思科配置静态NAT、配置动态NAT和配置NAPT课件

课题九配置静态NAT、配置动态

NAT和配置NAPT本课题主要内容NAT（NetworkAddressTranslation，网络地址转换）将一个IP地址域（如Intranet）转换到另一个IP地址域（如Internet）的技术。NAT术语，NAT的工作原理，NAT的类型9.1NAT概述

NAT（NetworkAddressTranslation，网络地址转换）是一种将一个IP地址域（如Intranet）转换到另一个IP地址域（如Internet）的技术。NAT技术的出现是为了解决IP地址日益短缺的问题，将多个内部地址映射为少数几个甚至一个公网地址,这样就可以实现内部网络中的主机（通常使用私有地址）透明地访问外部网络中的资源；同时，外部网络中的主机也可以有选择地访问内部网络。而且，NAT能使得内外网络隔离，提供一定的网络安全保障。9.1.2．NAT的工作原理

图9-1-1NAT工作原理PC1:192.168.1.100外部网络InternetNAT路由器HOST:210.32.166.58SA:202.10.65.3DA:210.32.166.58SA:210.32.166.58DA:202.10.65.3SA:192.168.1.100DA:210.32.166.58SA:202.10.65.3DA:192.168.1.100内部本地地址:192.168.1.100内部全局地址:202.10.65.3内部网络一、NAT的原理图9.1.2．NAT的工作原理如图9-1-2所示，在局域网内部网络中使用内部地址，当内部节点PC1要访问外部的HOST主机时，PC1发送源地址为192.168.1.100,目的地址是210.32.166.58的IP报文,该IP报文将被路由到边界路由器。路由器收到这个IP报文后，将源地址改变为公有地址202.10.65.3，并记录私有地址192.168.1.100与公有地址202.10.65.3间的地址映射关系存入地址映射表，然后发出修改后的IP报文；当HOST主机收到报文后，回复报文到达路由器后，路由表再根据地址映射表中的地址的对应关系，把目的地址转换为PC1的地址，这样就完成了私有地址主机与Internet主机的通信。

9.1.3NAT的类型

(1)静态NAT

在NAT表中为每一个需要转换的内部地址创建了固定的转换条目，映射了唯一的全局地址。内部地址与全局地址一一对应。

图9-1-2静态NAT工作示意图9.1.3NAT的类型(3)地址端口转换是动态转换的一种变形

可以使多个内部节点共享一个全局IP地址，而使用源和目的地址的TCP/UDP的端口号来区分NAT表中的转换条目及内部地址，这样，就更节省了地址空间

。图9-1-3NAPT工作示意图9.2NAT配置

9.2.1静态NAT配置

1、静态NAT配置命令及步骤

表9-2-1静态NAT配置命令及步骤2下面以一个实例来说明静态NAT

的配置过程

如图9-2-1所示，内部网络中有两台PC机，它们使用的是内部本地地址。要求正确配置静态地址转换，使这两台PC能访问Internet。其中PC1和PC2使用的内部全局地址分别为210.29.193.2和210.29.193.3，路由器内部网络接口f0/0的IP地址为10.1.1.1,外部网络接口s0/0的IP地址为210.29.193.1。图9-2-1NAT配置拓扑图2下面以一个实例来说明静态NAT

的配置过程路由器配置如下：Router(config)#ipnatinsidesourcestatic10.1.1.2210.29.193.2Router(config)#ipnatinsidesourcestatic10.1.1.3210.29.193.3Router(config)#interfacef0/0Router(config-if)#ipaddress10.1.1.1255.255.255.0Router(config-if)#ipnatinsideRouter(config-if)#noshutdownRouter(config)#interfaces0/0/0Router(config-if)#ipaddress210.29.193.1255.255.255.0Router(config-if)#ipnatoutsideRouter(config-if)#noshutdown2下面以一个实例来说明动态NAT

的配置过程以图9-2-1为例，假设局域网使用的内部本地地址为10.1.1.0/24，申请到的内部全局地址范围为210.29.193.1~210.29.193.16，要求在边界路由器上正确配置动态NAT转换，以实现局域网与Internet的通信。

2下面以一个实例来说明动态NAT

的配置过程路由器配置如下（一）：Router(config)#ipnatinsidesourcestatic10.1.1.2210.29.193.2Router(config)#ipnatinsidesourcestatic10.1.1.3210.29.193.3Router(config)#interfacef0/0Router(config-if)#ipaddress10.1.1.1255.255.255.0Router(config-if)#ipnatinsideRouter(config-if)#noshutdownRouter(config)#interfaces0/0/0Router(config-if)#ipaddress210.29.193.1255.255.255.0Router(config-if)#ipnatoutsideRouter(config-if)#noshutdown2下面以一个实例来说明动态NAT

的配置过程路由器配置如下（二）：Router(config-if)#ipaddress10.1.1.1255.255.255.0Router(config-if)#ipnatinsideRouter(config-if)#noshutdownRouter(config)#interfaces0/0/0Router(config-if)#ipaddress210.29.193.1255.255.255.0Router(config-if)#ipnatoutsideRouter(config-if)#noshutdown下面以一个实例来说明地址端口转

换(NAPT)的配置过程仍以图9-2-1为例，局域网使用的内部本地地址为10.1.1.0/24，现只有一个内部全局地址210.29.193.1，这个地址配置在路由器的s0/0接口上，要求在边界路由器上正确配置动态NAT转换，以实现局域网与Internet的通信。

下面以一个实例来说明地址端口转

换(NAPT)的配置过程路由器配置如下：Router(config)#ipnatpoolnaptout210.29.193.1210.29.193.1netmask255.255.255.0!定义内部全局地址池“out”,地址池中地址为210.29.193.1Router(config)#access-list1permit10.1.1.00.0.0.255!用标准ACL定义允许地址转换的内部本地地址范围为10.1.1.0/24Router(config)#ipnatinsidesourcelist1poolnaptoutoverload!配置内部本地地址与内部全局地址间的转换关系,带有overload参数Router(config)#interfacef0/0Router(config-if)#ipaddress10.1.1.1255.255.255.0Router(config-if)#ipnatinsideRouter(config-if)#noshutdownRouter(config)#interfaces0/0/0Router(config-if)#ipaddress210.29.193.1255.255.255.0Router(config-if)#ipnatoutsideRouter(config-if)#noshutdown9.3实训1

配置静态NAT

一、实训目的掌握静态NAT的特征、配置及调试方法二、实训任务正确配置静态地址转换，使这两台PC能访问Internet

三、实训环境Cisco路由器、安装网卡的PC及若干、有互联网支持

五、实训步骤

步骤1：配置路由器RA提供静态NAT服务。RA(config)#ipnatinsidesourcestatic192.168.1.1210.29.193.3RA(config)#ipnatinsidesourcestatic192.168.1.2210.29.193.4

!配置静态NAT映射RA(config)#interfaceg0/0RA(config-if)#ipnatinside

!把RA的g0/0接口配置成NAT的内部接口RA(config-if)#exitRA(config)#interfaces0/0/0RA(config-if)#ipnatoutside

五、实训步骤!把RA的s0/0/0接口配置成NAT的外部接口RA(config-if)#exitRA(config)#routerripRA(config-router)#version2RA(config-router)#noauto-summary

!关闭路由信息自动汇总功能RA(config-router)#network210.29.193.0四、实训环境s0/0/0210.29.193.0/24PC1:192.168.1.1PC2:192.168.1.2192.168.1.0/24.254g0/0s0/0/0.1.2RARBLo0:210.29.194.1/24图9-4-1静态NAT配置五、实训步骤

步骤1：配置路由器RA提供动态NAT服务。

RA(config)#ipnatpoolNAT210.29.193.3210.29.193.254netmask255.255.255.0!配置动态NAT转换的地址池，包括IP地址210.29.193.3-210.29.193.254RA(config)#ipnatinsidesourcelist1poolNAT

!配置动态NAT映射

RA(config)#access-list1permit192.168.1.00.0.0.255

!允许动态NAT转换的内部地址范围RA(config)#interfaceg0/0RA(config-if)#ipnatinside

!把RA的g0接口配置成NAT的内部接口RA(config-if)#exitRA(config)#interfaces0/0/0RA(config-if)#ipnatoutside

!把RA的s0/0/0接口配置成NAT的外部接口RA(config-if)#exitRA(config)#routerripRA(config-router)#version2RA(config-router)#noauto-summary

!关闭路由信息自动汇总功能RA(config-router)#network210.29.193.0五、实训步骤步骤2：配置路由器RB。RB(config)#routerripRB(config-router)#version2RB(config-router)#noauto-summaryRB(config-router)#network210.29.193.0RB(config-router)#network210.29.194.0步骤3：调试先在PC1、PC2上ping210.29.194.1（RB上的环回地址）和telnet210.29.194.1,再执行。RA#debugipnat!查看地址翻译过程RA#showipnattranslations!查看NAT表RA#showipnatstatistics!查看NAT转换的统计信息9.4实训2

配置动态NAT

一、实训目的掌握NAPT的特征、配置及调试方法。二、实训任务正确配置NAPT地址转换，使两台PC能访问Internet

三、实训环境Cisco路由器、安装网卡的PC及若干、有互联网支持

四、实训环境s0/0/0210.29.193.0/24PC1:192.168.1.1PC2:192.168.1.2192.168.1.0/24.254g0/0s0/0/0.1.2RARBLo0:210.29.194.1/24图9-4-2静态NAT配置五、实训步骤

步骤1：配置路由器RA提供NAPT服务。RA(config)#ipnatpoolNAT210.29.193.3210.29.193.254netmask255.255.255.0!配置动态NAT转换的地址池，包括IP地址210.29.193.3-210.29.193.254RA(config)#ipnatinsidesourcelist1poolNAToverload

!配置NAPTRA(config)#access-list1permit192.168.1.00.0.0.255!允许动态NAT转换的内部地址范围RA(config)#interfaceg0/0RA(config-if)#ipnatinside!把RA的g0/0接口配置成NAT的内部接口