TCPIP路由交换技术（第二版）课件 项目8.7 掌握网络地址转换技术及配置

项目8部署和实施企业网与Internet互联授课教师：管秀君吉林交通职业技术学院学习任务8.7掌握网络地址转换技术及配置8.7.1网络地址转换（NAT）技术问题提出随着Internet技术的飞速发展，起来越多的用户加入到Internet，无论在办公室、宾馆、学校、公司及家庭，人们都需要接入Internet进行办公、娱乐等，互联网中任何两台主机间通信需要全球唯一的IP地址。目前，Internet的一个重要问题是IP地址需求急剧膨胀，IP地址空间已近衰竭，而NAT的使用恰好缓解了这个问题。解决方法还可以通过其它的一些技术来节省IP地址的使用，如：1.可变长子网掩码（VLSM）2.无类域间路由（CIDR）3.网络地址转换（NAT）4.IPv6：为解决IP地址耗尽问题，IPv6应该是最终的解决手段，但是由于现有网络都使用IPv4，绝大多数都不支持IPv6，要升级设备需要大量的资金，是一个长期且浩大的工程。什么是NATNAT（NetworkAddressTranslation）就是将网络地址从一个地址空间转换到另外一个地址空间的行为。它使得一个使用私有地址的网络中的主机以合法地址出现在Internet上。Internet/24/24为什么使用NAT？

内网对Internet的访问网络安全保护技术节省IP地址在内部局域网提供外部网络服务为什么需要NAT？IP地址危机

IPv4地址空间不足在为企业内部网络、测试实验室或家庭进行网络编址时，可以使用私有地址，而不必每台设备都花钱从ISP或注册中心哪里获得全球唯一的地址。但是这些地址在Internet上是不可被路由的。私有地址和公有地址因特网地址分配组织规定以下的三个网络地址保留用做私有地址：

-55-55-55使用NAT的优缺点优点缺点节省合法地址引入延迟减少地址冲突的机会丧失端到端的IP跟踪能力灵活连接Internet一些特定应用可能无法正常工作，如IPSEC，GRE，L2TP等维持局域网的私密性，因为内部IP地址是不公开的8.7.2

NAT的工作原理及方式NAT工作原理通常在以下几种情况下会用到NAT转换。（1）将私有的网络接入Internet，而又没有足够的注册IP地址；（2）两个要求互联的网络的地址空间重叠；（3）改变了服务提供商，需要对网络重新编址。NAT基本原理NAT:NetworkAddressTranslation网络地址转换NAT是一种地址映射技术，将主机的私有IP地址映射为一个外部唯一可识别的公用IP地址

Router(NAT)LAN(inside)WAN(outside)1源=目的=234源=目的=源=目的=源=目的=HOSTSERVER上行流下行流

内网外网私有IP地址公用IP地址NAT的类型NAT（NetworkAddressTranslation）转换后，一个内部本地IP地址对应一个全局IP地址。

NAT又分为：静态NAT和动态NAT。NAPT（NetworkAddressPortTranslation或NPAT）转换后，多个内部本地地址对应一个全局IP地址。NAT工作方式——静态转换NAT工作方式——动态转换访问过程NAT工作方式——动态转换响应过程NAPT与NAT的区别是什么NAT（NetworkAddressTranslation）转换后，一个内部本地IP地址对应一个全局IP地址。不能同时满足所有的内部网络主机与外部网络通信的需要。NAPT（NetworkAddressPortTranslation或NPAT）转换后，多个内部本地地址对应一个全局IP地址。NAPTNAPT只需要一个内部全局地址就可以映射多个内部本地地址，通过端口号来区分不同主机。

NAPT分为静态NAPT及动态NAPT。常见的端口号FTP TCP 20，21Telnet TCP 23HTTP TCP 80DNS TCP,UDP53TFTP UDP 69Well-known端口：0-1023注册端口：1024-49151动态或私有端口：49152-65535NAPT工作方式——静态转换访问过程NAPT工作方式——静态转换响应过程NAPT工作方式——动态转换访问过程NAPT工作方式——动态转换响应过程8.7.3

NAT的配置静态NAT静态NAT:

建立内部本地地址和内部全局地址的一对一的永久映射.永久的一对一IP地址映射关系需要向外部网络提供信息服务的主机的IP地址必采用静态NAT.静态NAT配置步骤

静态NAT配置基本步骤：①定义NAT翻译规则②定义NAT转换的内部端口③定义NAT转换的外部端口静态NAT配置命令

1.定义内部源地址与全局地址的静态转换关系

Router(config)#ipnatinsidesourcestaticlocal-addressglobal-address说明：local-address:内部私有地址;global-address:内部全局地址2.定义连接内部网络的接口Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside3.定义连接外部网络的接口Router(config)#interfaceinterface-typeinterface-number

Router(config-if)#ipnatoutside静态NAT的配置实例静态NAT的配置实例——R1配置Router#configterminal

//进入全局配置模式Router(config)#hostnameR1

//命名路由器为R1R1(config)#interfaceFastEthernet0/1

//进入路由器F0/1口R1(config-if)#ipaddress

//配置IP地址R1(config-if)#ipnatinside

//连接内部网络R1(config-if)#noshutdown

//激活端口R1(config-if)#exit

//退出当前模式R1(config)#interfaceSerial0/1/0

//进入路由器S0/1/0口R1(config-if)#ipaddress

//配置IP地址R1(config-if)#ipnatoutside

//连接外部网络R1(config-if)#noshutdown

//激活端口R1(config-if)#exit

//退出当前模式R1(config)#ipnatinsidesourcestatic

192.192.192.3

//内部地址静态转换成外网地址R1(config)#ipnatinsidesourcestatic

192.192.192.4

//内部地址静态转换成外网地址R1(config)#ipnatinsidesourcestatic

192.192.192.5

//内部地址静态转换成外网地址R1(config)#iproute

//配置默认路由静态NAT的配置实例——R2配置Router#configterminal//进入全局配置模式Router(config)#hostnameR2//命名路由器为R2R2(config)#interfaceFastEthernet0/1//进入路由器F0/1口R2(config-if)#ipaddress//配置IP地址R2(config-if)#noshutdown//激活端口R2(config-if)#exit//退出当前模式R2(config)#interfaceSerial0/1/0//进入路由器S0/1/0口R2(config-if)#ipaddress//配置IP地址R2(config-if)#clockrate64000//配置时钟频率R2(config-if)#noshutdown//激活端口R2(config-if)#exit//退出当前模式静态NAT的配置实例——结果验证R1#showipnattranslations

ProInsideglobalInsidelocalOutsidelocalOutsideglobal---------------------------动态NAT动态NAT:建立内部本地地址和内部全局地址池的临时映射.临时的一对一IP地址映射关系适用于只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数动态ＮＡＴ配置配置步骤（1）定义一个用于动态NAT转换的内部全局地址池指定内部网络接口（2）定义标准ACL，匹配该ACL的内部本地地址可以动态转换（3）配置内部本地地址和内部全局地址间的转换关系（4）定义接口连接内部网络（5）定义接口连接外部网络动态NAT配置命令（1）1.定义一个可以根据需要进行分配的全局IP地址池Router(config)#ipnatpoolpool-namestart-addressend-address{netmask

mask}说明：

address-pool：地址池的名称（可任意设定）

start-address：在地址池中定义地址范围的起始IP地址

end-address：在地址池中定义地址范围的结束IP地址

netmaskmask：定义网络掩码

例：定义一个NAT地址池。Router(config)#ipnatpoolmynatpool00netmask2.定义一个标准访问列表，只有匹配该列表的地址才可以进行动态地址转换Router(config)#access-list<1-99>

permitIP地址反掩码3.定义内部源地址动态转换关系：将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换Router(config)#ipnatinsidesourcelist标准ACL号

pool

地址池的名称例如：将访问控制列表用于NAT地址池。Router(config)#access-list

20

permit

55Router(config)#ipnatinsidesourcelist20

pool

mynatpool动态NAT配置命令（2）4.定义该接口连接内部网络Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside5.定义接口连接外部网络Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatoutside例如：Router(config)#interfacef0/0Router(config-if)#ipnat

insideRouter(config)#interfaces0/1/0Router(config-if)#ipnatoutside动态NAT配置命令（3）动态NAT配置实例仍然以图8-30为例，与静态NAT地址转换示例不同的是，当私网用户不需要获取固定的公网地址时，就可以进行动态NAT配置。动态NAT实例配置过程路由器R1、R2基本配置及解释请参照静态NAT配置，此处不再重述。R1(config)#access-list1permit

55

//创建ACL允许网段NAT转换R1(config)#ipnatpooltom

192.192.192.3

netmask

//配置名为tom的地址池，将合法外部地址段192.192.192.3至192.192.192.5

加入地址池。R1(config)#ipnatinsidesourcelist1pool

tom//将内网的符合ACL1的数据包的源地址转换为地址池tom中的地址。

动态NAT实例配置验证先用内网用户PC0测试与外网用户PC3的通信状况，在查看路由器R1的动态NAT转换列表内容如下所示。R1#shoipnattranslationsPro

Insideglobal

Insidelocal

Outsidelocal

Outsideglobalicmp:1:1:1:1icmp:2:2:2:2icmp:3:3:3:3icmp:4:4:4:48.7.4

NAPT的配置静态

NAPT与

动态NAPT静态NAPT适用于需要向外网络提供信息服务的主机永久的一对一“IP地址+端口”映射关系动态NAPT只访问外网服务，不提供信息服务的主机临时的一对一“IP地址＋端口”映射关系静态NAPT配置（1）定义静态转换关系Router(config)#ipnatinsidesourcestatic

protocollocal-iplocal-port

global-ipglobal-port其中：static为静态转换protocol

为TCP或UDP；local-ip

为本地地址；global-ip

为全局地址；local-port

为本地地址的服务端口号；global-port

为全局地址的服务端口号。静态NAPT配置（2）定义端口类型

Router(config-if)#ipnat{inside|outside}其中：inside表示连接内部网络端口；outside表示连接外部网络端口。

实例－

静态NAPT配置公司Web服务器主机地址为，需要将网站私有地址映射成全局合法地址，以便网站对外发布，使外网用户可以访问。静态NAPT配置Router(config)#ipnatinsidesourcestatictcp80Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddressRouter(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfaceFastEthernet0/1Router(config-if)#ipaddressRouter(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#iproutef0/1Router#showipnattranslations实例二

动态NAPT配置你是某公司的网络管理员，公司只向ISP申请了一个合法的IP地址。假设你是该公司的网络管理员，现要你在路由器上做适当配置，使内网的计算机都能访问互联网。NATR1R2F0S0S0/24/24实例二

动态NAPT配置

例如：50个内部节点可以用同一个全球地址5来浏览同一个网站（比如服务器63的80端口），但是每个节点都使用不同的源端口号。当Web服务器应答5时，NAT设备用应答数据包中的目的端口来决定它们是去往哪个内部用户，并将该内部主机的IP地址放到包头中。

配置动态NAPT1.定义全局IP地址池，对于NAPT，一般就定义一个IP地址Router(config)#ipnatpoolpool－namestart-addressend-address{netmask

mask|prefix-length

prefix-length}2.定义编号标准访问列表，只有匹配该列表的地址才转换Routert(config)#access-listaccess-list-numberpermit

ip-addresswildcard

3.

定义内部源地址动态转换关系Router(config)#ipnatinsidesourcelist

access-list-number

pool

pool-nameoverload4.定义该接口连接内部网络Router(config)#interfaceinterface-typeinterface-number

Routert(config-if)#ipnatinside5.定义接口连接外部网络Routert(config)#interfaceinterfa