第22章NAT协议配置.pptVIP

第22章 NAT协议配置 22.1 NAT原理 22.1.1 NAT简介 22.1.2 NAT的工作过程 22.2配置NAT 22.2.1 命令介绍 22.2.2 网络环境 22.2.3 NAT的参考配置 22.3 案例分析 22.4 本章小结 22.1 NAT原理 22.1.1 NAT简介 网络地址转换（Network Address Translation，NAT）是一种将私有(保留)地址转换为合法IP地址的技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。 通过NAT技术，内部网络中的私有地址通过路由器发送数据包时，私有地址被转换成公网IP地址，一个局域网只需使用少量的公网IP地址(甚至是1个)即可实现内网中私有地址的计算机与Internet的通信需求。 地址转换技术还可以有效地隐藏内部网络中的主机，具有一定的网络安全保护作用。 NAT一般都是在路由器上实现的。 22.1.2 NAT的工作过程 例如一个单位申请到4个公网的IP地址，内网中的主机发送一个到达主机3的IP数据报，此数据报到达配置了NAT的路由器，路由器识别出此IP地址为内部网络的私有IP地址，目的地址是外部网络的公网IP地址，它要转换内部私有IP地址，并把转换结果记录到NAT表中。此时IP数据报的源IP地址变为公网地址。这样报文就可以在因特网上转发了。 目的主机向源主机返回响应，响应报文的目的主机地址是NAT路由器上的公网地址，到达NAT路由器后使用NAT表转换，目的IP地址变为内部私有IP地址，这样响应报文被传送到内网的主机。 一个单位在只申请到一个公网IP地址时，为了让内网中大量主机能够与因特网上的主机通信，这是就要采用端口地址转换（Port-Level NAT，NAPT）技术。 NAPT将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。看一下图22-2中的NAT表。除了私有IP地址和公网IP地址外，还用到了端口地址。这些端口地址帮助路由器识别哪一台主机接收返回的报文。 22.2 配置NAT 此命令在接口视图下执行，功能是用来将一个访问控制列表ACL和一个地址池关联起来，表示acl-number中规定的地址可以使用地址池group-number进行地址转换。 address-group：表示使用地址池的方式配置地址转换，如果不指定地址池，则直接使用该接口的ip地址作为转换后的地址，即easy ip特性。 no-pat：表示使用一对一的地址转换，只转换数据包的地址而不使用端口信息。 acl_number：访问控制列表的索引值，范围为2000～3999（可以使用高级acl）。 group_number：一个已经定义的地址池的编号。 nat server [acl_number] protocol pro-type global {global_addr [global_port] |current_interface} inside host_addr [host_port] 此命令在接口视图下执行，功能是用来定义一个内部服务器的映射表，用户可以通过global_addr和global_port定义的地址端口来访问地址和端口分别为host_addr和host_port的内部服务器。 acl_number：访问控制列表号，范围为2000～3999。 pro_type：表示IP协议承载的协议类型，可以使用协议号，也可用关键字代替。 global_addr：提供给外部访问的IP地址（一个合法的IP地址）。 global_port：提供给外部访问的服务的端口号。若忽略的话，将和host_port的值一致。 current_interface：使用路由器当前公网接口的地址。 host_addr：服务器在内部局域网的IP地址。 host_port：服务器提供的服务端口号，范围为0～65535，常用的端口号可以用关键字代替。 其它配置命令 display nat {address-group|all|outbound|server|statistics [source global global_addr|source inside inside_addr] [destination ip_addr]} 此命令在所有视图下执行，功能是用来显示用户对地址转换的配置，用户可以根据该命令的输出信息验证地址转换的配置是否正确。 address-group：表示显示地址池的信息。 all：表示显示所有的关于地址转换的信息。 outbound：表示显示配置的地址转换的信息。 server：表示显示内部服务器的信息。 statistics：显示当前的地址转换记录统计数据。 s