[建筑]网络地址转换NAT.doc

9.4 网络地址转换（NAT） 9.4.1 NAT概述 NAT(Network Address Translation)即网络地址转换。如果想连接internet,但不想让网络内的所有计算机都拥有一个真正的internetIP地址。通过NAT功能，可以将申请到的合法的internetIP地址统一管理起来，当内部的计算机需要上internet时，动态或静态地将假的IP转换为合法的IP地址。 目标： 在可以在多重的internet子网中使用相同的IP，用来减少注册IP地址的使用。涉及到inside端口和outside端口。 功能： 可采用内部IP地址的主机访问internet(共享上网)。 可以采用全局地址访问另一网络。 保护内部网络安全。 9.4.2 NAT的种类： 静态NAT 实现内部IP地址与内部全局地址的一对一映射。通常，静态NAT用于固定全局地址主机的地址转换，如Web Server、FTP Server等。 动态NAT 也是实现内部本地地址与内部全局地址进行一对一转换。它与静态NAT不同的是从内部全局地址中选择一个未使用的地址对本地地址进行转换，某个内部本地地址并不对应一个固定的内部全局地址。 复用NAT 是把多个内部IP地址与某个全局IP地址的不同端口建立起映射，用端口来区别不同的内部IP。通过这种方式，可以实现多个内部本地地址同时与一个内部全局地址进行转换。 路由器NAT的实现 一、NAT的几个相关概念： Inside Local IP address(内部本地地址):内部网络的主机地址，局部唯一，但为私有地址。 Inside Global IP address(内部全局地址): 代表一个或更多内部IP到外部世界的合法IP。 Outside Global IP address(外部全局地址): 外部网络主机的合法IP。 Outside Local IP address(外部本地地址): 外部网络的主机地址，看起来是内部网络的，私有地址。 网络拓扑： 二、静态NAT 在全局配置模式下，建立内部地址和内部全局地址的对应关系。 ip nat inside source static 内部本地地址 内部全局地址 如：Ip nat inside source static 指定与内部网络连接的端口。 ip nat inside 进入到某个端口模式后，执行上述命令，即可将该端口定义为与内部网络连接的端口。 如：interface fastethernet 0/0 ip nat inside 指定与外部网络连接的端口。 ip nat outside 进入到某个端口模式后，执行上述命令，即可将该端口定义为与外部网络连接的端口。 如：interface serial 0/0 ip nat outside 三、动态NAT 1.在全局配置模式下，定义内部全局地址池（申请到的合法IP地址范围）。 ip nat pool 地址池名 起始IP地址 终止IP地址 netmask 子网掩码 如：ip nat pool ssss netmask 2.在全局配置模式下，定义access-list访问控制列表(允许访问的内部ip地址(内部本地地址)列表)。 access-list list-number permit 源地址 通配符掩码 (list-number为1~99的任意数) access-list 1 permit 55 3.在全局配置模式下，定义access-list与全局地址池的转换对应关系。 Ip nat inside source list list-number pool 内部全局地址池名 如：Ip nat inside source list 12 pool ssss 指定与内部网络连接的端口。 略。与第二相同。 指定与外部网络连接的端口。 略。与第二相同。 四、复用NAT 1.在全局配置模式下，定义全局地址池（申请到的）。 同上。 2.在全局配置模式下，定义access-list(允许访问的内部ip地址列表)。 同上。 3.在全局配置模式下，定义access-list与全局地址池的转换对应关系。 Ip nat inside source list list-number pool 内部全局地址池名 overload list-number:内部地址列表号； overload：允许多个内部地址使用相同的全局地址。 4.指定与内部网络连接的端口。 略。 5.指定与外部网络连接的端口。 略。 五、NAT调试 在特权模式下执行。 show ip nat statistcs 显示nat的信息。 show ip nat translations 显示ip转换。 实验十一 路由器NAT配置 一、实验目的