第17章互联网上的地址管家配置NAT和DHCP.docVIP

第17章 互联网上的地址管家——配置NAT和DHCP 17.1 知识准备 17.1.1 NAT 基础 网络地址转换(Network Address Translation,NAT)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。 借助于NAT，私有(保留)地址的内部网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。 使用 NAT 有很多优点优点，但同时也有缺点： 优点 节约合法的注册地址 减少重复地址出现 增加链接互联网的灵活性 增加了内网的安全性 缺点 性能降低 某些应用无法再NAT的网络中运行 无法进行端到端的ip跟踪 隧道更加复杂 17.1.1.2 NAT命名 表 17-1 NAT术语 名字 意义 内部全局 转换之后的内部主机的名字 内部本地 转换之前内部地址的名字 外部全局 转化之后外部目标主机的名字 外部本地 转换之前外部主机的名字 17.1.2 NAT类型 动态 NAT 使用公有地址池，并以先到先得的原则分配这些地址。当具有私有 IP 地址的主机请求访问 Internet 时，动态 NAT 从地址池中选择一个未被其它主机占用的 IP 地址。这就是到目前为止所介绍的映射。 静态 NAT 使用本地地址与全局地址的一对一映射，这些映射保持不变。静态 NAT 对于必须具有一致的地址、可从 Internet 访问的 Web 服务器或主机特别有用。这些内部主机可能是企业服务器或网络设备。 过载 NAT 又称复用，这是最流行的NAT配置类型。复用实际上是动态NAT的一种形式，他映射多个未注册的IP地址到单独的一个注册的IP地址，即多对一，它通过端口地址映射（PAT）可以实现多个用户仅通过一个真实的全球IP地址连接到Internet 17.1.3NAT是如何工作的 现在我们开始研究NAT的整个工作过程。 如图 17-1描述的是NAT的最基本的转换过程，在图中主机192.168.1.1发送了一个数据包到了配置了NAT的路由器，路由器识别出这是一个内部本地IP而目标IP是外部网络，所以他要将转换为内部全局IP地址并把结果记录到NAT表中。 而后这个数据包就是用转后的新的源地址被发送到外部接口，当外部主机返回到目标主机后NAT路由器就是用NAT表将内部全局IP转换成内部本地IP。 在图 17-2中展现了NAT过载（即NAT复用——PAT）的简单过程，从图中的表中的数据我们可以看出在表中除了IP地址还有端口号，而这些端口号就是路由器用来区分返回的流量该有那台主机。 图 17-1 基本的NAT转换 图17-2 NAT过载 17.1.4 NAT的基本配置 静态NAT的配置 配置静态 NAT ，首先需要定义要转换的地址，然后在适当的接口上配置 NAT。从指定的 IP 地址到达内部接口的数据包需经过转换。外部接口收到的以指定 IP 地址为目的地的数据包也需经过转换。 1、建立内部本地地址与内部全局地址见的静态转换。 Router(config)#ip nat inside source static local-ip global-ip 2、指定内部接口。 Router(config)#interface type number 3、将该接口标记为与内部连接。 Router(config-if)#ip nat inside 4、退出接口配置模式。 Router(config-if)# exit 5、指定外部接口。 Router(config)#interface type number 6、将该接口标记为与外部连接。 Router(config-if)#ip nat outside 动态NAT的配置 动态 NAT 的配置与静态 NAT虽然不同，但也有一些相似点。与静态 NAT 相似，在配置动态 NAT 时也需要将各接口标识为内部或外部接口。不过，动态 NAT 不是创建到单一 IP 地址的静态映射，而是使用内部全局地址池。 1、根据需要定义待分配的全局地址池。 Router(config)#ip nat pool name start-ip end-ip {netmask netmask|prefix-length prefix-length} 2、定义一个标准访问列表，以允许待转换的地址通过。 Router(config)#access-list access-list-number permit source [source-wildcard] 3、建立动态源地址转换，指定上一步骤中定义的访问列表。 Rou