网络地址转换(NAT)

1、网络地址转换(NAT)了解NAT的作用理解NAT的优点和确定理解NAT的种类静态动态PAT掌握NAT的配置本章课程目标地址转换的提出背景合法的IP地址资源日益短缺一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务网络地址转换概述4-1NAT的原理改变IP包头，使目的地址、源地址或两个地址在包头中被不同地址替换网络地址转换概述4-2局域网局域网PC2PC1Internet网络地址转换概述4-3IP

2、:Port:3010IP:Port:3000IP 数据包数据包IP:Port:3000IP:Port:3010NAT的3种实现方式静态转换动态转换端口转换（PAT） 网络地址转换概述4-4NAT工作原理（SNAT）内部网络外部网络PCSERVERF0/0F0/1包源IP:目的IP:2包源IP:目的IP:3包源IP:目的IP:4包源IP:202

3、.1.1.2目的IP:NAT的优点节省公有合法IP地址处理地址交叉增强灵活性安全性NAT的缺点延迟增大配置和维护的复杂性不支持某些应用NAT的优缺点NAT配置步骤1、接口IP地址配置2、使用访问控制列表定义哪些内部主机能做NAT3、决定采用什么公有地址，静态或地址池4、指定地址转换映射5、在内部和外部端口上启用NATNAT配置静态NAT配置3-1InternetNAT外部端口外部端口NAT内部端口内部端口内部网络内部网络-/24 29 静态NAT配置3-2第一步：第一步： 设置外

4、部端口设置外部端口Router_config#interface FastEthernet 0/0Router_config_s0/0# ip address Router_config#interface serial 0/0Router_config_s0/0# ip address 29 48第二步第二步 ：设置内部端口：设置内部端口静态NAT配置3-3第三步：第三步： 在内部本地和内部合法地址之间建立静态地址转换在内部本地和内部合法地址之间建立静态地址转换Router_config#i

5、nterface serial 0/0Router_config_s0/0# ip nat outsideRouter_config#interface ethernet 0/0Router_config_e0/0# ip nat insideRouter_config#ip nat inside source static 30Router_config#ip nat inside source static 31Router_config#ip nat inside source stati

6、c 32第四步：在内部和外部端口上启用第四步：在内部和外部端口上启用NATNATInternetNAT外部端口外部端口NAT内部端口内部端口内部网络内部网络-/24 29 动态NAT配置4-1Internet动态NAT配置4-2第一步：第一步： 设置外部端口设置外部端口IPIP地址地址Router_config#interface Ethernet 0/0Router_config_E0/0# ip address 255.

7、255.255.0Router_config#interface serial 0/0Router_config_s0/0# ip address 29 48第二步：第二步： 设置内部端口设置内部端口IPIP地址地址第三步：定义内部网络中允许访问外部的访问控制列表第三步：定义内部网络中允许访问外部的访问控制列表Router_config#access-list standard 1 Router_config_std_nacl#permit 动态NAT配置4-3第四步：定义合法第四步：定义合法I

8、PIP地址池地址池Router_config#ip nat inside source list 1 pool test0Router_config#ip nat pool test0 30 32 48第五步：指定网络地址转换映射第五步：指定网络地址转换映射第六步：在内部和外部端口上启用第六步：在内部和外部端口上启用NATNATRouter_config#Interface serial 0/0Router_config_s0/0# ip nat outsideRouter_config#Interface ethernet

9、 0/0Router_config_e0/0# ip nat inside端口转换配置5-1地址转换过程中，也直接使用接口的IP地址作为转换后的源地址Internet局域网局域网 -254/24PC2PC1S0:2 PC1 和和 PC2 可以直接使可以直接使用用 S0接口的接口的IP 地址作为地址作为地址转换后的公用地址转换后的公用IP地址地址InternetNAT外部端口外部端口NAT内部端口内部端口内部网络内部网络-54/24 29 10.1.1 .1 端口转换配置5-2端口转换配置5-3第一

10、步：第一步： 设置外部端口设置外部端口Router_config#interface Ethernet 0/0Router_config_e0/0# ip address Router_config#interface serial 0/0Router_config_s0/0# ip address 29 52第二步第二步 ：设置内部端口：设置内部端口第三步第三步 ：定义内部网络中允许访问外部的访问控制列表：定义内部网络中允许访问外部的访问控制列表Router_config#access-list st

11、andard 1 Router_config_std_nacl#permit 端口转换配置5-4第四步：定义合法第四步：定义合法IPIP地址池地址池Router_config#ip nat inside source list 1 interface serial0/0直接使用路由器的接口地址，不用定义地址池第五步：指定网络地址转换映射第五步：指定网络地址转换映射第六步：第六步： 在内部和外部端口上启用在内部和外部端口上启用NATNATRouter_config#interface serial 0/0Router_config_s0/0# ip n

12、at outsideRouter_config#interface ethernet 0/0Router_config_e0/0# ip nat insideNAT检查与排错2-1show ip nat translationsshow ip nat translations查看地址转换列表show ip nat statisticsshow ip nat statistics查看静态地址转换列表Router# show ip nat translations Pro inside global inside local outside local outside global Tcp 61.

13、159.62.130 - - Tcp 31 - -NAT检查与排错2-2RouterRouterdebug ip natdebug ip natNAT的debug调试Routerdebug ip natNat:s=-,d= 0Nat:s=, d=- 0Nat:s=-, d= 1s表示源地址是d表示目的地址是-表示将地址转换为 clear ip nat