網(wǎng)絡(luò)通信技術(shù)應(yīng)用 課件 2.10 網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換原理思科（銳捷）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)華為網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)作業(yè)十實(shí)驗(yàn)9網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)IP地址，可以分為在英特網(wǎng)（Internet）上使用的公有IP地址和在自治系統(tǒng)AS內(nèi)使用的私有IP地址兩大類。因特網(wǎng)不轉(zhuǎn)發(fā)私有IP地址的數(shù)據(jù)包，可是自治系統(tǒng)AS內(nèi)卻有大量主機(jī)使用私有IP地址（私有IP地址的主機(jī)占大多數(shù)），這些私有IP地址的主機(jī)，嚴(yán)格來(lái)說(shuō)是不能訪問(wèn)因特網(wǎng)的。如果要讓AS內(nèi)部具有私有IP地址的主機(jī)要訪問(wèn)因特網(wǎng)上的主機(jī)，就必須要進(jìn)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NetworkAddressTranslation,NAT)——私有/公有IP地址轉(zhuǎn)換。一、網(wǎng)絡(luò)地址轉(zhuǎn)換原理1.私有IP地址與公有IP地址私有IP地址也叫局部IP地址（或內(nèi)部IP地址、專用IP地址），公有IP地址也叫全局IP地址（或全球IP地址）。私有IP地址的產(chǎn)生，是因?yàn)镮Pv4地址已經(jīng)分配完畢，可是聯(lián)網(wǎng)的主機(jī)數(shù)卻在不斷增加，每一臺(tái)聯(lián)網(wǎng)的主機(jī)或網(wǎng)絡(luò)層設(shè)備，至少需要一個(gè)IP地址。但是IPv4地址不夠用了。因特網(wǎng)協(xié)會(huì)規(guī)定A、B、C三類地址中各留出一部分作為私有IP地址使用，所有的私有IP地址在每一個(gè)自治系統(tǒng)內(nèi)可以自由使用，但在因特網(wǎng)上不承認(rèn)、不認(rèn)識(shí)私有IP地址。A類私有IP地址：~55（/8,或10/8）

B類私有IP地址：

~55（/12,或172.16/12）

C類私有IP地址：~55

（/16,或192.168/16）一、網(wǎng)絡(luò)地址轉(zhuǎn)換原理A、B、C三類IPv4地址中，除了私有IP地址和特殊網(wǎng)絡(luò)段/8以外，其余都是公有IP地址。因特網(wǎng)只認(rèn)識(shí)公有IP地址（不認(rèn)識(shí)私有IP地址），一般情況下私有IP地址的主機(jī)不能與因特網(wǎng)上的主機(jī)通信，只有將私有IP地址轉(zhuǎn)換成公有IP地址以后，AS內(nèi)私有IP地址的主機(jī)才能訪問(wèn)因特網(wǎng)。一、網(wǎng)絡(luò)地址轉(zhuǎn)換原理2.網(wǎng)絡(luò)地址轉(zhuǎn)換定義、功能與類型（1）網(wǎng)絡(luò)地址轉(zhuǎn)換定義網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(NetworkAddressTranslation)是將私有IP地址轉(zhuǎn)化為公有IP地址的轉(zhuǎn)換技術(shù)。NAT是實(shí)現(xiàn)從一個(gè)地址空間轉(zhuǎn)換到另外一個(gè)地址空間的行為。具有NAT功能的設(shè)備：路由器(Router)、硬件防火墻(FireWall)。（2）網(wǎng)絡(luò)地址轉(zhuǎn)換的類型網(wǎng)絡(luò)地址轉(zhuǎn)換NAT可以粗略地分為靜態(tài)地址轉(zhuǎn)換SAT、動(dòng)態(tài)地址轉(zhuǎn)換NAT兩大類。動(dòng)態(tài)地址轉(zhuǎn)換NAT又分為：基本動(dòng)態(tài)地址轉(zhuǎn)換NAT、基于端口號(hào)的動(dòng)態(tài)地址轉(zhuǎn)換NAPT1和基于單個(gè)物理端口的動(dòng)態(tài)地址轉(zhuǎn)換NAPT2。一、網(wǎng)絡(luò)地址轉(zhuǎn)換原理（3）NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的功能在網(wǎng)絡(luò)自治系統(tǒng)內(nèi)部網(wǎng)絡(luò)中使用私有IP地址，而當(dāng)內(nèi)部私有IP地址的主機(jī)要與外部Internet進(jìn)行通信時(shí)，在內(nèi)網(wǎng)出口處（路由器或硬件防火墻），將內(nèi)部IP地址替換成公有IP地址，從而使得內(nèi)部主機(jī)能夠正常訪問(wèn)Internet?；蛘叻催^(guò)來(lái)，用地址轉(zhuǎn)換方法，使Internet公有IP的主機(jī)能訪問(wèn)內(nèi)部私有IP主機(jī)（服務(wù)器）。具體來(lái)說(shuō)，各種地址轉(zhuǎn)換的功能如下。靜態(tài)地址轉(zhuǎn)換SAT（StaticNetworkAddressTranslation）：固定一對(duì)一的IP地址轉(zhuǎn)換，即一個(gè)私有IP地址靜態(tài)（固定）地對(duì)應(yīng)一個(gè)公有IP地址。一、網(wǎng)絡(luò)地址轉(zhuǎn)換原理基本動(dòng)態(tài)地址轉(zhuǎn)換NAT（NetworkAddressTranslation），是變化的IP地址轉(zhuǎn)換。一般設(shè)置有一個(gè)公有IP地址池。某一時(shí)刻一個(gè)私有IP地址對(duì)應(yīng)一個(gè)公有IP地址（一對(duì)一的地址轉(zhuǎn)換），但在一段時(shí)間內(nèi)多個(gè)私有IP地址與地址池多個(gè)公有IP地址相對(duì)應(yīng)（多對(duì)多的地址轉(zhuǎn)換）。NAPT1（NetworkAddressPortsTranslation）基于端口號(hào)的動(dòng)態(tài)地址轉(zhuǎn)換，在IP地址后加一個(gè)不同的邏輯端口號(hào)，這樣一個(gè)公有IP地址可以與多個(gè)私有IP地址相對(duì)應(yīng)，實(shí)現(xiàn)某一時(shí)刻多個(gè)私有IP地址對(duì)應(yīng)一個(gè)公有IP地址。NAPT2（NetworkAddressPortsAPort-Translation）基于單一物理端口的動(dòng)態(tài)地址轉(zhuǎn)換，只路由器對(duì)外的端口有一個(gè)公有IP地址，在這個(gè)公有IP地址后添加不同的邏輯端口號(hào)，與內(nèi)網(wǎng)不同的私有IP地址相對(duì)應(yīng)，實(shí)現(xiàn)多個(gè)私有IP地址與一個(gè)公有IP地址的轉(zhuǎn)換。一、網(wǎng)絡(luò)地址轉(zhuǎn)換原理3.靜態(tài)地址轉(zhuǎn)換SAT靜態(tài)地址轉(zhuǎn)換（StaticNAT,SAT）是將內(nèi)部私有地址與公有地址進(jìn)行一對(duì)一地轉(zhuǎn)換，且需要具體指定進(jìn)行轉(zhuǎn)換的公有IP地址和私有IP地址。（固定一對(duì)一）靜態(tài)地址轉(zhuǎn)換（映射）技術(shù)，主要是為內(nèi)網(wǎng)具有私有IP的服務(wù)器，需要對(duì)外(Internet)提供服務(wù)時(shí)，使因特網(wǎng)上的主機(jī)能夠訪問(wèn)內(nèi)網(wǎng)私有IP的服務(wù)器（用映射的公有IP地址訪問(wèn)）。一、網(wǎng)絡(luò)地址轉(zhuǎn)換原理4.動(dòng)態(tài)地址轉(zhuǎn)換NAT（1）基于公有地址池的動(dòng)態(tài)地址轉(zhuǎn)換（NAT）一般動(dòng)態(tài)地址轉(zhuǎn)換NAT是指具有公有地址池的動(dòng)態(tài)地址轉(zhuǎn)換（PooledNAT），當(dāng)需要進(jìn)行地址轉(zhuǎn)換時(shí)就從公有地址池中選擇一個(gè)未使用的公有IP地址，與一個(gè)私有IP地址建立對(duì)應(yīng)關(guān)系，這樣一種動(dòng)態(tài)地址轉(zhuǎn)換（瞬時(shí)一對(duì)一，動(dòng)態(tài)多對(duì)多）。圖2-10-1所示為基于公有地址池的動(dòng)態(tài)地址轉(zhuǎn)換（NAT）全過(guò)程。一、網(wǎng)絡(luò)地址轉(zhuǎn)換原理（2）基于端口號(hào)的地址轉(zhuǎn)換(NAPT1)NAPT1是在地址轉(zhuǎn)換時(shí)，將內(nèi)部多個(gè)私有IP映射到公有IP地址池內(nèi)一個(gè)公有IP地址（地址池內(nèi)有多個(gè)公有IP地址），同時(shí)在該公有IP地址后面附帶一個(gè)由路由器選定的TCP端口號(hào)，以不同的端口號(hào)區(qū)別對(duì)應(yīng)不同的私有地址。（瞬時(shí)多對(duì)一，動(dòng)態(tài)多對(duì)多）（3）基于邊界路由器外端口的地址轉(zhuǎn)換(NAPT2)NAPT2是將內(nèi)部多個(gè)私有IP，映射到自治系統(tǒng)邊界路由器一個(gè)對(duì)外網(wǎng)的物理接口（該接口配置有公有IP地址），NAT設(shè)備在該公有IP地址后附加上一個(gè)不同的TCP端口號(hào)，分別對(duì)應(yīng)與內(nèi)網(wǎng)不同的私有IP地址。（瞬時(shí)多對(duì)一，動(dòng)態(tài)多對(duì)一）一、網(wǎng)絡(luò)地址轉(zhuǎn)換原理5.網(wǎng)絡(luò)地址轉(zhuǎn)換的優(yōu)缺點(diǎn)

（1）優(yōu)點(diǎn)：

①地址轉(zhuǎn)換可以使內(nèi)部網(wǎng)絡(luò)用戶方便地訪問(wèn)Internet，或者使Internet用戶可以訪問(wèn)內(nèi)網(wǎng)私有IP的服務(wù)器（以轉(zhuǎn)換后的公有IP地址訪問(wèn)）。

②地址轉(zhuǎn)換可以使內(nèi)部局域網(wǎng)的許多主機(jī)共用一個(gè)（或一組）公有IP地址上網(wǎng)，從而大大節(jié)約公有IP地址資源。

③地址轉(zhuǎn)換可以屏蔽內(nèi)部網(wǎng)絡(luò)的用戶，提高內(nèi)部網(wǎng)絡(luò)的安全性。

④地址轉(zhuǎn)換同樣可以讓內(nèi)網(wǎng)的服務(wù)器給外部網(wǎng)絡(luò)提供WWW、FTP、Telnet等服務(wù)。

⑤地址轉(zhuǎn)換技術(shù)可以使得內(nèi)部局域網(wǎng)的IP地址分配變得容易維護(hù)，不會(huì)因?yàn)楣械刂忿D(zhuǎn)換的缺乏而不容易合理分配內(nèi)部局域網(wǎng)IP地址，并且當(dāng)外網(wǎng)公有IP地址有變化時(shí)也不需要改動(dòng)局域網(wǎng)內(nèi)部的IP配置。一、網(wǎng)絡(luò)地址轉(zhuǎn)換原理5.網(wǎng)絡(luò)地址轉(zhuǎn)換的優(yōu)缺點(diǎn)（2）缺點(diǎn)：

①地址轉(zhuǎn)換對(duì)于報(bào)文內(nèi)容中含有有用地址信息的情況需要做特殊處理。

②地址轉(zhuǎn)換不能處理IP報(bào)頭加密的情況。

③地址轉(zhuǎn)換由于隱藏了內(nèi)部主機(jī)地址，有時(shí)候會(huì)使網(wǎng)絡(luò)調(diào)試變得復(fù)雜。

④地址轉(zhuǎn)化會(huì)增加時(shí)延，IP數(shù)據(jù)報(bào)中的源IP、目標(biāo)IP可能要變化二、思科（銳捷）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)1.思科（銳捷）靜態(tài)地址轉(zhuǎn)換SAT命令步驟

靜態(tài)地址轉(zhuǎn)換SAT是將內(nèi)部私有IP地址與公有IP地址建立一對(duì)一的映射關(guān)系。(1)定義外網(wǎng)接口

interface??/?

//進(jìn)入AS邊界路由的外接口

ipnatoutside

//指定該接口是外網(wǎng)接口(2)定義所有的內(nèi)網(wǎng)接口interface

??/?

//進(jìn)入接口??/?ipnatinside

//指定該接口是內(nèi)網(wǎng)接口exit//退出接口，回到全局模式(3)建立靜態(tài)一對(duì)一映射關(guān)系(全局模式)

ipnatinsidesourcestatic

sourceIP(私有IP)destIP(公有IP)(4)建立自治系統(tǒng)到外網(wǎng)的默認(rèn)路由(全局模式下)

iproute

nexthop

如果AS之間建立了BGP等外部動(dòng)態(tài)路由，就不需要這一條默認(rèn)路由命令。(5)查看SAT/NATshowipnatstaticshowipnattranslation(先ping通信，后查看)二、思科（銳捷）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.思科（銳捷）基本動(dòng)態(tài)地址轉(zhuǎn)換NAT

基本動(dòng)態(tài)地址轉(zhuǎn)換NAT，在內(nèi)部建立公有IP地址池，將內(nèi)部私有IP地址與公有IP地址池，建立瞬時(shí)一對(duì)一、動(dòng)態(tài)多對(duì)多的對(duì)應(yīng)關(guān)系。

（1）定義外網(wǎng)接口interface??/?//進(jìn)入AS邊界路由的外連接口??/?ipnatoutside//指定該接口是外網(wǎng)接口

（2）定義所有的內(nèi)網(wǎng)接口

interface??/?//進(jìn)入接口??/?

ipnatinside//指定該接口是內(nèi)網(wǎng)接口......//重復(fù)以上2步，定義AS邊界路由器所有內(nèi)網(wǎng)接口

exit//退出接口，回到全局模式二、思科（銳捷）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.思科（銳捷）基本動(dòng)態(tài)地址轉(zhuǎn)換NAT（3）用acl標(biāo)準(zhǔn)訪問(wèn)控制列表定義內(nèi)部私有IP地址段（全局模式）

access-listnpermitx.x.x.xw.w.w.w

//用ACL標(biāo)準(zhǔn)訪問(wèn)控制列表逐個(gè)網(wǎng)絡(luò)段的定義

access-list

npermit

....//n:1~99,x.x.x.x網(wǎng)絡(luò)地址,w.w.w.w:反掩碼（4）建立公有IP地址池（全局模式）

ipnatpool

poolnamestartIPendIPnetmaskm.m.m.m（5）建立映射關(guān)系（全局模式）

ipnatinsidesourcelist

npoolpoolname（6）建立自治系統(tǒng)到外網(wǎng)的默認(rèn)路由

iproute

nexthop

如果AS之間建立了BGP等外部動(dòng)態(tài)路由，就不需要這一條默認(rèn)路由命令。二、思科（銳捷）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)3.思科（銳捷）基于端口號(hào)動(dòng)態(tài)地址轉(zhuǎn)換NAPT1

當(dāng)IP地址池里的公有IP不夠多時(shí)，就需采用端口號(hào)的IP地址復(fù)用NAT技術(shù)——NAPT1。

與前述NAT地址轉(zhuǎn)換的第（1）~（4）、（6）條命令完全相同。

只有第5條命令不同，需要在第（5）條命令的后面添加一個(gè)關(guān)鍵字overload——基于端口的IP復(fù)用，從而建立起基于端口號(hào)的多對(duì)多地址映射關(guān)系

（5）建立映射關(guān)系（全局模式）

ipnatinsidesourcelist

npoolpoolnameoverload二、思科（銳捷）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)4.思科（銳捷）基于單一物理接口動(dòng)態(tài)地址轉(zhuǎn)換NAPT2

特殊情況，AS網(wǎng)絡(luò)系統(tǒng)只有一個(gè)可用的公有IP地址（已配置在邊界路由器對(duì)外接口）此時(shí)如何實(shí)現(xiàn)內(nèi)網(wǎng)私IP到公有IP的轉(zhuǎn)換？只能將多個(gè)內(nèi)部私有IP地址和一個(gè)對(duì)外接口的公有IP地址建立對(duì)應(yīng)關(guān)系——NAPT2。NAPT2的前3條命令以及最后1條命令與NAT地址轉(zhuǎn)換的第（1）~（3）、（6）條命令相同，由于沒(méi)有公有IP地址池,上述第（4）條命令沒(méi)有了。第（5）條命令.需要指定唯一的對(duì)外接口名，內(nèi)網(wǎng)對(duì)邊界R外端口的多對(duì)一地址映射關(guān)系：

ipnatinsidesourcelist

ninterface??/?

overload二、思科（銳捷）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)5.思科(銳捷)SAT與NAPT1綜合實(shí)例

采用2臺(tái)思科路由器、3臺(tái)主機(jī)組件如圖2-10-2所示的AS內(nèi)、外網(wǎng)絡(luò)。Router1是AS內(nèi)網(wǎng)的邊界路由器，Router2是因特網(wǎng)上的路由器，Router1和Router2各添加了一塊1FX的光纖接口板，用光纖連接起來(lái)。圖中PC1和Server0在AS內(nèi)網(wǎng)，PC2在外網(wǎng)。內(nèi)網(wǎng)除了有192.168.10/24、/24私有網(wǎng)段外，還有l(wèi)oopback1虛接口(/32)。二、思科（銳捷）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)邊界路由器Router1的對(duì)外接口配有公有IP地址/29，其所在的公有IP網(wǎng)絡(luò)段/29，可指派的公有IP地址范圍~（其中和已分別在Router2和Router1的光接口fa1/0使用）。

將所有的IP地址都按圖2-10-2所示配置好。此時(shí)，AS內(nèi)網(wǎng)所有的IP設(shè)備都能互相ping通，譬如從PC1到Server0(6)能ping通，也能訪問(wèn)其Web網(wǎng)頁(yè)（在Server0的http協(xié)議里，先做好網(wǎng)頁(yè)），但是從內(nèi)網(wǎng)的私有IP地址主機(jī)PC1到外網(wǎng)PC2（）的訪問(wèn),卻不通。如圖2-10-3(a)(b)所示。二、思科（銳捷）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)下面在Router1上進(jìn)行靜態(tài)地址SAT和基于端口號(hào)的動(dòng)態(tài)地址轉(zhuǎn)換NAPT1配置。從公有IP地址網(wǎng)段/29中拿出一個(gè)公有地址作為SAT之用，用于與服務(wù)器Server0建立映射，將公有地址-作為公有地址池，作NAPT1之用。Router1內(nèi)外網(wǎng)接口指定:intfa0/0ipnatinsideintfa0/1ipnatinsideintfa1/0ipnatoutsideintloopback1ipadd55exRouter1的SAT與NAPT1主要配置命令:ipnatinsidesourcestatic6access-list12permit55access-list12permithostipnatpoolpool02netmask48ipnatinsidesourcelist12poolpool02overloadiproute二、思科（銳捷）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)在Router1上執(zhí)行完上述命令以后，在PC1pingPC2()、從PC2pingServer0()、PC2訪問(wèn)Server0的Web網(wǎng)頁(yè)，都是成功的。見(jiàn)圖2-10-4(a)(b)(d)，從內(nèi)網(wǎng)私有IP地址的主機(jī)可以訪問(wèn)萬(wàn)網(wǎng)，外網(wǎng)的主機(jī)也可以訪問(wèn)內(nèi)網(wǎng)作了SAT的服務(wù)器。但是，外網(wǎng)的主機(jī)PC２就不能主動(dòng)訪問(wèn)內(nèi)網(wǎng)任意一個(gè)私有IP地址的主機(jī)，如圖2-10-4(c)所示。

這就達(dá)到了SAT和NAPT1應(yīng)有的目標(biāo)。二、思科（銳捷）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)經(jīng)內(nèi)外網(wǎng)主機(jī)之間這樣訪問(wèn)過(guò)后，我們來(lái)用showipnattranslation命令和showipnatstatistics查看路由器Router1上的動(dòng)態(tài)靜態(tài)地址轉(zhuǎn)換緩存信息。如圖2-10-5(a)(b)所示。二、思科（銳捷）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)6.思科(銳捷)NAPT2實(shí)例

如果ISP（InternetServiceProvider,因特網(wǎng)服務(wù)商）只為AS內(nèi)網(wǎng)提供了一個(gè)可指派的公有IP地址，即AS邊界路由器與ISP路由器之間用了一個(gè)掩碼為/30的公有IP地址子網(wǎng)（譬如：/30），該子網(wǎng)有4個(gè)IP地址，可指派的IP地址只有2個(gè)（分別為、）。

在圖2-10-2的基礎(chǔ)上作這樣的修改：路由器Router1的fa1/0接口IP地址為/30，路由器Router2的fa1/0接口IP地址為/30，如圖2-10-6所示。二、思科（銳捷）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)在這個(gè)AS內(nèi)外網(wǎng)絡(luò)圖上，要使AS內(nèi)網(wǎng)的所有私有IP地址的主機(jī)都能訪問(wèn)外網(wǎng)主機(jī)，就只能做基于單一物理端口的動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換NAPT2方法了。

圖2-10-6所示的這個(gè)網(wǎng)絡(luò)是在圖2-10-2的基礎(chǔ)上修改而成。于是先來(lái)修改已經(jīng)變化的配置參數(shù)。Router2只要修改fa1/0接口地址就可以了。Router2變更配置參數(shù)命令:intfa1/0ipadd52noshutRouter1基礎(chǔ)配置命令:intfa0/0ipnatinsideintfa0/1ipnatinsideintfa1/0ipadd52noshutipnatoutsideintloopback1ipadd55ipnatinsideexit//返回全局模式二、思科（銳捷）網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)Router1的NAPT2主要配置命令:access-list13permit55access-list13permithostipnatinsidesourcelist13intfa1/0overloadiproute在Router2、Router1執(zhí)行上述命令以后，從PC1pingPC2、從Server0pingPC2，通信都是成功的，如圖2-10-7(a)(b)所示。再查看路由器Router1上的動(dòng)態(tài)地址轉(zhuǎn)換信息，如圖2-10-7(c)所示,從這里可以看出，內(nèi)網(wǎng)的私有IP地址主機(jī)訪問(wèn)外網(wǎng)時(shí)，都是轉(zhuǎn)換為同一個(gè)公有IP地址，不同的是端口號(hào)。三、華為網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)1.華為SAT配置命令

與思科（銳捷）不一樣，華為做網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)，不需指定內(nèi)網(wǎng)接口和外網(wǎng)接口。

（1）在AS邊界路由器的對(duì)外網(wǎng)接口下配置SAT

interface

??/?

//進(jìn)入AS邊界路由器的外網(wǎng)接口

natstaticglobal

g.g.g.ginsidex.x.x.x[netmaskM]其中：g.g.g.g公有IP地址（分配給本自治系統(tǒng)的可指派公有IP地址）x.x.x.x私有IP地址M私有IP地址對(duì)應(yīng)的掩碼

（2）建立AS自治系統(tǒng)到外網(wǎng)的缺省路由

iproute-static

nexthop

如果AS之間建立了BGP等外部動(dòng)態(tài)路由，就不需要這一條缺省路由命令。三、華為網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（3）華為路由器SAT/NAT查看命令displaynatsessionall(先在路由器上輸入該命令，再ping公有IP，過(guò)一會(huì)兒就要顯示SAT/NAT信息)三、華為網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.華為基本NAT配置命令

（1）用acl標(biāo)準(zhǔn)訪問(wèn)控制列表定義內(nèi)網(wǎng)所有的私有IP地址段（系統(tǒng)視圖下）

aclnumber

n1//創(chuàng)建acln1，n1:2000-2999

rule

1permitsource

x1.x1.x1.x1w1.w1.w1.w1

//逐個(gè)定義私有網(wǎng)絡(luò)段

rule

2permitsource

x2.x2.x2.x2w2.w2.w2.w2......

其中：n1:2000~2999，x?.x?.x?.x?內(nèi)部私有IP網(wǎng)絡(luò)(子網(wǎng))地址，w?.w?.w?.w?反掩碼

（2）建立公有IP地址池（系統(tǒng)視圖下）

nataddress-group

n2s.s.s.se.e.e.e

其中：n2地址池編號(hào)，取值:0~7s.s.s.s:公有地址池最小的IP地址e.e.e.e:公有地址池最大的IP地址三、華為網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)2.華為基本NAT配置命令（3）建立內(nèi)、外地址映射

interface

??/?//進(jìn)入AS邊界路由器的外網(wǎng)接口??/?

natoutbound

n1address-groupn2no-pat其中：n1(一定義好的內(nèi)部地址aclid號(hào)):2000-2999n2(一定義好的地址池id號(hào)):0~7

no-pat:不進(jìn)行端口號(hào)映射

（4）建立AS自治系統(tǒng)到外網(wǎng)的缺省路由

iproute-static

nexthop

如果AS之間建立了BGP等外部動(dòng)態(tài)路由，就不需要這一條缺省路由命令。三、華為網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)3.華為NAPT1配置命令

第（1）（2）（4）條命令與“2.華為NAT配置命令”的第（1）（2）（4）條命令相同。

第（3）條命令略有相同，就是去掉最后的no-pat，即允許端口號(hào)映射。

interface??/?//進(jìn)入AS邊界路由器的外網(wǎng)接口??/?

natoutbound

n1address-groupn2//n1(內(nèi)部地址aclid號(hào)):2000-2999,n2(地址池id號(hào)):0~7三、華為網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)4.華為NAPT2配置命令

特殊情況下，當(dāng)AS內(nèi)網(wǎng)只有一個(gè)公有IP（已配置在邊界路由器對(duì)外接口上）時(shí)，要使內(nèi)網(wǎng)所有私有IP地址的主機(jī)都能夠訪問(wèn)外網(wǎng)，就必須使用此NAPT2配置技術(shù)。NAPT2配置技術(shù)的第（1）、（4）條命令與NAPT1相同，去掉第（2）條命令（因?yàn)闆](méi)有公有地址池了）。第（3）條配置命令（在AS邊界路由器對(duì)外接口視圖下進(jìn)行）為：

interface??/?//進(jìn)入AS邊界路由器的外網(wǎng)接口??/?

natoutbound

n1

其中：n1(已定義的內(nèi)部IP網(wǎng)段aclid號(hào)):2000-2999三、華為網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)5.華為SAT與NAPT1地址綜合實(shí)例

（1）AS內(nèi)外網(wǎng)初步構(gòu)成

用2臺(tái)華為路由器（AR1、AR2）和4臺(tái)主機(jī)組成的AS內(nèi)外網(wǎng)絡(luò)，如圖2-10-8所示。AS內(nèi)網(wǎng)由AR1、PC1、PC2和Server1組成，外網(wǎng)由AR2和PC3組成。

我們先來(lái)分析一下AS內(nèi)可使用的公有IP地址情況。AR1的g0/0/0接口與AR2的g0/0/0接口連接的子網(wǎng)是公有IP地址段/28，該公有IP地址段（子網(wǎng)）共有16個(gè)IP地址，IP地址范圍為：-5，可指派的IP地址范圍：-4（其中和已指派，該子網(wǎng)剩余可指派的公有IP地址范圍：-4）。三、華為網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)將圖2-10-8所示網(wǎng)絡(luò)中設(shè)備的IP地址，全部配置好（包括loopback1回環(huán)接口的地址）以后，檢測(cè)一下從內(nèi)網(wǎng)(PC1)到外網(wǎng)(PC3)的通信，如圖2-10-9所示。這時(shí)，內(nèi)網(wǎng)私有IP地址的主機(jī)不能與外網(wǎng)通信，外網(wǎng)的主機(jī)也不能訪問(wèn)AS內(nèi)網(wǎng)中具有私有IP地址的服務(wù)器。三、華為網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（2）AR1靜態(tài)地址轉(zhuǎn)換SAT配置AR1上的SAT配置命令:intg0/0/0

natstaticglobalinside6netmask55quitiproute-static（3）AR1基于端口號(hào)的動(dòng)態(tài)地址轉(zhuǎn)換NAPT1配置aclnumber2001rule1permitsource55rule2permitsourcerule3permitsource55quitnataddress-group14

intg0/0/0natoutbound2001address-group1

q三、華為網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)由于第（2）已配置了缺省路由命令iproute-static所以，第（3）就省略了這一條命令。

在AR1路由器上，配置好上述命令。

（4）通信檢測(cè)與地址轉(zhuǎn)換查看

我們來(lái)檢測(cè)從內(nèi)網(wǎng)私有IP地址的主機(jī)PC1到外網(wǎng)PC3()的通信，結(jié)果暢通，從AR1的地址轉(zhuǎn)換緩存中用dispnatsessionall 命令可以看到NAPT1地址轉(zhuǎn)換。如圖2-10-10所示。三、華為網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)檢測(cè)從內(nèi)網(wǎng)私有IP地址的主機(jī)PC2到外網(wǎng)PC3()的通信，結(jié)果暢通，從AR1的地址轉(zhuǎn)換緩存中用dispnatsessionall 命令可以看到NAPT1地址轉(zhuǎn)換。如圖2-10-11所示。三、華為網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)再檢測(cè)從外網(wǎng)PC3到內(nèi)網(wǎng)服務(wù)器Server1（）的通信，是暢通的；再檢測(cè)從PC3主動(dòng)ping內(nèi)網(wǎng)主機(jī)PC1（私有IP地址0）的通信，不成功。這如實(shí)體現(xiàn)了AS內(nèi)網(wǎng)主機(jī)與因特網(wǎng)主機(jī)的通信關(guān)系。如圖2-10-12所示。三、華為網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)6.華為NAPT2地址轉(zhuǎn)換實(shí)例

如果ISP給AS內(nèi)網(wǎng)的公有地址中只有一個(gè)可指派的IP地址，譬如AR1與AR2互聯(lián)的子網(wǎng)的掩碼為/30時(shí)，該子網(wǎng)2個(gè)可指派IP地址全部用了，沒(méi)有多余的公有IP地址作為地址池了。如圖2-10-13所示。該網(wǎng)絡(luò)是在圖2-10-8的基礎(chǔ)上稍加修改而成，圖2-10-13中AR1的g0/0/0接口與AR2的g0/0/0接口所在子網(wǎng)為/30。三、華為網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)先將AR1與AR2的g0/0/0接口地址修改好，按如下配置。AR2修改配置:intg0