交換機與路由器的配置管理 課件 第8章網(wǎng)絡(luò)地址轉(zhuǎn)換

交換機與路由器的配置管理——第8章網(wǎng)絡(luò)地址轉(zhuǎn)換第八章概述8.1NAT技術(shù)8.1.1NAT簡介8.1.2NAT的工作原理8.1.3NAT的分類8.1.4NAT配置命令8.1.5NAT實現(xiàn)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)交換機與路由器的配置管理第八章概述（續(xù)）8.2NAT技術(shù)配置實訓(xùn)8.2.1靜態(tài)NAT配置實訓(xùn)8.2.2動態(tài)NAT配置實訓(xùn)8.2.3端口NAT配置實訓(xùn)交換機與路由器的配置管理8.1NAT技術(shù)交換機與路由器的配置管理交換機與路由器的配置管理8.1NAT技術(shù)8.1.1NAT簡介1.NAT的概念I(lǐng)Pv4中規(guī)定IP地址用32位二進(jìn)制數(shù)來表示，而Internet中的計算機必須擁有唯一的IP地址。隨著Internet的飛速發(fā)展，IP地址資源已經(jīng)基本耗盡。因此互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)（ICANN）將IP地址劃分了一部分出來作為私有地址，不同的局域網(wǎng)可以重復(fù)使用這些私有地址，以解決IP地址不夠用的問題。但這樣一來，使用私有地址的局域網(wǎng)主機就無法直接訪問互聯(lián)網(wǎng)了，因為互聯(lián)網(wǎng)中的路由器不會包含到私有地址的路由。為了解決這一問題，誕生了網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，這是一種將一個IP地址轉(zhuǎn)換為另一個IP地址的技術(shù)。通過NAT操作，局域網(wǎng)用戶就能透明地訪問互聯(lián)網(wǎng)。通過IP映射或端口映射，互聯(lián)網(wǎng)中的主機還能訪問位于局域網(wǎng)內(nèi)使用私有地址的服務(wù)器交換機與路由器的配置管理8.1NAT技術(shù)8.1.1NAT簡介2.NAT的相關(guān)術(shù)語在NAT操作中，會涉及以下幾個術(shù)語。（1）內(nèi)部網(wǎng)絡(luò)（inside）：即內(nèi)部的局域網(wǎng)絡(luò)，與邊界路由器上被定義為inside的網(wǎng)絡(luò)接口相連。（2）外部網(wǎng)絡(luò)（outside）：除了內(nèi)部網(wǎng)絡(luò)之外的所有網(wǎng)絡(luò)，通常指互聯(lián)網(wǎng)，與邊界路由器被定義為outside的網(wǎng)絡(luò)接口相連。（3）內(nèi)部本地地址（insidelocaladdress）：內(nèi)部局域網(wǎng)中用戶主機所使用的IP地址，通常為私有地址。（4）內(nèi)部全局地址（insideglobaladdress）：內(nèi)部局域網(wǎng)中部分主機所使用的公網(wǎng)IP地址，比如部署在局域網(wǎng)中的服務(wù)器所使用的合法公網(wǎng)IP地址。（5）外部本地地址（outsidelocaladdress）：外部網(wǎng)絡(luò)中的主機所使用的IP地址，這些IP地址不一定是公網(wǎng)地址。（6）外部全局地址（outsideglobaladdress）：外部網(wǎng)絡(luò)中主機所使用的公網(wǎng)IP地址。（7）地址池（addresspool）：可用于NAT操作的多個公網(wǎng)IP地址。形成地址池的IP地址應(yīng)連續(xù)。交換機與路由器的配置管理8.1NAT技術(shù)8.1.2NAT的工作原理1.進(jìn)行NAT操作的原因NAT被廣泛應(yīng)用于Internet接入和網(wǎng)絡(luò)互聯(lián)中，一方面解決了網(wǎng)絡(luò)地址資源不足的問題，另一方面隱藏了內(nèi)部網(wǎng)絡(luò)地址，有效地避免了來自外部的攻擊。NAT可以在很多設(shè)備上實現(xiàn)，像路由器、計算機和防火墻等設(shè)備都可以完成NAT功能，但這些設(shè)備應(yīng)該位于內(nèi)部網(wǎng)絡(luò)和Internet的邊界。這里只討論在Cisco路由器上實現(xiàn)NAT的方法。NAT可以動態(tài)地改變通過路由器的IP報文的內(nèi)容，修改報文的源IP地址或目的IP地址，使得離開路由器的源IP地址或目的IP地址轉(zhuǎn)換成與原來不同的地址。1）IP地址管理機構(gòu)InternetIP地址由InterNIC（InternetNetworkInformationCenter）統(tǒng)一負(fù)責(zé)全球地址的規(guī)劃、管理，同時由InterNIC、APNIC、RIPE等網(wǎng)絡(luò)信息中心具體負(fù)責(zé)美國及全球其他地區(qū)的IP地址分配。2）私有地址IP地址分為公有IP地址和私有IP地址。公有地址（publicaddress）又稱公網(wǎng)地址。由InterNIC負(fù)責(zé)。這些IP地址分配給向InterNIC提出申請的組織機構(gòu)。通過公有地址可以訪問Internet，這些地址是可以被Internet路由器路由的地址。私有地址（privateaddress）又稱專網(wǎng)地址，屬于非注冊地址，專門為組織機構(gòu)內(nèi)部使用，屬于局域網(wǎng)的范疇，除了所在局域網(wǎng)是無法被Internet路由器路由的。RFC1918定義的私有地址空間見表8-1。交換機與路由器的配置管理8.1NAT技術(shù)8.1.2NAT的工作原理一個局域網(wǎng)使用私有地址能夠保證不和已注冊的公有地址發(fā)生沖突。任何組織都可以使用私有地址。但如果一個局域網(wǎng)不需要連接到互聯(lián)網(wǎng)時，既可以使用公有地址也可以使用私有地址，只要不發(fā)生地址沖突就可以了。當(dāng)使用私有地址的網(wǎng)絡(luò)接入Internet時，就需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換。當(dāng)多個局域網(wǎng)重用了私有地址時也需要進(jìn)行地址轉(zhuǎn)換，才能夠進(jìn)行局域網(wǎng)互聯(lián)。使用公有地址的局域網(wǎng)在進(jìn)行Internet接入時，也需要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換，否則局域網(wǎng)內(nèi)的地址會和Internet的地址發(fā)生沖突交換機與路由器的配置管理8.1NAT技術(shù)8.1.2NAT的工作原理2.NAT的轉(zhuǎn)換原理借助于NAT技術(shù)，私有地址的內(nèi)部網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時，私有地址被替換成合法的公有IP地址，一個局域網(wǎng)只需要使用少量的公有IP地址（甚至是一個）即可實現(xiàn)私有地址與互聯(lián)網(wǎng)的通信需求。在配置了NAT功能的路由設(shè)備上，NAT自動修改IP報文的源IP地址和目的IP地址，如圖8-1所示。交換機與路由器的配置管理8.1NAT技術(shù)8.1.2NAT的工作原理在圖8-1中，內(nèi)網(wǎng)主機PC2具有私有IP地址0，外網(wǎng)主機PC1具有公有IP地址0。PC2訪問PC1過程如下：（1）PC2發(fā)送數(shù)據(jù)包，封裝的源IP地址為自身的地址0，目的IP地址為將要訪問的主機PC1的IP地址0。（2）數(shù)據(jù)包到達(dá)配置了NAT的路由器。（3）路由器按照NAT轉(zhuǎn)換規(guī)則，建立IP地址的映射關(guān)系，并將源IP地址（私有IP地址0）替換為公有IP地址0封裝發(fā)送。此時，數(shù)據(jù)包內(nèi)封裝的源IP地址為0，目的IP地址為0。（4）PC2收到源IP地址為0、目的IP地址為0的數(shù)據(jù)包。（5）PC2發(fā)送應(yīng)答數(shù)據(jù)包，根據(jù)接收數(shù)據(jù)包的IP地址，封裝的應(yīng)答數(shù)據(jù)包的源IP地址為自身的IP地址0，目的IP地址為0。（6）路由器收到應(yīng)答數(shù)據(jù)包，根據(jù)之前建立的IP地址映射關(guān)系，將目的IP地址0替換回私有IP地址0，源IP地址不變，封裝并發(fā)送。（7）PC2接收PC1的應(yīng)答數(shù)據(jù)包。在整個過程中，出口路由器根據(jù)配置的規(guī)則進(jìn)行IP地址的檢測并進(jìn)行轉(zhuǎn)換。交換機與路由器的配置管理8.1NAT技術(shù)8.1.3NAT的分類NAT分為三種類型，分別是靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（staticNAT,SNAT）、動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（dynamicNAT,DNAT）和網(wǎng)絡(luò)地址和端口翻譯（networkaddressandporttranslation,NAPT）。1.靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換就是將局域網(wǎng)內(nèi)的私有地址（通常為使用私有地址的服務(wù)器），一對一地映射到公網(wǎng)地址，從而將使用私有地址的服務(wù)器發(fā)布到互聯(lián)網(wǎng)，讓互聯(lián)網(wǎng)用戶能利用映射的公網(wǎng)地址訪問到使用私有地址的服務(wù)器。這種方式達(dá)不到節(jié)約公網(wǎng)IP地址的目的。2.動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換需要事先定義一個用來供轉(zhuǎn)換使用的公網(wǎng)地址池。當(dāng)內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng)時，路由器從地址池中選擇一個未用的公網(wǎng)地址，然后將該內(nèi)網(wǎng)主機的私網(wǎng)地址動態(tài)映射到該公網(wǎng)地址，從而建立起暫時的一對一的映射關(guān)系。當(dāng)訪問結(jié)束后，這種映射關(guān)系將被解除，以供下一個主機轉(zhuǎn)換使用。如果地址池中有5個地址，則可以為多于5臺的主機提供對互聯(lián)網(wǎng)的訪問服務(wù)，但也只能同時供5臺主機訪問互聯(lián)網(wǎng)。3.網(wǎng)絡(luò)地址和端口翻譯網(wǎng)絡(luò)地址和端口翻譯就是用一個公網(wǎng)地址的端口，來對應(yīng)一個私網(wǎng)地址的端口，建立起“公網(wǎng)地址：端口”和“私網(wǎng)地址：端口”間的映射關(guān)系。這種映射關(guān)系在NAT操作時會被保存在NAT表中，通過NAT技術(shù)代理用戶上網(wǎng)所配置的NAT就屬于網(wǎng)絡(luò)地址端口轉(zhuǎn)換類型。交換機與路由器的配置管理8.1NAT技術(shù)8.1.3NAT的分類傳輸層的通信地址是端口，兩個主機間建立TCP連接是端口與端口之間建立連接。TCP的0~1023號端口是標(biāo)準(zhǔn)服務(wù)所使用的端口。當(dāng)用戶主機訪問Web服務(wù)時，會使用大于或等于1024且沒有被使用的最小號的端口與目標(biāo)主機的TCP80端口建立TCP連接。在進(jìn)行NAT操作時，NAT設(shè)備會盡量用公網(wǎng)地址的相同端口與私網(wǎng)地址和端口建立映射關(guān)系。一個公網(wǎng)地址可用于參與NAT操作的端口數(shù)量有65536-1024=64512（個）。因此，在公網(wǎng)地址不變，端口可變的情況下，理論上可建立起64512個映射關(guān)系，即理論上可代理建立起64512個TCP連接。一臺主機訪問一個網(wǎng)站時，所建立的TCP連接數(shù)不止一個，往往有幾十個TCP連接。因此，用一個公網(wǎng)IP地址來進(jìn)行NAT操作，所能代理上網(wǎng)的用戶數(shù)量較少。為提高代理上網(wǎng)能力，可采用NAT地址池方式來配置NAT功能，采用多個公網(wǎng)地址參與NAT操作，這樣就能建立起更多的TCP連接。NAT地址池通常用一個子網(wǎng)的地址，子網(wǎng)中的網(wǎng)絡(luò)地址和廣播地址不參與網(wǎng)絡(luò)地址轉(zhuǎn)換，但可用于配置端口映射。交換機與路由器的配置管理8.1NAT技術(shù)8.1.4NAT配置命令1.定義NAT端口類型NAT設(shè)備的端口類型有內(nèi)部接口和外部接口，從內(nèi)部接口進(jìn)入的IP數(shù)據(jù)包將進(jìn)行源IP地址的替換修改，從外部接口流入的IP數(shù)據(jù)包將進(jìn)行目標(biāo)IP地址的替換修改。外部接口通常連接的是互聯(lián)網(wǎng)，也可以是其他企業(yè)的局域網(wǎng)。在配置網(wǎng)絡(luò)地址轉(zhuǎn)換之前，首先必須搞清楚路由器的內(nèi)部接口和外部接口，以及在哪個外部接口上啟用NAT。通常情況下，連接到內(nèi)部網(wǎng)絡(luò)的接口是NAT內(nèi)部接口，而連接到外部網(wǎng)絡(luò)（如Internet）的接口是NAT外部接口。這些約定很重要，后面的配置都是基于這些約定。配置命令如下：該命令在接口配置模式下執(zhí)行：inside定義該接口為內(nèi)部接口，用于連接內(nèi)部局域網(wǎng)絡(luò)；outside定義該接口為外部接口，用于連接外部網(wǎng)絡(luò)。例如，路由器的f0/0接口連接內(nèi)網(wǎng)，Ser2/0連接外網(wǎng)，則f0/0為內(nèi)部接口，Ser2/0為外部接口。路由器上指定內(nèi)部接口和外部接口的命令如下：交換機與路由器的配置管理8.1NAT技術(shù)8.1.4NAT配置命令2.定義訪問控制列表訪問控制列表將在后面章節(jié)詳細(xì)介紹。此處定義訪問控制列表用于控制允許內(nèi)網(wǎng)的哪些主機能通過NAT操作訪問互聯(lián)網(wǎng)。訪問控制列表分為標(biāo)準(zhǔn)訪問控制列表和擴展訪問控制列表兩種。對于簡單的訪問控制，使用標(biāo)準(zhǔn)訪問控制列表即可，其定義的列表編號取值范圍為0~99，標(biāo)準(zhǔn)訪問控制列表配置命令如下：參數(shù)說明如下：number代表所定義的訪問控制列表的編號。permit|deny二選一，代表當(dāng)規(guī)則條件匹配時所執(zhí)行的動作：permit代表允許；deny代表拒絕，不允許。networkwildcard共同使用，用于代表源網(wǎng)絡(luò)地址。network代表網(wǎng)絡(luò)地址，wildcard代表通配符掩碼，即反掩碼，與子網(wǎng)掩碼的表達(dá)方式相反。例如，如果不允許/24網(wǎng)段通過NAT操作訪問互聯(lián)網(wǎng)，則ACL規(guī)則可定義如下：最后一條規(guī)則為默認(rèn)規(guī)則，如果要允許內(nèi)網(wǎng)的所有用戶均可通過NAT操作訪問互聯(lián)網(wǎng)，則直接定義一條規(guī)則即可，其ACL規(guī)則為access-list1permitany。交換機與路由器的配置管理8.1NAT技術(shù)8.1.4NAT配置命令3.定義NAT地址池配置命令如下:pool_name代表自定義的地址池名稱；startip代表地址池開始的IP地址；endip代表地址池結(jié)束的IP地址；subnetmask代表地址對應(yīng)的子網(wǎng)掩碼。例如，如果使用/29子網(wǎng)的地址作為NAT地址池，則NAT地址池定義如下：4.配置NAT操作（1）使用NAT地址池配置。配置命令如下：命令功能：對與指定ACL規(guī)則相匹配的IP數(shù)據(jù)包進(jìn)行NAT操作，地址轉(zhuǎn)換所使用的公網(wǎng)地址來自NAT地址池。該命令在全局配置模式下執(zhí)行。參數(shù)說明：acl-number代表訪問列表的編號，即前面所定義的訪問列表的編號。pool_name代表前面所定義的NAT地址池的名稱。如果采用前面定義的ACL規(guī)則和NAT地址池來配置NAT操作，則配置命令如下：交換機與路由器的配置管理8.1NAT技術(shù)8.1.4NAT配置命令（2）使用外網(wǎng)接口的公網(wǎng)地址配置。如果網(wǎng)絡(luò)規(guī)模小，并且沒有多余的公網(wǎng)地址用于定義NAT地址池，也可以采用路由器外網(wǎng)接口的公網(wǎng)地址來配置NAT，其配置命令如下：例如，局域網(wǎng)的出口路由器的外網(wǎng)接口是ser2/0，ACL編號為1，則NAT配置命令如下：提示：完成以上配置后，局域網(wǎng)內(nèi)的用戶就可以訪問互聯(lián)網(wǎng)了，但此時互聯(lián)網(wǎng)中的用戶是無法訪問局域網(wǎng)內(nèi)使用私網(wǎng)地址的服務(wù)器的。要解決這個問題，可通過配置靜態(tài)IP映射或端口映射來實現(xiàn)。5.配置端口映射配置命令如下：命令功能：該命令在全局配置模式下執(zhí)行，用于將內(nèi)網(wǎng)中的私網(wǎng)地址的某一個端口，與指定的公網(wǎng)地址的某一個端口建立一對一的映射關(guān)系。參數(shù)說明：tcp|udp二選一，代表傳輸層協(xié)議的類型。local-ipport代表內(nèi)網(wǎng)的私網(wǎng)IP地址和對應(yīng)的端口；global-ipport代表用于映射的公網(wǎng)IP地址和對應(yīng)的端口。交換機與路由器的配置管理8.1NAT技術(shù)8.1.4NAT配置命令在某高校的A校區(qū)局域網(wǎng)中，內(nèi)網(wǎng)中使用私有地址的服務(wù)器群的私有地址段是/24，Web2服務(wù)器的IP地址為0/24，IP規(guī)劃中用于端口映射的子網(wǎng)地址是/30。假設(shè)要用

這個公網(wǎng)地址的TCP80端口與Web2服務(wù)器的0這個私網(wǎng)地址的TCP80端口建立映射，則配置命令如下：在出口路由器上添加以上端口映射后，在互聯(lián)網(wǎng)中的用戶通過訪問

這個公網(wǎng)地址，就能訪問到位于局域網(wǎng)內(nèi)網(wǎng)并且使用私網(wǎng)地址的Web2服務(wù)器了。如果內(nèi)網(wǎng)有很多臺使用私網(wǎng)地址的Web服務(wù)器且用于端口映射的公網(wǎng)地址數(shù)少于要映射的私網(wǎng)地址服務(wù)器數(shù)，則只能用公網(wǎng)地址的非TCP80端口，比如TCP8080端口或者其他端口來映射到私網(wǎng)地址的TCP80端口。例如，如果內(nèi)網(wǎng)有一臺IP地址為2/24的Web3服務(wù)器，假設(shè)用

這個公網(wǎng)IP地址的TCP8080端口來映射到該臺私網(wǎng)地址服務(wù)器的TCP80端口，則配置命令如下：在出口路由器上添加以上端口映射后，在互聯(lián)網(wǎng)中的用戶通過:8080這個地址，就能訪問到位于局域網(wǎng)內(nèi)網(wǎng)并且使用私網(wǎng)地址的Web3服務(wù)器了。交換機與路由器的配置管理8.1NAT技術(shù)8.1.4NAT配置命令6.IP映射如果某個使用私網(wǎng)地址的應(yīng)用服務(wù)器所使用的端口數(shù)量比較多，則每一個用到的端口都必須配置端口映射，配置工作量會比較大，此時可考慮配置IP映射。配置命令如下：命令功能：將公網(wǎng)IP地址與私網(wǎng)IP地址建立一對一的映射。建立映射后，互聯(lián)網(wǎng)中的主機通過訪問該公網(wǎng)地址，就可以訪問到對應(yīng)的私網(wǎng)地址服務(wù)器。參數(shù)說明：local-ip代表私網(wǎng)地址；global-ip代表公網(wǎng)地址。由于是一對一的映射，相當(dāng)于所有端口都建立了一對一的映射。用來建立IP映射的公網(wǎng)地址，不能是NAT地址池中的地址。如果要用

這個公網(wǎng)地址與私有地址3建立IP映射，則配置命令如下：交換機與路由器的配置管理8.1NAT技術(shù)8.1.5NAT實現(xiàn)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)可以使用靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換、端口地址轉(zhuǎn)換或它們的組合來實現(xiàn)。1.實現(xiàn)靜態(tài)地址轉(zhuǎn)換靜態(tài)地址轉(zhuǎn)換配置是比較簡單的，在內(nèi)部本地地址與內(nèi)部全局地址之間進(jìn)行一對一的轉(zhuǎn)換，配置分四個步驟來完成。（1）指定連接內(nèi)部網(wǎng)絡(luò)的路由器內(nèi)部接口（例如f0/0接口），在這個接口執(zhí)行如下命令：（2）指定連接外部網(wǎng)絡(luò)的路由器外部接口（例如Ser3/0接口），在這個接口執(zhí)行如下命令：（3）配置一條去往互聯(lián)網(wǎng)的默認(rèn)路由。（4）在全局配置模式下進(jìn)行靜態(tài)地址映射。①進(jìn)行內(nèi)部源IP地址轉(zhuǎn)換：②進(jìn)行內(nèi)部目標(biāo)IP地址轉(zhuǎn)換：交換機與路由器的配置管理8.1NAT技術(shù)8.1.5NAT實現(xiàn)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)③進(jìn)行外部源IP地址轉(zhuǎn)換：一個內(nèi)網(wǎng)地址靜態(tài)轉(zhuǎn)換為一個公網(wǎng)地址，用于內(nèi)網(wǎng)訪問外網(wǎng)的應(yīng)用現(xiàn)在已經(jīng)很少使用，但靜態(tài)地址轉(zhuǎn)換用于外網(wǎng)訪問內(nèi)網(wǎng)Web服務(wù)的應(yīng)用則非常廣泛。譬如，企業(yè)只有一個合法的公網(wǎng)IP地址，而這個IP地址已經(jīng)應(yīng)用在路由器的外網(wǎng)接口，而多個內(nèi)網(wǎng)服務(wù)器需要接受外網(wǎng)訪問，那么可以利用帶端口的靜態(tài)地址轉(zhuǎn)換方法來解決此問題。帶端口的靜態(tài)地址轉(zhuǎn)換方法不是將IP地址做一對一映射，而是將傳輸層的端口號進(jìn)行一對一映射。例如，在ISP申請了一個地址/24，把它應(yīng)用在接入路由器的出口上，并且做NAT重載來為內(nèi)網(wǎng)主機提供Internet服務(wù)，而內(nèi)網(wǎng)有一臺主機（地址為）需要為外網(wǎng)提供WWW服務(wù)。在路由器上進(jìn)行靜態(tài)地址轉(zhuǎn)換配置，可以用以下三步來完成。第一步，指定內(nèi)部接口。交換機與路由器的配置管理8.1NAT技術(shù)8.1.5NAT實現(xiàn)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)第二步，指定外部接口。第三步，設(shè)置端口映射上面的配置實現(xiàn)了將外部地址

的80端口映射到內(nèi)部地址

的80端口。外網(wǎng)訪問內(nèi)網(wǎng)Web服務(wù)器時只需訪問接入路由器出口地址，而不是訪問內(nèi)網(wǎng)Web服務(wù)器地址。在外網(wǎng)計算機的瀏覽器上輸入“”，就能瀏覽到內(nèi)網(wǎng)Web服務(wù)器上的網(wǎng)頁。2.實現(xiàn)動態(tài)地址轉(zhuǎn)換動態(tài)地址轉(zhuǎn)換在內(nèi)部本地地址與內(nèi)部全局地址池集中的某個地址進(jìn)行一對一的轉(zhuǎn)換，配置分六個步驟來完成。（1）指定連接內(nèi)部網(wǎng)絡(luò)的路由器內(nèi)部接口。在這個接口執(zhí)行如下命令：交換機與路由器的配置管理8.1NAT技術(shù)8.1.5NAT實現(xiàn)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)（2）指定連接外部網(wǎng)絡(luò)的路由器外部接口。在這個接口執(zhí)行如下命令：（3）配置去往互聯(lián)網(wǎng)的默認(rèn)路由。（4）在全局配置模式下指定一個地址池。（5）定義一個訪問控制列表。定義一個訪問控制列表，指明允許進(jìn)行地址轉(zhuǎn)換的地址范圍。（6）在全局配置模式下進(jìn)行地址轉(zhuǎn)換。①進(jìn)行內(nèi)部源地址轉(zhuǎn)換：②進(jìn)行內(nèi)部目標(biāo)地址轉(zhuǎn)換：

③進(jìn)行外部源地址轉(zhuǎn)換：交換機與路由器的配置管理8.1NAT技術(shù)8.1.5NAT實現(xiàn)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)圖8-2所示是一個動態(tài)地址轉(zhuǎn)換實現(xiàn)內(nèi)網(wǎng)接入互聯(lián)網(wǎng)的拓?fù)浣Y(jié)構(gòu)圖。配置各PC主機的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)。交換機與路由器的配置管理8.1NAT技術(shù)8.1.5NAT實現(xiàn)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)在PacketTracer中單擊PC1按鈕，在彈出的窗口中選擇“桌面”選項卡下的“IP地址配置”選項，出現(xiàn)如圖8-3所示對話框，然后設(shè)置PC1的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)，按照同樣方法設(shè)置其他PC的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)。交換機與路由器的配置管理PC2主機的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)配置如圖8-4所示。8.1NAT技術(shù)8.1.5NAT實現(xiàn)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)PC3主機的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)配置如圖8-5所示。交換機與路由器的配置管理Web服務(wù)器Server0的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)配置如圖8-6所示。8.1NAT技術(shù)8.1.5NAT實現(xiàn)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)RouterA路由器的配置如下：交換機與路由器的配置管理RouterB路由器的配置如下：8.1NAT技術(shù)8.1.5NAT實現(xiàn)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)在主機PC1上對路由器動態(tài)NAT的測試如圖8-7所示。交換機與路由器的配置管理在主機PC2上對路由器動態(tài)NAT的測試如圖8-8所示。8.1NAT技術(shù)8.1.5NAT實現(xiàn)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)經(jīng)過動態(tài)地址轉(zhuǎn)換后內(nèi)網(wǎng)中部分計算機可以訪問互聯(lián)網(wǎng)，能夠同時訪問外網(wǎng)的計算機數(shù)量等于地址池中地址的個數(shù)。地址池中定義了兩個公網(wǎng)地址、，因此，內(nèi)網(wǎng)中兩臺計算機可以同時訪問外網(wǎng)，第三臺要等待其他計算機下線后釋放公網(wǎng)地址才能訪問外網(wǎng)。如果要使得所有內(nèi)網(wǎng)計算機都能同時訪問外網(wǎng)，需要在地址轉(zhuǎn)換命令中使用overload參數(shù)。內(nèi)網(wǎng)兩臺計算機訪問外網(wǎng)后，在接入路由器上查看地址轉(zhuǎn)換情況如圖8-9所示。如果想將多個IP地址段轉(zhuǎn)換為合法的IP地址，可以將它們一一添加到訪問列表中。例如，當(dāng)欲將~55/24和~55/24轉(zhuǎn)換為合法的IP地址時，應(yīng)當(dāng)添加下述命令：交換機與路由器的配置管理8.1NAT技術(shù)8.1.5NAT實現(xiàn)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)如果有多個內(nèi)部訪問列表，可以一一添加，以實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換，例如：如果有多個地址池，也可以一一添加，以增加合法地址池范圍，例如：至此，動態(tài)地址轉(zhuǎn)換設(shè)置完畢。3.實現(xiàn)端口地址轉(zhuǎn)換端口地址轉(zhuǎn)換也是一種動態(tài)地址轉(zhuǎn)換，是多個內(nèi)網(wǎng)地址的端口被轉(zhuǎn)換為一個公網(wǎng)地址的多個端口。配置也分六個步驟來完成。（1）指定連接內(nèi)部網(wǎng)絡(luò)的路由器內(nèi)部接口。在這個接口執(zhí)行如下命令：（2）指定連接外部網(wǎng)絡(luò)的路由器外部接口。在這個接口執(zhí)行如下命令：交換機與路由器的配置管理8.1NAT技術(shù)8.1.5NAT實現(xiàn)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)（3）配置去往互聯(lián)網(wǎng)的默認(rèn)路由。（4）指定一個公有地址：可以是連接公網(wǎng)的接口，也可以是只有一個地址的地址池。對于只有一個IP地址的地址池，“startip”和“endip”是同一個內(nèi)部全局地址。（5）定義一個訪問控制列表。定義一個訪問控制列表，指明允許進(jìn)行地址轉(zhuǎn)換的地址范圍。（6）內(nèi)部本地地址轉(zhuǎn)換為外部接口地址。交換機與路由器的配置管理8.1NAT技術(shù)8.1.5NAT實現(xiàn)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)overload說明是過載。圖8-10所示為端口地址轉(zhuǎn)換實現(xiàn)內(nèi)網(wǎng)接入互聯(lián)網(wǎng)的拓?fù)浣Y(jié)構(gòu)圖。RouterA路由器的配置如下：交換機與路由器的配置管理8.1NAT技術(shù)8.1.5NAT實現(xiàn)使用私有地址的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)RouterB路由器的配置如下：經(jīng)過動態(tài)地址轉(zhuǎn)換后內(nèi)網(wǎng)中所有計算機可以訪問互聯(lián)網(wǎng)，所有的訪問外網(wǎng)的內(nèi)網(wǎng)地址都被轉(zhuǎn)換為接入路由器訪問外網(wǎng)的公網(wǎng)地址，是一對一的轉(zhuǎn)換，用不同的端口號來區(qū)分。在主機PC3上對路由器端口地址轉(zhuǎn)換實現(xiàn)內(nèi)網(wǎng)接入互聯(lián)網(wǎng)的測試如圖8-11所示。端口地址轉(zhuǎn)換后每臺內(nèi)網(wǎng)計算機都可以訪問外網(wǎng)，通過端口號區(qū)分。每臺內(nèi)網(wǎng)計算機訪問外網(wǎng)后，可以在接入路由器上查看端口地址轉(zhuǎn)換的情況如圖8-12所示。雖然每個內(nèi)網(wǎng)地址都轉(zhuǎn)換成相同的公網(wǎng)地址（接入路由器出接口地址），但端口號不一樣，這樣就將它們區(qū)分開來了。至此，端口復(fù)用動態(tài)地址轉(zhuǎn)換配置完成交換機與路由器的配置管理8.2NAT技術(shù)配置實訓(xùn)交換機與路由器的配置管理交換機與路由器的配置管理8.2NAT技術(shù)配置實訓(xùn)8.2.1靜態(tài)NAT配置實訓(xùn)1.實訓(xùn)目標(biāo)（1）了解靜態(tài)內(nèi)部源地址轉(zhuǎn)換的定義及應(yīng)用。（2）掌握靜態(tài)內(nèi)部源地址轉(zhuǎn)換的配置方法。2.實訓(xùn)任務(wù)你是某公司的網(wǎng)絡(luò)管理員，公司內(nèi)網(wǎng)有一臺WEB服務(wù)器，公司向ISP申請了一條專線，該專線分配了一個公網(wǎng)IP地址，通過配置實現(xiàn)公司的WEB服務(wù)器對外提供服務(wù)。3.任務(wù)分析路由器與外網(wǎng)相連的接口為Ser2/0，假設(shè)申請的公網(wǎng)IP地址為/30，內(nèi)網(wǎng)有一臺WEB服務(wù)器地址為00，公司內(nèi)部有兩個網(wǎng)段分別為

及，其中，網(wǎng)段是服務(wù)器網(wǎng)段，為了實現(xiàn)服務(wù)器對外發(fā)布。首先在路由器上進(jìn)行配置，并設(shè)置默認(rèn)路由指向外網(wǎng)，然后在路由器上配置靜態(tài)NAT端口地址進(jìn)行轉(zhuǎn)換，實現(xiàn)WEB服務(wù)器對外提供服務(wù)。靜態(tài)NAT配置及應(yīng)用如圖8-13所示。交換機與路由器的配置管理8.2NAT技術(shù)配置實訓(xùn)8.2.1靜態(tài)NAT配置實訓(xùn)4.任務(wù)實施1）配置服務(wù)器的IP地址在PacketTracer中單擊WEB服務(wù)器，在彈出的窗口中選擇“桌面”選項卡下的“IP地址配置”選項，出現(xiàn)如圖8-14所示對話框，然后設(shè)置WEB服務(wù)器的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)。交換機與路由器的配置管理2）配置服務(wù)器的WEB服務(wù)在PacketTracer中單擊WEB服務(wù)器，在彈出的窗口中選擇“服務(wù)”選項卡下的HTTP選項，出現(xiàn)如圖8-15所示對話框，然后在HTTP選項中設(shè)置“啟用”。8.2NAT技術(shù)配置實訓(xùn)8.2.1靜態(tài)NAT配置實訓(xùn)3）配置PC1主機的IP地址PC1主機的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)配置如圖8-16所示。交換機與路由器的配置管理4）路由器配置（1）路由器基本配置：①RouterA路由器的配置如下：8.2NAT技術(shù)配置實訓(xùn)8.2.1靜態(tài)NAT配置實訓(xùn)②RouterB路由器的配置如下：交換機與路由器的配置管理（2）配置默認(rèn)路由：5）路由器靜態(tài)NAT配置（1）指定內(nèi)外網(wǎng)路由器NAT轉(zhuǎn)換接口：8.2NAT技術(shù)配置實訓(xùn)8.2.1靜態(tài)NAT配置實訓(xùn)（2）配置路由器靜態(tài)NAT地址轉(zhuǎn)換：在RouterA路由器上查看網(wǎng)絡(luò)地址轉(zhuǎn)換情況如圖8-17所示。6）驗證測試驗證測試如圖8-18所示。交換機與路由器的配置管理8.2NAT技術(shù)配置實訓(xùn)8.2.2動態(tài)NAT配置實訓(xùn)1.實訓(xùn)目標(biāo)（1）了解動態(tài)內(nèi)部源地址轉(zhuǎn)換的定義及應(yīng)用。（2）掌握動態(tài)內(nèi)部源地址轉(zhuǎn)換的配置方法。2.實訓(xùn)任務(wù)你是某公司的網(wǎng)絡(luò)管理員，公司辦公網(wǎng)需要接入互聯(lián)網(wǎng)，公司只向ISP申請了一條專線，該專線分配了一個公網(wǎng)IP地址，通過配置動態(tài)NAT實現(xiàn)與公司有業(yè)務(wù)往來的外界主機都能訪問外網(wǎng)。3.任務(wù)分析路由器與外網(wǎng)相連的接口為Ser2/0，假設(shè)申請的公網(wǎng)IP地址為/30，外網(wǎng)有一臺WEB服務(wù)器地址為00，公司內(nèi)部有兩個網(wǎng)段分別為、，其中，兩個網(wǎng)段都可以訪問外網(wǎng)。首先在路由器上進(jìn)行配置，并設(shè)置默認(rèn)路由指向外網(wǎng)，然后在路由器上配置動態(tài)NAT進(jìn)行轉(zhuǎn)換，實現(xiàn)對Internet的訪問，如圖8-19所示交換機與路由器的配置管理8.2NAT技術(shù)配置實訓(xùn)8.2.2動態(tài)NAT配置實訓(xùn)4.任務(wù)實施1）配置各PC和服務(wù)器的IP地址在PacketTracer中單擊PC1按鈕，在彈出的窗口中選擇“桌面”選項卡下的“IP地址配置”選項，出現(xiàn)如圖8-20所示對話框，然后設(shè)置PC1的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)，按照同樣方法設(shè)置其他PC的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)。PC2主機的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)配置如圖8-21所示。交換機與路由器的配置管理8.2NAT技術(shù)配置實訓(xùn)8.2.2動態(tài)NAT配置實訓(xùn)服務(wù)器的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)配置如圖8-22所示。交換機與路由器的配置管理2）路由器配置（1）路由器基本配置：①RouterA路由器的配置如下：8.2NAT技術(shù)配置實訓(xùn)8.2.2動態(tài)NAT配置實訓(xùn)②RouterB路由器的配置如下（2）配置默認(rèn)路由交換機與路由器的配置管理（3）定義內(nèi)部及外部端口。①定義f0/0及f1/0為內(nèi)網(wǎng)接口：②定義Ser2/0為外網(wǎng)接口：8.2NAT技術(shù)配置實訓(xùn)8.2.2動態(tài)NAT配置實訓(xùn)（4）定義內(nèi)部全局地址池。地址池名稱為to_inte