第3讲3NAT.pptVIP

私有IP RFC1918年专门为私有、内部使用留出3个IP地址块，包括A类、B类、C类地址范围各一块，以满足不同规模私有网络的需要 NAT 公司可以使用私有地址对他们的主机进行寻址，然后使用NAT访问公共的因特网 NAT是对IP分组报头中的地址进行替换操作的过程， 可以运行专门的NAT软件或硬件的设备执行替换过程 使用私有地址+NAT，可以对外部网络隐藏内部地址，因此增加了网络的保密性 采用NAT的设备通常运行在存根网络(STUB)的边界 NAT工作过程 NAT术语 内部本地地址(inside local address)：分配给内部网络中的一台主机的IP地址，可以是私有地址 内部全球地址 (inside global address)：由地区因特网注册局或服务提供商分配的一个合法IP地址 外部本地地址(outside local address)：为个外部网络所知的一台外部主机的IP地址 外部全球地址(outside global address)：外部网络的某台主机拥有者分配给该主机的IP地址 NAT类别 静态NAT：允许本地和全球地址一一映射，常用于那些必须能够被因特网访问的内部IP主机特别有用，如WEB服务器等 动态NAT：定义一个地址池，定义一个需要进行NAT转换的主机地址范围，进行动态转换 端口复用NAT：PAT，可以使用端口号让多个主机的IP地址转换成同一个共用的IP地址 一般企业是联合使用以上三种 NAT的优点 消除了重新寻址的开销 通过应用端口级的复用节约了地址 保护网络安全 配置静态NAT 配置静态NAT的过程和命令如下： 1、建立一个内部地址与内部全球地址的静态转换 Router(config)#ip nat inside source static local-ip global-ip 2、指定内部接口 Router(config-if)#ip nat inside 3、指定外部接口 Router(config-if)#ip nat outside 配置静态NAT-示例 配置动态NAT 动态转换是临时的，在路由器收到需要转换的通信之前NAT表中不存在转换 配置动态NAT的过程： 1、定义一个供分配的全球地址池 Router(config)#ip nat pool name start-ip end-ip netmask netmask 2、创建一个访问控制列表来标识要转换的主机 Router(config)#access-list access-list-number permit source source-wildcard 3、配置基于源地址的动态NAT Router(config)#ip nat inside source list access-list-number pool name 4、指定内部接口 Router(config-if)#ip nat inside 5、指定外部接口 Router(config-if)#ip nat outside 提问 RFC定义的私有地址有哪三大块 NAT有哪几种类型 静态NAT配置步骤 动态NAT配置步骤 配置动态NAT-示例 超载PAT 被称为多对一，或者叫地址超载(address overloading)，使用PAT，可以使许多的私有地址节点使用一个全球地址访问因特网。 NAT路由器通过对转换表中的TCP和UDP端口号进行映射来区分不同的会话 超载NAT的配置—只用一个公用IP 1、定义一个标准访问控制为允许那些被转换的地址 Router(config)#access-list access-list-number permit source source-wildcard 2、建立动态源转换，指定上一步所定义的访问控制列表 Router(config)#ip nat inside source list access-list-number interface interface overload 3、指定内部接口 4、指定外部接口 超载NAT的配置—用多个公用IP 1、定义一个标准访问控制为允许那些被转换的地址 Router(config)#access-list access-list-number permit source source-wildcard 2、指定用于超载的全球地址(作为一个地址池) Router(config)#ip nat pool name ip-address netmask netmask Router(config)#ip nat inside source list access-list-number pool name overload 3、指定内部接口 4、指定外部接口 配置超载NAT-示例(多个IP)