DCN-ROUTE-004-NAT网络地址转换v1.2要点.ppt

* ip nat outside destination static //nat转换规则，该命令的意思，当路由器从inside接口上收到目的地址为的数据包的时候，它会把该数据包的源地址修改为,把该数据包的目标地址改成,然后再从inside接口把修改后的数据包发送出去。这条命令看起来应该是静态的，但实际上配置完该nat转换规则后，并不生成nat转换条目。只有收到从inside接口符合条件的数据包才能触发该规则。转换中的地址，是路由器上特殊定义的一个地址。这条命令的另外特殊之点在于，该nat转换是在inside接口直接做的，并未在outside接口做，这也是唯一的在inside接口做nat转换的命令。 路由器相关配置： interface FastEthernet0/0 ip address no ip directed-broadcast ip nat outside ! interface FastEthernet0/3 ip address no ip directed-broadcast ip nat inside ! ip route default ! ip access-list standard nat permit ! ip nat service privateservice ip nat outside destination static ip nat inside source static ip nat inside source list nat interface FastEthernet0/0 * Router#sh ip nat st Total active translations: 2 (1 static, 0 dynamic, 1 PAT) Outside interfaces: FastEthernet0/0 Inside interfaces: FastEthernet0/3 Dynamic mappings: --Inside Source --Inside Destination Link items: PAT(ICMP=1 UDP=0 TCP=0 / TOTAL=1), Dynamic=0 Packets dropped: --Protocol: Out: tcp 0, udp 0, icmp 0, others 0 In: tcp 0, udp 0, icmp 0, others 0 --Configuration: max entries 0, max entries for host 0 * Router_config#ip nat translation max-entries的作用是设置NAT的最大翻译条目数。 Router_config#ip nat translation max-entries host any的作用是针对所有的内部IP地址，限制单个IP地址能建立NAT翻译表项的最大数目。对于该条目的配置，建议要根据用户需求和环境而定。在企业网和驻地网当中，特别是企业网，有大量的用户频繁的浏览各种网页，因为，在正常情况下连接较多的网站时，会一次性产生很多的正常nat连接。此时建议把这个值设定为300。而在网吧当中，由于大量的用户是玩游戏，浏览网页的用户很少，且网吧环境复杂，容易出问题，所以建议把这个值设定为200。 Router_config#ip nat translation max-entries host 的作用是针对指定的内部IP地址，限制该IP地址能建立NAT翻译表项的最大数目。这条命令实际上是对max-entries host any命令的补充。 max-entries host any是对所有ip进行控制，而这条命令是对单个ip进行控制的。 通过show ip nat statistics命令可以观察该配置的效果： --Configuration: max entries 0, max entries for host 1130（该处的意思是说路由器设置了该命令后，对超出nat转换条目限制的数据包所拒绝的次数 ） 实验3.静态地址映射 配置静态地址映射 第一步：标记NAT的进出端口 Router_config_f0/3# ip nat inside Router_config_f0/0# ip nat outside 第二步：在内部本地地址与全局地址之间建立静态的转换 Router_config # ip nat inside