网络地址转换概述

网络地址转换概述 地址转换的提出背景 合法的IP地址资源日益短缺 一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换 地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用 地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务 NAT的原理 改变IP包头，使目的地址、源地址或两个地址在包头中被不同地址替换 NAT的3种实现方式 静态转换 动态转换 端口多路复用 NAT的优点 节省公有合法IP地址 处理地址交叉 增强灵活性 安全性 NAT的缺点 延迟增大 配置和维护的复杂性 不支持某些应用 NAT配置步骤 1、接口IP地址配置 2、使用访问控制列定义哪些内部主机能做NAT 3、决定采用什么公有地址，静态或地址池 4、指定地址转换映射 5、在内部和外部端口上启用NAT 静态NAT配置 第一步: 设置外部端口 Router(config)#interface serial 0/0 Router(config-if)#ip address 61.159.62.129 255.255.255.248 第二步 :设置内部端口 Router(config)#interface FastEthernet 0/0 Router(config-if)#ip address 192.168.100.1 255.255.255.0 第三步: 在内部本地和内部合法地址之间建立静态地址转换 Router(config)#ip nat inside source static 192.168.100.2 61.159.62.130 Router(config)#ip nat inside source static 192.168.100.3 61.159.62.131 …… 第四步:在内部和外部端口上启用NAT Router(config)#interface serial 0/0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 0/0 Router(config-if)#ip nat inside 动态NAT配置 第一步: 设置外部端口IP地址 Router(config)#interface serial 0/0 Router(config-if)#ip address 61.159.62.129 255.255.255.192 第二步: 设置内部端口IP地址 Router(config)#interface FastEthernet 0/0 Router(config-if)#ip address 172.168.100.1 255.255.255.0 第三步:定义内部网络中允许访问外部的访问控制列表 Router(config)#access-list 1 permit 172.168.100.0 0.0.0.255 第四步:定义合法IP地址池 Router(config)#ip nat pool test0 61.159.62.130 61.159.62.190 network 255.255.255.192 第五步:指定网络地址转换映射 Router(config)#ip nat inside source list 1 pool test0 第六步:在内部和外部端口上启用NAT Router(config)#Interface serial 0/0 Router(config-if)#Ip nat outside Router(config)#Interface fastethernet 0/0 Router(config-if)#Ip nat inside PAT配置 第一步 :设置外部端口IP地址 Router(config)#interface serial 0/0 Router(config-if)#ip address 61.159.62.129 255.255.255.192 第二步: 设置内部端口IP地址 Router(config)#interface FastEthernet 0/0 Router(config-if)#ip address 10.1.1.1 255.255.255.0 第三步 :定义内部网络中允许访问外部的访问控制列表 Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255 第四步:定义合法IP地址池 Router(config)#ip nat pool onlyone 61.159.62.130 61.159.62.130 netmask 255.255.255.248 第五步:指定网络地址转换映射 Router(config)#ip nat inside source list 1 pool onlyone overload 第六步:在内部和外部端口上启用NAT Router(config)#interface serial 0/0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 0/0 Router(config-if)#ip nat inside NAT网络地址转换的3种实现方式: 1、静态NAT(一对一) 2、动态NAT(多对多) 3、端口多路复用PAT(多对一) 1、静态配置 (1)配置外部接口IP地址 (2)配置内部接口IP 地址 (3)在内部局部和内部全局地址之间建立地址转换 router(config)#ip nat inside source static local-ip global-ip (4)在内外部接口上启用NAT router(config)#int s0/0 router(config-if)# ip nat outside router(config)#int f0/0 router(config-if)# ip nat inside 2、动态NAT配置 (1)(2)与静态配置相同 (3)定义内部网络中允许访问外部网络的访问控制列表 router(config)#access-list access-list-number permit source source-wildcard router(config)#access-list 1 permit 192.168.100.0 0.0.0.255 (4)定义合法的IP地址池 router(config)#ip nat pool pool-name start-ip end-ip {netmask netmask|prefix-length prefix-length } [type rotary] netmask:表示子网掩码 prefix-length:表示网络前缀 type rotary (可选):地址池中的地址为循环使用 router(config)#ip nat pool test 61.159.62.130 61.159.62.132 netmask 255.255.255.192 (5)实现网络地址转换 router(config)#ip nat inside source list access-list-number pool pool-name router(config)#ip nat inside source list 1 pool test (6)在内外部接口上启用NAT 3、PAT端口多路复用，就是把多个内部地址转化为一个外部地址(通过端口来区别)。 这个外部地址可以是定义的只包括一个地址的地址池;也可以是使用外部接口的ip地址。 方法一 :使用一个外部全局地址 (3)定义内部访问列表 router(config)#access-list 1 permit 10.1.1.0 0.0.0.255 (4)定义合法地址池 router(config)#ip nat pool onlyone 61.159.62.130 61.159.62.130 netmask 255.255.255.248 因为只有一个地址，所以地址池的起始地址与终止地址相同 (5)设置复用动态IP地址转换: router(config)#ip nat inside source list access-list-number pool pool-name overload router(config)#ip nat inside source list 1 pool onlyone overload 方法二:使用路由器外部接口地址 (5)设置复用动态IP地址转换: router(config)#ip nat inside source list 1 interface s0/0 overload