網(wǎng)絡(luò)地址轉(zhuǎn)換

網(wǎng)絡(luò)地址轉(zhuǎn)換1網(wǎng)絡(luò)地址轉(zhuǎn)換概述2靜態(tài)NAT3動(dòng)態(tài)NAT4NAPT5NAT配置案例1、網(wǎng)絡(luò)地址轉(zhuǎn)換概述NAT概念地址空間不足帶來的問題注冊(cè)IP地址空間將要耗盡，而internet的規(guī)模仍在持續(xù)增長(zhǎng)隨著internet的增長(zhǎng)，骨干互聯(lián)網(wǎng)路由選擇表中的IP路由條目也在增加，這引發(fā)了路由選擇算法的擴(kuò)展問題網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（NetworkAddressTranslation）NAT是一種大型網(wǎng)絡(luò)中節(jié)約注冊(cè)IP地址數(shù)量，并簡(jiǎn)化IP尋址管理任務(wù)的機(jī)制。NAT已經(jīng)標(biāo)準(zhǔn)化并在RFC1613中描述它是一個(gè)IETF(InternetEngineeringTaskForce,Internet工程任務(wù)組)標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP地址出現(xiàn)在Internet上它是一種把內(nèi)部私有網(wǎng)絡(luò)地址翻譯成合法公網(wǎng)IP地址的技術(shù)

NAT的用途解決地址空間不足的問題IPv4的空間已經(jīng)嚴(yán)重不足，NAT可以大量節(jié)省公網(wǎng)IP私有IP地址網(wǎng)絡(luò)與公網(wǎng)互聯(lián)私有IP網(wǎng)絡(luò)無法直接在公網(wǎng)上通信，NAT技術(shù)可以將其轉(zhuǎn)化為合法的公網(wǎng)地址使私有網(wǎng)絡(luò)與公網(wǎng)實(shí)現(xiàn)互聯(lián)使用未注冊(cè)的公網(wǎng)IP地址與公網(wǎng)互聯(lián)內(nèi)網(wǎng)使用的是未注冊(cè)的公網(wǎng)IP，通過NAT技術(shù)也能正常與internet互聯(lián)網(wǎng)絡(luò)改造中，避免更改地址帶來的風(fēng)險(xiǎn)內(nèi)網(wǎng)改造不需要重新更換與外網(wǎng)互聯(lián)地址，只需更改映射關(guān)系內(nèi)網(wǎng)改造出現(xiàn)地址重疊，NAT技術(shù)可以屏蔽重疊NAT術(shù)語術(shù)語定義內(nèi)部本地IP地址分配給內(nèi)部網(wǎng)絡(luò)中的主機(jī)的IP地址，通常這種地址來自RFC1918指定的私有地址空間。內(nèi)部全局IP地址內(nèi)部全局IP地址，對(duì)外代表一個(gè)或多個(gè)內(nèi)部本地IP地址，通常這種地址來自全局惟一的地址空間，通常是ISP提供的。外部全局IP地址外部網(wǎng)絡(luò)中的主機(jī)的IP地址，通常來自全局可路由的地址空間。外部本地IP地址在內(nèi)部網(wǎng)絡(luò)中看到的外部主機(jī)的IP地址簡(jiǎn)單轉(zhuǎn)換條目將一個(gè)IP地址映射到另一個(gè)IP地址（通常被稱為網(wǎng)絡(luò)地址轉(zhuǎn)換）的轉(zhuǎn)換條目。擴(kuò)展轉(zhuǎn)換條目將一個(gè)IP地址和端口對(duì)映射到另一個(gè)IP地址和端口（通常被稱為端口地址轉(zhuǎn)換）對(duì)的轉(zhuǎn)換條目。NAT術(shù)語NAT分類根據(jù)NAT的映射方式可分為：靜態(tài)NAT：手動(dòng)建立一個(gè)內(nèi)部IP地址到一個(gè)外部IP地址的映射關(guān)系該方式經(jīng)常用于企業(yè)網(wǎng)的內(nèi)部設(shè)備需要能夠被外部網(wǎng)絡(luò)訪問到的場(chǎng)合動(dòng)態(tài)NAT：將一個(gè)內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址（地址池）中的一個(gè)IP地址常用于整個(gè)公司共用多個(gè)公網(wǎng)IP地址訪問Internet時(shí)超載（Overloading）NAT：動(dòng)態(tài)NAT的一種特殊形式，利用不同端口號(hào)將多個(gè)內(nèi)部IP地址轉(zhuǎn)換為一個(gè)外部IP地址，也稱為PAT、NAPT或端口復(fù)用NAT常用于整個(gè)公司共用1個(gè)公網(wǎng)IP地址訪問Internet時(shí)2、靜態(tài)NAT靜態(tài)NAT的工作過程HostA發(fā)數(shù)據(jù)包給HostB，通過路由器時(shí)，源地址被轉(zhuǎn)換為HostB回復(fù)HostA，通過路由器時(shí)，目的地址被轉(zhuǎn)換為配置靜態(tài)NAT配置靜態(tài)內(nèi)部源地址轉(zhuǎn)換指定一個(gè)內(nèi)部接口和一個(gè)外部接口(config-if)#ipnat{inside|outside}配置靜態(tài)轉(zhuǎn)換條目(config)#ipnatinsidesourcestatic

local-ip{

interfaceinterface|global-ip}配置靜態(tài)端口地址轉(zhuǎn)換指定一個(gè)內(nèi)部接口和一個(gè)外部接口(config-if)#ipnat{inside|outside}配置靜態(tài)端口轉(zhuǎn)換條目(config)#ipnatinsidesourcestatic{tcp|udp}local-iplocal-port{

interfaceinterface|global-ip}global-port配置靜態(tài)NAT示例(config)#interfacef0/0(config-if)#ipnatinside(config)#interfaceserial2/0(config-if)#ipnatoutside(config)#ipnatinsidesourcestatic練習(xí)11-1靜態(tài)NAT配置

請(qǐng)根據(jù)下面的拓?fù)鋱D進(jìn)行網(wǎng)絡(luò)設(shè)備配置，使得路由器通過地址對(duì)vlan10及vlan20提供Web及FTP服務(wù)。3、動(dòng)態(tài)NAT動(dòng)態(tài)NAT的工作過程HostA發(fā)數(shù)據(jù)包給HostB，通過路由器時(shí)，源地址被轉(zhuǎn)換為地址池中的一個(gè)地址HostB回復(fù)HostA，通過路由器時(shí)，目的地址被轉(zhuǎn)換為配置動(dòng)態(tài)NAT配置動(dòng)態(tài)NAT指定一個(gè)內(nèi)部接口和一個(gè)外部接口(config-if)#ipnat{inside|outside}定義IP訪問控制列表(config)#access-list

access-list-number{permit|deny}定義一個(gè)地址池(config)#ipnatpool

pool-name

start-ipend-ip{netmask

netmask|prefix-length

prefix-length}配置動(dòng)態(tài)轉(zhuǎn)換條目(config)#ipnatinsidesourcelist

access-list-number{interface

interface|pool

pool-name}配置示例練習(xí)11-2動(dòng)態(tài)NAT配置練習(xí)如下拓?fù)渌?，RA屬于公司內(nèi)部網(wǎng)專用路由器配置了默認(rèn)路由并且所擁有的公網(wǎng)ip段為.10~.12，RB為公司內(nèi)部服務(wù)器專用路由器，用于對(duì)外提供Web及Ftp服務(wù)，但其他端口禁止公網(wǎng)ip訪問。此外，為了保證安全，只允許PC0訪問公司的Web服務(wù)，PC1訪問Ftp服務(wù)，并且均能使用ping指令對(duì)外測(cè)試網(wǎng)絡(luò)連通性。請(qǐng)根據(jù)上述需求進(jìn)行相應(yīng)的網(wǎng)絡(luò)配置。4、NAPTNAPT的工作過程配置NAPT指定一個(gè)內(nèi)部接口和一個(gè)外部接口(config-if)#ipnat{inside|outside}定義IP訪問控制列表(config)#access-list

access-list-number{permit|deny}定義一個(gè)地址池(config)#ipnatpool

pool-name

start-ipend-ip{netmask

netmask|prefix-length

prefix-length}配置動(dòng)態(tài)轉(zhuǎn)換條目(config)#ipnatinsidesourcelist

access-list-number{interfaceinterface|poolpool-name}overload配置NAPT轉(zhuǎn)換中，必須使用overload關(guān)鍵字，這樣路由器才會(huì)將源端口也進(jìn)行轉(zhuǎn)換，已達(dá)到地址超載的目的。如果不指定overload關(guān)鍵字，路由器將執(zhí)行動(dòng)態(tài)NAT轉(zhuǎn)換。配置示例5、NAT配置案例實(shí)現(xiàn)以下需求1、內(nèi)部主機(jī)（/24）能訪問公網(wǎng)2、內(nèi)部服務(wù)器私有ip：00，對(duì)外提供www服務(wù)。配置案例24/24R2NPEPCWebserver/24/30Nat地址池pool為/24Webserver映射成/24/30L3SW00/24/30/30定義接口和ACL25/24R2NPEPCWebserver/24Gi0/0/30Gi0/1/30L3SW00/24/30/30Outside外網(wǎng)口Inside內(nèi)網(wǎng)口interfaceGigabitEthernet0/0ipnatinsideinterfaceGigabitEthernet0/1ipnatoutsideipaccess-liststandard110permit55定義NAT設(shè)備的內(nèi)外網(wǎng)口定義進(jìn)行NAT的ACL用戶列表定義NAT地址池和服務(wù)器對(duì)外映射ipnatpoolnatpoolprefix-length24address54matchinterfaceGigabitEthernet0/126/24R2NPEPCWebserver/24Gi0/0/30Gi0/1/30L3SW00/24/30/30Outside外網(wǎng)口Inside內(nèi)網(wǎng)口pool-name前綴長(zhǎng)度start-ipend-ip定義地址池定義端口映射27/24R2NPEPCWebserver/24Gi0/0/30Gi0/1/30L3SW00/24/30/30Outside外網(wǎng)口Inside內(nèi)網(wǎng)口協(xié)議global-addresslocal-addressipnatinsidesourcestatictcp008080PORTPORT定義轉(zhuǎn)換方法及轉(zhuǎn)換關(guān)聯(lián)ipnatinsidesourcelist1poolnatpooloverload28/24R2NPEPCWebserver/24Gi0/0/30Gi0/1/30L3SW00/24/30/30Outside外網(wǎng)口Inside內(nèi)網(wǎng)口ACL號(hào)pool-name定義轉(zhuǎn)換方法驗(yàn)證和診斷NAT轉(zhuǎn)換顯示活動(dòng)的轉(zhuǎn)換條目Router#showipnattransla