思科路由器NAT配置详解..doc

一、NAT简介： ? NAT（Network Address Translation）网络地址转换。 最早出现在思科11.2 IOS中，定义在RFC1631和RFC3022中。 NAT最主要的作用是为了缓解IPv4地址空间的不足。 同时也带来了一些问题，如每个数据包到达路由器后都要进行包头的转换操作，所以增加了延迟；DNS区域传送，BOOTP/DHCP等协议不可穿越NAT路由器； 改动了源IP，失去了跟踪到端IP流量的能力，所以使责任不明确了。 但是利还是要大于弊的，不然也不会学习它了！必威体育精装版的CCNA640-802学习指南中依然有专门的一章来讲解NAT，它的重要性可见一斑。 二、NAT术语：比较难理解，所以这里用最明了的语言总结如下 ? 内部本地地址（ inside local address ）：局域网内部主机的地址，通常是RFC1918地址空间中的地址，称为私有地址。（待转换的地址） 内部全局地址（inside global address）：内部本地地址被NAT路由器转换后的地址，通常是一个可路由的公网地址。 外部全局地址（outside global address）：是与内部主机通信的目标主机的地址，通常是一个可路由的公网地址。 外部本地地址（outside local address）：是目标主机可路由的公网地址被转换之后的地址，通常是RFC1918地址空间中的地址。 三、NAT配置详解： ? 静态NAT：将一个私有地址和一个公网地址一对一映射的配置方法，这种方式不能节省IP，通常只为需要向外网提供服务的内网服务器配置。 如图所示： PC1地址：/24 ???????? ?PC2地址：/24 ????????? R1 E0/0地址：/24?? ????????? R1 S0/0地址：/24 ????????? R2?S0/0地址：/24 ????????? R2 E0/0地址：/24 ????????? PC3地址：/24?(模拟公网服务器) 各接口地址按上面配置好之后，在R1和R2上配置路由（注意不要为网络增加路由项，因为私有网络不可以出现在公网路由表中，不然也不叫私有地址了） 路由配置好之后在R1上可以ping通PC3，但是PC1只能ping到R1的S0/0，再向前就ping不通了。因为没有网络的路由表项，所以被丢弃了！下面在R1上配置静态NAT让PC1可以和PC3通信。 Router(config)#int fa0/0 Router(config-if)#ip nat inside //将该接口标记为内部接口 Router(config-if)#int s0 Router(config-if)#ip nat outside //将该接口标记为外部接口 Router(config-if)#exit Router(config)#ip nat inside source static //将来自标记为内部接口的地址做为转换源，将 一对一的转换成 ??????? 2、动态NAT：现在PC1就可以和PC3通信了。但是PC2不能，因为R1并没有为PC2提供地址转换。当然我们可以在R1上像给PC1做静态转换一样也给PC2做一个，可如果我们有100台机器工作量就太大了。下面在R1上再继续配置： Router(config)#access-list 10 permit 55 //定义标准访问控制列表10只允许定义的地址能够被转换 Router(config)#ip nat pool out 4 netmask //定义名称为out的地址池。 Router(config)#ip nat inside source list 10 pool out //将访问控制列表定义的地址和地址池关联这样就有前21个内部主机能够得到公网地址。 现在PC2也可以和PC3通信了。这就是动态NAT，这种方式也不能节约IP地址。有一百台主机就要100个公网IP，不常用。 ? ?????? 3、PAT（Port Address Translation）端口地址转换：用一个或多个公网IP为多个私有地址提供转换，能够节省大量IP地址，这种方式在现实网络环境中最常用。 Router(config)#ip nat inside source list 10 pool out? overload //只需要在动态NAT的基础上多出一个“overload”就可以让上面的21个公网地址反复使用。 ? 如果我们只有一个公网地址且已经分配给了R1的S0/0口，可以使用下面的命令来对这仅有的一个公网地址反复利用或叫超载。 Router(config)#ip nat inside source list 10 interface s