调器)是一种超高速Modem,它利用现成的有线电视网进行数据传输。它有对称速率型和非对称速率型两种连接方式,前者上传和下载速率相同,在500kbps-2Mbps之间,后者上传速率在500kbps-10Mbps之间,下载速率为2Mbps-10Mbps。由于采用共享结构,随着用户的增加,接入速度会有所下降。有线宽带网需租用电信运营商的互联网出口。LAN(小区宽带)
LAN方式介入是利用以太网技术,采用光缆加双绞线的方式对社区进行综合布线,形成局域网,用户的电脑通过网线与网卡相连,实现上网。LAN可提供10M以上的共享带宽。
PON(无源光网络)
PON是一种点对点的光纤传输和接入技术,在此网中不含有任何电子器件及电子电源,全部由光分路器等无源器件组成。PON每个用户使用的带宽可从66kbps到155Mbps间灵活划分。LMDS(无线接入宽带)
LMDS(本地多点分配接入系统)是目前可用于社区宽带接入的一种无线接入技术。每个终端用户带宽可达25Mbps,总入量为600Mbps。每基站下的用户共享带宽。
PLC(电力线上网)
PLC(电力通讯技术)是利用电力线传输数据和语音信号的一种通讯方式,需要上网时,通过连接在电脑上的“电力猫”,再与电源插座连接即可。多数电力线网采用宽带共享,可实现14Mbps或45Mbps的传输率。
小结:
通过本次课程的学习,学生能掌握NAT的相关配置,熟悉当前无线接入技术方案,形成统一的广域网接入方案。
作业:
通过绘制简单网络拓扑,在其中进行NAT配置,实现NAT网络地址转换功能。
第五篇:Internet接入(NAT)实验报告
Internet 接入(NAT))
实 验 报告 告 实验室名称:
成绩:
姓名
学号
班级
试验台号
试验组号
实验日期
实验名称 实验六 Internet 的接入(NAT)和代理服务器 实验目的 1.了解代理服务器的主要功能和工作原理 2.了解 NAT 概念 3.掌握 Wingate 的安装、配置和使用方法 4.在 win2000server 下配置 NAT
实验原理
1.服务器 TCP/IP 设置 实现与 Intemet 的通信,使用合法的 IP 地址、DNS 和网关 地 址 值。
另 一 块网 卡 复 杂对 内 连 接,IP 地址 设 为192.168.44.2,子 网 掩 码 设 为 255.255.255.0,网 卡 为 :192.168.44.1。
2.路由和远程访问
对 window firewall 禁用
进入路由和远程访问服务器安装向导
实
验
步
骤
设置 NAT/基本防护墙
设置完毕 本机 IP 192.168.44.2 Ping 210.22.16.5
可以 ping 通。
根据实验三新建网站 通过 210.22.16.5 主机访问
成功!
实验结果与体会
通过本次实验学会了借助 NAT 接入 Internet,随着计算机数量的不断增加,IP 地址资源显得捉襟见肘,借助 NAT,私有地址合法化,使用少量 IP地址,就可以让局域网的主机与 Internet 通信。这次实验也结合了之前实验3 建站的知识。