10-地址转换原理及配置.pptVIP

地址转换原理及配置 学习完此课程，您将会： 理解地址转换的基本原理 掌握地址转换的配置方法 地址转换的提出背景 地址转换是在IP地址日益短缺的情况下提出的。 一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。 地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。 地址转换可以按照用户的需要，在内部局域网内部提供给外部FTP、WWW、Telnet服务。 私有地址和公有地址 地址转换的原理 利用ACL控制地址转换 可以使用访问控制列表来决定哪些主机可以访问Internet，哪些不能。 地址转换的配置任务列表 指定路由器连接的内、外部接口（需要做NAT转换的接口） Router_config_f0/0 # ip nat inside | outside 定义一个访问控制列表，规定什么样的主机可以访问Internet。 Router_config # ip access-list extended | standard acl-name 采用EASY IP（基于接口）或地址池方式提供公有地址。 根据选择的方式（地址池方式还是Easy IP方式），在全局配置模式下允许地址转换，并指定内、外网参数。 根据局域网的需要，定义合适的内部服务器。 Easy IP 配置 Easy IP：在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。在全局配置模式下： Router_config#ip nat inside source list acl-name interface f0/0 overload 使用地址池进行地址转换 地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合，利用不超过32字节的字符串标识。 地址池可以支持更多的局域网用户同时上Internet。 使用地址池进行地址转换配置 使用地址池进行地址转换配置： 定义地址池 Router_config#ip nat pool pool-name 在全局配置模式下使用地址池进行地址转换 Router_config#ip nat inside source list acl-name pool pool-name overload 内部服务器的应用 内部服务器配置 内部服务器配置命令格式 ip nat inside source static protocol-type host-addr [ host-port ] global-addr [ global-port ] ip nat outside destination static global-addr host-addr 此例的配置 ip nat inside source static tcp 80 80 ip nat outside destination static NAT的监控与维护 显示地址转换配置及统计信息 Router_config# show ip nat translations [ host A.B.C.D | tcp |udp | icmp ][ verbose ] Router# show ip nat statistics 从NAT转换表中清除所有动态地址转换项 Router_config# clear ip nat translation 地址转换的缺点 地址转换对于报文内容中含有有用的地址信息的情况很难处理。 地址转换不能处理IP报头加密的情况。 地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。 典型访问列表和地址转换综合应用配置实例 配置步骤 按照实际情况具有以下几个步骤： 定义扩展的访问控制列表 在接口上应用访问控制列表 指定地址转换的内/外侧接口 利用访问控制列表定义地址转换，基于接口/地址池 配置内部服务器的地址映射关系 配置命令 Router_config# ip access-list standard insideuser Router_config_std_nacl# permit 55 Router_config# ip access-list extended outsideuser Router_config_ext_nacl# permit tcp source destination eq telnet Router_config_ext_nacl# deny tcp source any destination eq telnet Router_config_ext_nacl# permit ip source any destination 配