实训十七、路由器网络地址转换的配置教案分析.ppt

实训十七、路由器网络地址转换的配置 重点内容： NAT的概念及作用； Cisco路由器NAT的配置方法。 * 一、NAT的基本概念 NAT（Network Address Translation）全称网络地址转换，简单的说就是指将网络地址从一个地址空间转换为另一个地址空间的方法。 NAT将网络划分为内部网络（inside）和外部网络（outside）两部分。通常在一个内部网络中，计算机之间可以通过内部的私有IP地址通信，而当内部的计算机要与外部internet网络进行通信时，具有NAT功能的设备（如路由器、防火墙）就可以负责将其内部的IP地址转换为合法的公网IP地址，然后进行通信。当然这个合法的公网IP地址必须要向互联网服务提供商（ISP）申请后才能得到。 NAT的作用主要有两方面：一方面从安全角度考虑，可以不让外部网络用户了解自已的网络结构和内部网络地址；另一方面从IP地址资源角度考虑，当内部用户很多时，就可以通过NAT实现多台计算机共用一个合法IP地址访问Internet，以实现节省合法IP地址使用量。 NAT的配置可以分为静态地址转换、动态地址转换、复用动态地址转换（端口复用技术）三种。 静态地址转换是指将内部私有IP地址（或称本地IP地址）与外部公网IP地址（合法IP地址）进行一对一的转换，且需要指定和具体的某一个合法地址进行转换。当内部网络中有使用内网私有IP地址搭建的Web服务器、E-mail服务器、FTP服务器，如果这些服务器需要为外部用户提供服务时，则这些服务器的IP地址必须通过静态地址转换成公网IP地址，以使外部用户可以访问这些内网服务器。 动态地址转换也是将内网私有IP地址与合法IP地址进行一对一的转换，但是动态地址转换是从合法地址池中动态地选择一个未使用的地址对内网私有IP地址进行转换。该方法也可以节省一定的合法IP地址，所以该方法经常被使用。 复用动态地址转换是一种特殊的动态地址转换，因为它可以允许多个内网私有IP地址共用一个合法地址，这样只要申请少量的合法IP地址却可以同时让多于合法IP地址数的用户上网，这种动态地址转换也称作端口复用技术。由于现在可分配的互联网IP地址（合法地址）越来越少，所以目前该方法被广泛的采用。 二、NAT的配置 1、静态NAT的配置 静态NAT可将内部地址和外部地址进行一对一的转换。这种方法要求申请到的合法（公网）IP地址要足够多，才可以与内部IP地址一一对应，该方法不能节省合法IP地址的使用量。如果内网有FTP服务器或WEB服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。其配置命令介绍如下： 1）、在内部地址和合法地址之间建立静态转换 Router(config)#ip nat inside source static 内部地址 合法地址 2）、指定连接内部网络的内部端口 Router(config-if)#ip nat inside 3）、指定连接外部网络的外部端口 Router(config-if)#Ip nat outside 图17-2 根据图17-2网络拓扑图，要求在R1路由器中通过配置静态NAT把内网中的私有IP地址翻译成合法IP地址去访问外网。其配置方法如下： R1(config)#interface e0 //进入路由器以太网e0接口 R1(config-if)#ip nat inside //将该接口指定为内部端口 R1(config-if)#exit R1(config)#interface s0 //进入路由器s0串口 R1(config-if)#ip nat outside //将该接口指定为外部端口 R1(config-if)#exit R1(config)#ip nat inside source static 2、动态NAT的配置 动态NAT是将合法IP地址统一的组织起来，当有内部主机需要访问外网时，就分配一个合法IP地址与内部IP地址进行转换，当内部主机访问完成后就归还该合法IP地址。这种方法允许合法IP地址数少于主机数。其配置命令介绍如下： 1）、定义合法地址池 Router(config)#Ip nat pool 地址池名称 起始IP地址 终止IP地址 netmask 子网掩码 2）、定义一个标准的访问列表规则，指出允许哪些内部地址可以进行动态地址转换 Router(config)#Access-list 访问列表号 permit 源地址 通配符掩码 提示：访问列表号取值范围为1