网络地址转换nat的工作原理

网络地址转换(NAT)实验

第十三章 网络地址转换（NAT）

一、网络拓扑图

二、实验步骤

任务一、静态NAT的配置（一个内部地址对一个外部地址）

（一）、先在路由器R-A上配置

1、先把主机名配置为：R-A

Router(config)#hostname R-A

2、配置接口F0/0、S1/0的IP地址

R-A(config)#int f0/0

R-A(config-if)#ip address 10.1.1.1 255.255.255.0

R-A(config-if)#no shu

R-A(config)#int s1/0

R-A(config-if)#ip address 192.168.1.1 255.255.255.0

R-A(config-if)#no shu

3、配置路由协议（可以是静态、默认、动态、OSPF等的一种，我这用默认路由） R-A(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2

网络地址转换(NAT)实验

（二）、在路由器R-B上配置

1、先把主机名配置为：R-B

Router(config)#hostname R-B

2、配置接口F0/0、S1/0的IP地址

R-B(config)#int f0/0

R-

龙源期刊网 http://www.qikan.com.cn

网络地址转换(NAT)技术及其应用

作者：孙宝玲

来源：《城市建设理论研究》2013年第22期

中图分类号：TN711 文献标识码：A 文章编号：

前言：随着Internet技术的不断以指数级速度增长，珍贵的网络地址分配给专用网络终于被视作是一种对宝贵的虚拟房地产的浪费。因此出现了网络地址转换(NAT)标准，就是将某些IP地址留出来供专用网络重复使用。本文将详细告诉你如何正确应用网络地址转换NAT技术。

一、NAT技术的定义

NAT英文全称是NetworkAddressTranslation，称是网络地址转换，它是一个IETF标准，允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址，反之亦然。它也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备，同时，它还帮助网络可以超越地址的限制，合理地安排网络中的公有Internet地址和私有IP地址的使用。 二、NAT技术的基本原理和类型

1、NAT技术基

实验十 网络地址转换NAT实验

一、实验目的

理解NAT网络地址转换的原理及功能；

掌握静态NAT的配置，实现局域网访问互联网；

二、实验设备

计算机、CISCO R2621路由器、交换机、V35线缆、双绞线若干。

三、实验相关原理

私有网络IP地址，即互联网路由器均不对这些地址进行路由转发，只能应用于私有内部网络，主要用来解决IP地址不足问题，私有网络地址可以在不同单位内部自由使用，且可以重复使用。私有网络IP地址段如下：

A类私有IP地址段： 10.0.0.0 ~ 10.255.255.255 B类私有IP地址段： 172.16.0.0 ~ 172.31.255.255 C类私有IP地址段： 192.168.0.0 ~ 192.168.255.255 网络地址转换NAT（Network Address Translation），被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 默认情况下，内部IP地址是无法被路由到外网的，内部主机10.1.1.1要与外部Internet通信，IP包到达NAT路由器

局域网相关知识

补充 网络地址转换与Internet连接共享补充.1 Intranet与Internet的连接概述 借助路由器,将成员拥有合法的公有IP地址的Intranet接入 Internet后, Intranet将成为Internet的一个组成部分. 但是以下连接方式是不可能实现或不可取的: IP地址不足: Intranet中的一般成员只能用私有IP地址; 出 于 安 全 的 考 虑 , Intranet 中 的 一 般 成 员 不 宜 暴 露 在 Internet. 如果要访问Internet,可使用windows 2003 提供的ICS和 NAT服务,实现Intranet与Internet互连.

盐城工学院 周刚

局域网相关知识

目前,一般局域网是通过专线接入Internet的,其连接方式 图示.应答服务器 ISP局域网 双绞线

7x

8x

9x

10x

11x

12x

7x

8x

9x

10x

11x

12x

Ethernet

C 7 8 91011 12 A 12 34 56 1x 2x 3x 4x 5x 6x 1x 2x 3x 4x 5x 6x

A

B

盐城工学院 周刚

局域网相关知识

网吧,家庭等则一般通过ADSL MODEM接入Internet,其连 接方式图示.

Juniper防火墙的网络地址映射

Juniper防火墙作为网络的一道关卡，除了控制内网用户访问外网之外还可以控制外网对内网的访问，如果用户内网的服务器需要对外网发布服务的话就需要使用Juniper防火墙的网络映射功能，这里介绍两个最常用的方式MIP和VIP。

Juniper 防火墙MIP的配置

MIP（Mapped IP）是“一对一”的双向地址翻译（转换）过程。

通常的情况是：当你有若干个公网IP地址，又存在若干的对外提供网络服务的服务器（服务器对外提供IP地址），为了实现互联网用户访问这些服务器，可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射（MIP），并通过策略实现对服务器所提供服务进行访问控制。

在 Network=>Interface界面下选择Untrust接口，点击edit，进入编辑界面后上方点击

MIP

选择右上角的“new”

Mapped IP：公网IP地址

Juniper防火墙的网络地址映射

Host IP：内网服务器IP地址

在POLICY中，配置由外到内的访问控制策略，以此允许来自外部网络对内部网络服务器应用的访问。

Untrust的源地址选择any

trust的目的地址选择刚才建立的MIP

actio

子网掩码和IP地址计算网络地址和广播地址的换算 已知 IP地址为：202.112.14.137 子网掩码：255.255.255.224

要求计算出这台主机所在的网络地址和广播地址是？ 解：

第一步，确定网络位和主机位。

首先，把IP地址（202.112.14.137）转换为二进制， 那么就是：11001010.01110000.00001110.10001001

然后，把子网掩码（255.255.255.224）也转换为二进制，即： 11111111.11111111.11111111.11100000 那么，它的网络位应该是蓝色部分： 11001010.01110000.00001110.10001001

它发生了借位。它的主机位应该是后五位，即红色部分。 到了这一步，已经很明白地看出，它的网络地址就是： 11001010.01110000.00001110.10000000

把主机位（后五位）全部清零，就得出了上面的网络地址。 换算为十进制就是：202.112.14.128

它的广播地址就是：把主机位的全0变为全1，即： 11001010.01110000.00001110.10011111 换算为十进制就是：202.112.14.15

思科的理解：

1、内部本地地址：指在一个企业和机构网络内部分配给一台主机的IP地址，这地址通常是私有IP地址。

2、内部全局地址：指设置在路由器等因特网接口设备上，用来代替一个或者多个私有IP地址的公有地址，这个地址在公网上是唯一的。 3、外部本地地址：指因特网上的一个公有地址，该地址可能是因特网上的一台主机。

4、外部全局地址：指因特网上另一端网络内部的地址，该地址可能是的私有的。

对于网络地址转换的理解核心在于搞清楚NAT术语中所提到的四个地址。事实上，所有的地址转换工作就是在对这四个地址进行反复的变化。因此下面的例子用十分形象和生活化的内容来解释了四个地址之间的关系。

四个术语的内容：

inside local(内部本地地址) inside global(内部全局地址) outside local(外部本地地址) outside global(外部全局地址)

对于这四个地址的解释如下：

inside local(内部本地地址)：在自有网络中分配给私有主机的地址，一般情

况下该地址是RFC1918中定义的私有地址。inside local地址的特点是只会出现在自有网络中并且一定是给私有主机使用的。

inside global(内部全

实验 9 网络端口地址转换NAPT配置

实验背景

理解NAT网络地址转换的原理及功能；

掌握NAPT的配置，实现局域网访问互联网；

实验背景

你是某公司的网络管理员，公司办公网需要接入互联网，公司只向ISP申请了一条专线，该专线分配了一个公司IP地址，配置实现全公司的主机都能访问外网。

技术原理

NAT将网络划分为内部网络和外部网络两部分，局域网主机利用NAT访问网络时，是将局域网内部的本地地址转换为全局地址（互联网合法的IP地址）后转发数据包；

NAT分为两种类型：NAT（网络地址转换）和NAPT（网络端口地址转换IP地址对应一个全局地址）。

NAPT：使用不同的端口来映射多个内网IP地址到一个指定的外网IP地址，多对一。

NAPT采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自Internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。实验步骤

新建Packet Tracer拓扑图

（1）R1为公司出口路由器，其与ISP路由器之间通过V.35电缆串口连接，DCE端连接在R1上，配置其时钟频率64000；

（2）配置PC机、

实验 9 网络端口地址转换NAPT配置

实验背景

理解NAT网络地址转换的原理及功能；

掌握NAPT的配置，实现局域网访问互联网；

实验背景

你是某公司的网络管理员，公司办公网需要接入互联网，公司只向ISP申请了一条专线，该专线分配了一个公司IP地址，配置实现全公司的主机都能访问外网。

技术原理

NAT将网络划分为内部网络和外部网络两部分，局域网主机利用NAT访问网络时，是将局域网内部的本地地址转换为全局地址（互联网合法的IP地址）后转发数据包；

NAT分为两种类型：NAT（网络地址转换）和NAPT（网络端口地址转换IP地址对应一个全局地址）。

NAPT：使用不同的端口来映射多个内网IP地址到一个指定的外网IP地址，多对一。

NAPT采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自Internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。实验步骤

新建Packet Tracer拓扑图

（1）R1为公司出口路由器，其与ISP路由器之间通过V.35电缆串口连接，DCE端连接在R1上，配置其时钟频率64000；

（2）配置PC机、

计算机网络 地址转换协议ARP

试验二地址转换协议ARP

练习一：领略真实的ARP（同一子网）

各主机打开协议分析器，进入相应的网络结构并验证网络拓扑的正确性，如果通过拓扑验证，关闭协议分析器继续进行实验，如果没有通过拓扑验证，请检查网络连接。

本练习将主机A、B、C、D、E、F作为一组进行实验。

1. 主机A、B、C、D、E、F启动协议分析器，打开捕获窗口进行数据捕获并设置过滤条件（提取ARP、ICMP）。

2. 主机A、B、C、D、E、F在命令行下运行“arp -d”命令，清空ARP高速缓存。

3. 主机A ping 主机D（172.16.1.4）。

4. 主机E ping 主机F（172.16.0.3）。

5. 主机A、B、C、D、E、F停止捕获数据，并立即在命令行下运行“arp -a”命令察看ARP高速缓存。

● ARP高速缓存表由哪几项组成？

●结合协议分析器上采集到的ARP报文和ARP高速缓存表中新增加的条目，简述ARP协议的报文交互过程以及ARP高速缓存表的更新过程。

实验截图：

打开协议分析器，进入相应的网络结构并验证网络拓扑的正确性：

计算机网络 地址转换协议ARP

运行“arp -d”命令，清空ARP高速缓存：运行“arp -a”命令察看ARP高速缓存