NAT概述.doc

NAT 一、NAT概述 NAT英文全称是“Network Address Translation”， 允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。如图2所示。这里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由（一种网络技术，可以实现不同路径转发）。虽然内部地址可以随机挑选，但是通常使用的是下面的地址：10.0.0.0~10.255.255.255，172.16.0.0~172.31.255.255，192.168.0.0~192.168.255.255。NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻址的地址。 NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。比如Cisco路由器中已经加入这一功能，网络管理员只需在路由器的IOS中设置NAT功能，就可以实现对内部网络的屏蔽。再比如防火墙将WEB Server的内部地址192.168.1.1映射为外部地址202.96.23.11，外部访问202.96.23.11地址实际上就是访问访问192.168.1.1。另外资金有限的小型企业来说，现在通过软件也可以实现这一功能。Windows 98 SE、Windows 2000 都包含了这一功能。 私有地址范围： 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 任何组织都可以任意使用私有地址空间 私有地址在Internet上无法路由 如果采用私有地址的网络需要访问Internet，必须在出口处部署NAT设备 三、NAT组网和常用术语 见课本P377 四、NAT的配置 1、Basic NAT 配置ACL 用于判断哪些数据包的地址应被转换 被ACL允许（permit）的报文将被进行NAT转换，被拒绝（deny）的报文将不会被转换 配置地址池 nat address-group group-number start-addr end-addr 配置地址转换 nat outbound acl-number address-group group-number no-pat Basic NAT配置示例 2、NAPT 配置ACL 用于判断哪些数据包的地址应被转换 被ACL允许（permit）的报文将被进行NAT转换，被拒绝（deny）的报文将不会被转换 配置地址池 nat address-group group-number start-addr end-addr 配置地址转换 nat outbound acl-number address-group group-number NAPT配置举例 3、Easy IP NAT设备直接使用出接口的IP地址作为转换后的源地址 不用预先配置地址池 工作原理与普通NAPT相同，是NAPT的一种特例 适用于拨号接入Internet或动态获得IP地址的场合 配置Easy IP 配置ACL 用于判断哪些数据包的地址应被转换 被ACL允许（permit）的报文将被进行NAT转换，被拒绝（deny）的报文将不会被转换 配置地址转换 nat outbound acl-number 4、NAT Server 配置NAT Server NAT Server配置命令 nat server protocol pro-type global global-addr [ global-port ] inside host-addr [ host-port ] NAT Server配置举例 5、NAT的信息显示和调试 显示地址转换信息 display nat {