網絡地址轉換

網絡地址轉換1網絡地址轉換概述2靜態(tài)NAT3動態(tài)NAT4NAPT5NAT配置案例1、網絡地址轉換概述NAT概念地址空間不足帶來的問題注冊IP地址空間將要耗盡，而internet的規(guī)模仍在持續(xù)增長隨著internet的增長，骨干互聯網路由選擇表中的IP路由條目也在增加，這引發(fā)了路由選擇算法的擴展問題網絡地址轉換NAT（NetworkAddressTranslation）NAT是一種大型網絡中節(jié)約注冊IP地址數量，并簡化IP尋址管理任務的機制。NAT已經標準化并在RFC1613中描述它是一個IETF(InternetEngineeringTaskForce,Internet工程任務組)標準，允許一個整體機構以一個公用IP地址出現在Internet上它是一種把內部私有網絡地址翻譯成合法公網IP地址的技術

NAT的用途解決地址空間不足的問題IPv4的空間已經嚴重不足，NAT可以大量節(jié)省公網IP私有IP地址網絡與公網互聯私有IP網絡無法直接在公網上通信，NAT技術可以將其轉化為合法的公網地址使私有網絡與公網實現互聯使用未注冊的公網IP地址與公網互聯內網使用的是未注冊的公網IP，通過NAT技術也能正常與internet互聯網絡改造中，避免更改地址帶來的風險內網改造不需要重新更換與外網互聯地址，只需更改映射關系內網改造出現地址重疊，NAT技術可以屏蔽重疊NAT術語術語定義內部本地IP地址分配給內部網絡中的主機的IP地址，通常這種地址來自RFC1918指定的私有地址空間。內部全局IP地址內部全局IP地址，對外代表一個或多個內部本地IP地址，通常這種地址來自全局惟一的地址空間，通常是ISP提供的。外部全局IP地址外部網絡中的主機的IP地址，通常來自全局可路由的地址空間。外部本地IP地址在內部網絡中看到的外部主機的IP地址簡單轉換條目將一個IP地址映射到另一個IP地址（通常被稱為網絡地址轉換）的轉換條目。擴展轉換條目將一個IP地址和端口對映射到另一個IP地址和端口（通常被稱為端口地址轉換）對的轉換條目。NAT術語NAT分類根據NAT的映射方式可分為：靜態(tài)NAT：手動建立一個內部IP地址到一個外部IP地址的映射關系該方式經常用于企業(yè)網的內部設備需要能夠被外部網絡訪問到的場合動態(tài)NAT：將一個內部IP地址轉換為一組外部IP地址（地址池）中的一個IP地址常用于整個公司共用多個公網IP地址訪問Internet時超載（Overloading）NAT：動態(tài)NAT的一種特殊形式，利用不同端口號將多個內部IP地址轉換為一個外部IP地址，也稱為PAT、NAPT或端口復用NAT常用于整個公司共用1個公網IP地址訪問Internet時2、靜態(tài)NAT靜態(tài)NAT的工作過程HostA發(fā)數據包給HostB，通過路由器時，源地址被轉換為HostB回復HostA，通過路由器時，目的地址被轉換為配置靜態(tài)NAT配置靜態(tài)內部源地址轉換指定一個內部接口和一個外部接口(config-if)#ipnat{inside|outside}配置靜態(tài)轉換條目(config)#ipnatinsidesourcestatic

local-ip{

interfaceinterface|global-ip}配置靜態(tài)端口地址轉換指定一個內部接口和一個外部接口(config-if)#ipnat{inside|outside}配置靜態(tài)端口轉換條目(config)#ipnatinsidesourcestatic{tcp|udp}local-iplocal-port{

interfaceinterface|global-ip}global-port配置靜態(tài)NAT示例(config)#interfacef0/0(config-if)#ipnatinside(config)#interfaceserial2/0(config-if)#ipnatoutside(config)#ipnatinsidesourcestatic練習11-1靜態(tài)NAT配置

請根據下面的拓撲圖進行網絡設備配置，使得路由器通過地址對vlan10及vlan20提供Web及FTP服務。3、動態(tài)NAT動態(tài)NAT的工作過程HostA發(fā)數據包給HostB，通過路由器時，源地址被轉換為地址池中的一個地址HostB回復HostA，通過路由器時，目的地址被轉換為配置動態(tài)NAT配置動態(tài)NAT指定一個內部接口和一個外部接口(config-if)#ipnat{inside|outside}定義IP訪問控制列表(config)#access-list

access-list-number{permit|deny}定義一個地址池(config)#ipnatpool

pool-name

start-ipend-ip{netmask

netmask|prefix-length

prefix-length}配置動態(tài)轉換條目(config)#ipnatinsidesourcelist

access-list-number{interface

interface|pool

pool-name}配置示例練習11-2動態(tài)NAT配置練習如下拓撲所示，RA屬于公司內部網專用路由器配置了默認路由并且所擁有的公網ip段為.10~.12，RB為公司內部服務器專用路由器，用于對外提供Web及Ftp服務，但其他端口禁止公網ip訪問。此外，為了保證安全，只允許PC0訪問公司的Web服務，PC1訪問Ftp服務，并且均能使用ping指令對外測試網絡連通性。請根據上述需求進行相應的網絡配置。4、NAPTNAPT的工作過程配置NAPT指定一個內部接口和一個外部接口(config-if)#ipnat{inside|outside}定義IP訪問控制列表(config)#access-list

access-list-number{permit|deny}定義一個地址池(config)#ipnatpool

pool-name

start-ipend-ip{netmask

netmask|prefix-length

prefix-length}配置動態(tài)轉換條目(config)#ipnatinsidesourcelist

access-list-number{interfaceinterface|poolpool-name}overload配置NAPT轉換中，必須使用overload關鍵字，這樣路由器才會將源端口也進行轉換，已達到地址超載的目的。如果不指定overload關鍵字，路由器將執(zhí)行動態(tài)NAT轉換。配置示例5、NAT配置案例實現以下需求1、內部主機（/24）能訪問公網2、內部服務器私有ip：00，對外提供www服務。配置案例24/24R2NPEPCWebserver/24/30Nat地址池pool為/24Webserver映射成/24/30L3SW00/24/30/30定義接口和ACL25/24R2NPEPCWebserver/24Gi0/0/30Gi0/1/30L3SW00/24/30/30Outside外網口Inside內網口interfaceGigabitEthernet0/0ipnatinsideinterfaceGigabitEthernet0/1ipnatoutsideipaccess-liststandard110permit55定義NAT設備的內外網口定義進行NAT的ACL用戶列表定義NAT地址池和服務器對外映射ipnatpoolnatpoolprefix-length24address54matchinterfaceGigabitEthernet0/126/24R2NPEPCWebserver/24Gi0/0/30Gi0/1/30L3SW00/24/30/30Outside外網口Inside內網口pool-name前綴長度start-ipend-ip定義地址池定義端口映射27/24R2NPEPCWebserver/24Gi0/0/30Gi0/1/30L3SW00/24/30/30Outside外網口Inside內網口協(xié)議global-addresslocal-addressipnatinsidesourcestatictcp008080PORTPORT定義轉換方法及轉換關聯ipnatinsidesourcelist1poolnatpooloverload28/24R2NPEPCWebserver/24Gi0/0/30Gi0/1/30L3SW00/24/30/30Outside外網口Inside內網口ACL號pool-name定義轉換方法驗證和診斷NAT轉換顯示活動的轉換條目Router#showipnattransla