實訓四、路由器網絡地址轉換的配置

實訓四、路由器網絡地址轉換的配置

重點內容：

NAT的概念及作用；Cisco路由器NAT的配置方法。一、NAT的基本概念

NAT（NetworkAddressTranslation）全稱網絡地址轉換，簡單的說就是指將網絡地址從一個地址空間轉換為另一個地址空間的方法。

NAT將網絡劃分為內部網絡（inside）和外部網絡（outside）兩部分。通常在一個內部網絡中，計算機之間可以通過內部的私有IP地址通信，而當內部的計算機要與外部internet網絡進行通信時，具有NAT功能的設備（如路由器、防火墻）就可以負責將其內部的IP地址轉換為合法的公網IP地址，然后進行通信。當然這個合法的公網IP地址必須要向互聯(lián)網服務提供商（ISP）申請后才能得到。

NAT的作用主要有兩方面：一方面從安全角度考慮，可以不讓外部網絡用戶了解自已的網絡結構和內部網絡地址；另一方面從IP地址資源角度考慮，當內部用戶很多時，就可以通過NAT實現(xiàn)多臺計算機共用一個合法IP地址訪問Internet，以實現(xiàn)節(jié)省合法IP地址使用量。

NAT的配置可以分為靜態(tài)地址轉換、動態(tài)地址轉換、復用動態(tài)地址轉換（端口復用技術）三種。

靜態(tài)地址轉換是指將內部私有IP地址（或稱本地IP地址）與外部公網IP地址（合法IP地址）進行一對一的轉換，且需要指定和具體的某一個合法地址進行轉換。當內部網絡中有使用內網私有IP地址搭建的Web服務器、E-mail服務器、FTP服務器，如果這些服務器需要為外部用戶提供服務時，則這些服務器的IP地址必須通過靜態(tài)地址轉換成公網IP地址，以使外部用戶可以訪問這些內網服務器。動態(tài)地址轉換也是將內網私有IP地址與合法IP地址進行一對一的轉換，但是動態(tài)地址轉換是從合法地址池中動態(tài)地選擇一個未使用的地址對內網私有IP地址進行轉換。該方法也可以節(jié)省一定的合法IP地址，所以該方法經常被使用。復用動態(tài)地址轉換是一種特殊的動態(tài)地址轉換，因為它可以允許多個內網私有IP地址共用一個合法地址，這樣只要申請少量的合法IP地址卻可以同時讓多于合法IP地址數(shù)的用戶上網，這種動態(tài)地址轉換也稱作端口復用技術。由于現(xiàn)在可分配的互聯(lián)網IP地址（合法地址）越來越少，所以目前該方法被廣泛的采用。二、NAT的配置1、靜態(tài)NAT的配置靜態(tài)NAT可將內部地址和外部地址進行一對一的轉換。這種方法要求申請到的合法（公網）IP地址要足夠多，才可以與內部IP地址一一對應，該方法不能節(jié)省合法IP地址的使用量。如果內網有FTP服務器或WEB服務器等可以為外部用戶提供的服務，這些服務器的IP地址必須采用靜態(tài)地址轉換，以便外部用戶可以使用這些服務。其配置命令介紹如下：1）、在內部地址和合法地址之間建立靜態(tài)轉換Router(config)#ipnatinsidesourcestatic內部地址合法地址2）、指定連接內部網絡的內部端口Router(config-if)#ipnatinside3）、指定連接外部網絡的外部端口Router(config-if)#Ipnatoutside圖17-2

根據圖17-2網絡拓撲圖，要求在R1路由器中通過配置靜態(tài)NAT把內網中的私有IP地址翻譯成合法IP地址去訪問外網。其配置方法如下：R1(config)#interfacee0//進入路由器以太網e0接口R1(config-if)#ipnatinside//將該接口指定為內部端口R1(config-if)#exitR1(config)#interfaces0//進入路由器s0串口R1(config-if)#ipnatoutside//將該接口指定為外部端口R1(config-if)#exitR1(config)#ipnatinsidesourcestatic2、動態(tài)NAT的配置

動態(tài)NAT是將合法IP地址統(tǒng)一的組織起來，當有內部主機需要訪問外網時，就分配一個合法IP地址與內部IP地址進行轉換，當內部主機訪問完成后就歸還該合法IP地址。這種方法允許合法IP地址數(shù)少于主機數(shù)。其配置命令介紹如下：1）、定義合法地址池

Router(config)#Ipnatpool地址池名稱起始IP地址終止IP地址netmask子網掩碼2）、定義一個標準的訪問列表規(guī)則，指出允許哪些內部地址可以進行動態(tài)地址轉換

Router(config)#Access-list訪問列表號permit源地址通配符掩碼提示：訪問列表號取值范圍為1-99；通配符掩碼又稱反掩碼，作用是與源或目標地址一起來分辨匹配的地址范圍，使用55減去子網掩碼可得到其值。3）、將由訪問列表指定的內部地址和指定的合法地址池進行動態(tài)地址轉換

Router(config)#Ipnatinsidesourcelist訪問列表號pool地址池名稱4）、指定連接內部網絡的內部端口Router(config-if)#Ipnatinside5）、指定連接外部網絡的外部端口Router(config-if)#Ipnatoutside

根據圖17-3網絡拓撲圖所示，要求在R1路由器中通過配置NAT地址池，使它可以將內網網絡地址為中任意一個私有IP地址轉換成NAT地址池中的合法IP地址，其配置命令如下所示：圖17-3R1(config)#interfacee0R1(config-if)#ipnatinsideR1(config-if)#exitR1(config)#interfaces0R1(config-if)#ipnatoutsideR1(config)#access-list10permit55//本條命令為定義一個訪問列表，列表號取10，permit表示允許、55為通配符掩碼；列表規(guī)則是指允許網絡號為192.168.10、主機號可以為任意值的數(shù)據包通過。這個列表規(guī)則用于匹配內網的IP地址。R1(config)#ipnatpoolpoola5netmask//本條命令為定義一個NAT地址池，地址池命名為poola，地址范圍為至5，子網掩碼為。R1(config)#ipnatinsidesourcelist10poolpoola//本條命令為啟用NAT轉換，作用是對訪問列表10中所設置的本地IP地址通過應用名稱為poola的地址池進行動態(tài)地址轉換。3、復用動態(tài)NAT或端口地址轉換（PAT）

復用動態(tài)地址轉換又稱端口復用技術，它可將多個內部地址映射為一個合法地址，用不同的端口號區(qū)分各個內部地址。這種方法只需要一個合法IP地址就可以讓多個內部網用戶同時上網，但該方法可能會導致信道的一定擁塞。其配置命令與動態(tài)地址轉換配置命令基本相同，現(xiàn)介紹如下：1）、定義合法地址池

Router(config)#Ipnatpool地址池名稱起始IP地址終止IP地址netmask子網掩碼2）、定義一個標準的訪問列表規(guī)則，指出允許哪些內部地址可以進行動態(tài)地址轉換

Router(config)#Access-list訪問列表號permit源地址通配符掩碼 提示：訪問列表號可以隨意取，取值范圍從1-99；通配符掩碼或稱反掩碼，作用是與源或目標地址一起來分辨匹配的地址范圍，用55減去子網掩碼可得到其值。3）、將由訪問列表指定的內部地址和指定的合法地址池建立復用動態(tài)地址轉換

Router(config)#Ipnatinsidesourcelist訪問列表標號pool地址池名稱overload

提示：與動態(tài)地址轉換相比，只是在命令后多加一個overload參數(shù)4）、指定連接內部網絡的內部端口

Router(config-if)#Ipnatinside5）、指定連接外部網絡的外部端口

Router(config-if)#Ipnatoutside圖17-4

外網

內網R1S0E0NAPT/24S0端口IP地址:

根據圖17-4網絡拓撲圖所示，要求在R1路由器中通過配置端口地址轉換，使它可以將內網網絡地址為中任意一個私有IP地址轉換成路由器S0端口上的合法IP地址，其配置方法介紹如下：R1(config)#interfacee0R1(config-if)#ipnatinsideR1(config-if)#exitR1(config)#interfaces0R1(config-if)#ipnatoutsideR1(config)#access-list20permit55R1(config)#ipnatpoolpoolbnetmask