正向NAT与反向NAT.docVIP

正向NAT和反向NAT 当你与外部网络进行HYPERLINK /z/telecom/hot/index.html通信时，你可以转换自己的私有HYPERLINK /z/tech/ip/index.htmlIP地址到全局唯一的IP地址。可以通过静态或动态NAT来实现以上目的。静态NAT在内部本地址和内部全局地址之间建立一对一的映射关系，而动态NAT建立一个内部本地址到一个全局地址池的映射关系。 一、静态NAT工作原理 静态NAT是最基本的NAT方式，也是最常用的NAT方式之一。本节要利用HYPERLINK /tag/2017/index.html网络拓扑结构和具体的示例介绍HYPERLINK /tag/2516/index.htmlCisco设备上的静态NAT基本配置步骤。示例中的基本网络拓扑结构如图1所示。NAT路由器的两个接口（s0和s1）分别连接了内、外两个不同的网络（/24和/24）。现要使内部网络中的10.10.01.1主机和外部网络中的主机间进行数据包传输。 图1 静态NAT基本配置示例网络结构 在上一篇说到了，NAT的应用可以是单方向（包括正向或反向），也可以是双方向的HYPERLINK /tag/1262/index.html地址转换。我们把内部网络中的地址转换成外部网络中的地址，称之为正向转换，使用的NAT命令为“ip nat inside source static {local-ip global-ip}”，把本地网络的本地址转换成外部网络的全局地址。把外部网络中的地址转换成内部网络中的地址称之为反向转换，使用的NAT命令为“ip nat outside source staticglobal-ip local-ip}”，把外部网络的全地址转换成本地网络的本地地址。对比可以看出，两个命令中的本地IP地址（local-ip）和全局IP地址（global-ip）的位置是相互调换的。而把需要同时具有两方面的转换，称之为双向转换。正向转换时只需要定义内部本地址和内部全局地址；反方向的转换时则需要定义外部本地址和外部全局地址；双向转换时则需要同时定义内部本地址、内部全局地址、外部本地址和外部全局地址。下面分别予以介绍。 1. 正向NAT地址转换配置 仅需要正向NAT转换时，只需要定义内部本地地址和内部全局地址。下面是一个配置示例（网络结构参见图1），要实现以下目的：当NAT路由器的内部网络s0接口上接收到一个源地址为内部本地地址的数据包时，源地址被转换成内部全局地址。同样，当在NAT路由器的外部网络接口s1上接收源地址为内部全局地址的数据包时，目的地址将被转换成这个内部本地地址。 （1）使用ip nat inside source static全局HYPERLINK /tag/3563/index.html配置命令创建从内网到外网的静态NAT IP地址转换。 Router（config）#ip nat inside source static # 在内部网络本地地址与内部网络全局地址之间建立静态NAT转换关系，使内部网络主机知道要以这个地址到达外部网络主机 （2）使用以下两条语句配置路由器的NAT内部接口s0。 Router（config）#interface s 0 # 进入s0串口配置模式 Router（config-if）#ip nat inside # 把s0串口指定为内部网络接口 （3）使用以下两条语句配置路由器的NAT外部接口s1。 Router（config）#interface s 1 # 进入s1串口配置模式 Router（config-if）#ip nat outside # 把s1串口指定为外部网络接口 （4）使用show ip nat translations特权模式命令验证上述进行的路由器NAT配置。内部网络的本地地址为，内部网络的全局地址为。 Router#show ip nat translations# 在特权模式下显示当前路由器NAT配置 Pro Inside global Inside local Outside local Outside global --- --- --- 此时如果对外网络目的主机进行ping操作，此时就会有有数据包从内部网络转发到外部网络后，再在路由器特权模式下执行“show ip nat translations”命令，显示的NAT信息如下。多了一条HYPERLINK /tag/778/index.htmlicmp协议类型数据包显示，但因为此时没有配置外部网络的本地和全局地址，所以显示的外部本地和全局地址都是一样的，都是ping操作目的主机地址。 Router#show ip nat translations Pro Inside global In