gar_NAT配置.docVIP

NAT配置 摘要 本章介绍了NAT（网络地址转换）及在ZXR10 GAR上的相关配置。 NAT概述 随着国际互联网络的迅速发展，面临的最大的问题之一就是IP地址不够用。NAT（网络地址转换）的使用可以在一定程度上缓解这方面的压力。NAT允许一个组织重用一个或多个注册过的全球唯一的IP地址。 图14.11显示了NAT的基本工作原理。 图14.11 NAT工作原理 图14.11中，分别属于两个不同组织的网络A和网络B都使用私网地址作为它们的内部地址。每个组织都分配到一个Internet注册过的唯一的公网地址，供内部专用网络到外部公用网络通信时用。 在发生地址转换的两个网络之间，一个作为内部网（inside），另一个作为外部网（outside），承担NAT功能的路由器被放置在内部网与外部网的交界处。 当PC1（）要向PC2（）发送数据时，PC1将PC2所属网络的全局唯一地址作为数据包的目的地址。当数据包到达R1时，R1将源地址转换为全局唯一地址。当数据包到达R2时，R2将目的地址转为私网IP地址。从PC2向PC1返回的数据包也作类似的转换。 这些转换不需要对内部网络的主机进行附加配置。在PC1看来，就是网络B上PC2（）的IP地址。同样，对PC2来说，是网络A上的PC1（）的IP地址。 通常在以下几种情况下会用到NAT转换： 1． 将私有的网络接入Internet，而又没有足够的注册IP地址； 2． 两个要求互联的网络的地址空间重叠； 3． 改变了服务提供商，需要对网络重新编址。 NAT分为静态和动态两种，其中动态NAT又分为一对一动态NAT和地址重载动态NAT。 静态地址转换是网络管理员预先定义的，它是一个内部地址和外部地址的一一对应。内部网的主机与外部通信时，其数据包在被路由器发送到外网之前，静态NAT规定的内部地址会被转换成对应的外网地址；而路由器在将外网的数据包发送到内部网之前，也会将外网地址转换成相应的内网地址。 动态地址转换是根据配置在路由器上随机发生的。当一个内部网主机发起一个与外网主机的会话时，数据包在进入外网之前，路由器在用于地址转换的外网地址池中随机挑选一个空闲地址，用它来作为新的源地址，从而替换掉了内网的源地址。 路由器保留这个转换记录，用于将回应包的目的地址转换成内网的目的地址。会话期间，该地址被独占使用，会话结束后，外网地址被释放，可以再次分配。 如果启用了PAT（端口地址转换）功能，则在没有空闲地址可用的情况下，路由器会挑选一个已使用地址的空闲端口，用这个地址和端口的配对（通常被称为套接字，socket）来替换内网数据包中的相应地址和端口。 配置NAT NAT的配置主要包括如下内容。 1． 设置NAT的内部和外部接口 ip nat {inside|outside} 2． 定义NAT转换规则 ip nat inside source {list list-number pool pool-name [overload [interface-name]]|static local-ip global-ip| static {tcp|udp} global-ip global-port local-ip local-port} 3． 定义NAT转换用地址池 ip nat pool pool-name start-address end-address prefix-length prefix-length 4． 设置NAT老化时间 ip nat translation timeout class {a|b|c|d|e} timeout ip nat translation timeout class protocol { icmp | ip | tcp [port dst-port] | udp [port dst-port]} {a|b|c|d|e} 5． 设置内部地址所允许转换的最大条目数 ip nat translation maximal {list-number| default} max-value 6． 启动和停止NAT功能 ip nat start ip nat stop 7． 启用NAT日志功能 ip nat logging {{all|event|mapping}|{source|destination} ip-addr}} 注意： 启用NAT日志后，同时要建立一个ftp链接以便能将日志写到ftp的文件中去，例如：logging ftp NOTIFICATIONS ip address ftp_username ftp_password nat.log。 我们可以根据实际需要在组网中应用静态NAT或者动态NAT。动态NAT配置中可以配置成一对一的动态NAT，也可以配置成一个公