NAT的基本配置.doc

私有IP地址块：私有IP地址块是不会在公网上进行转发的.10.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.255NAT中的术语：内部本地地址：分配给内部网络中计算机使用的IP地址，为了不和公共地址重叠，一般使用私有IP地址。内部合法IP地址：对外进行IP通信，代表一个或多个内部本地地址的合法公共地址重叠，需申请。外部全局地址：分配给外部网络上的主机IP地址。外部本地地址：等于外部全局地址。NAT优点：节省公共地址增加了连接公网的弹性允许内部网络编制的一致性提高了内部网络的安全NAT缺点：影响性能缺乏对一些应用的支持，如数字签名不利于追踪使一些隧道协议变的复杂静态地址转换的配置：静态地址转换将内部本地地址与内部合法IP地址进行一一的转换。步骤1、指定连接外部网络的外部端口 ip nat outside2、指定连接内部的端口 ip nat inside3、建立地址转换 ip nat inside source static 内部本地地址 内部合法地址（如果有多个IP地址进行静态转换的话则需要多次输入上述命令）实验：我是在真实路由上做的，计算机和路由F0/0口相连，Ip配置为193.168.2.2 掩码为255.255.255.0 主机0的ip地址配置为193.168.2.3掩码：255.255.255.0网关：192.168.2.2DNS为当地的ISP的DNS F0/1口和单位交换机相连。IP地址为192.168.1.2 255.255.255.224（此地址在单位内网中是可以上网的地址。所以我使用了此地址。），实验结果：193.168.2.3可以上网。配置命令：RouterenRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#host NATNAT(config)#no ip domain-lookupNAT(config)#line con 0NAT(config-line)#no exec-timeout NAT(config-line)#logg synNAT(config-line)#int f0/0NAT(config-if)#ip address 193.168.2.2 255.255.255.0NAT(config-if)#no shut*Mar 1 00:33:58.135: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to upNAT(config-if)#ip nat inside 指定内部网络相连的内部端口 NAT(config-if)#exitNAT(config)#int f0/1NAT(config-if)#ip address 192.168.1.2 255.255.255.224NAT(config-if)#no shutNAT(config-if)#ip nat outside 指定外部网络相连的外部端口 NAT(config-if)#exitNAT(config)#ip nat inside source static 192.168.2.3 192.168.1.2 *建立地址转换 ip nat inside source static 内部本地地址 内部合法地址（如果有多个IP地址进行静态转换的话则需要多次输入上述命令）*NAT(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.1是此路由器与对端相连的三层交换地址。将访问所有网络的数据包甩给192.168.1.1动态NAT配置：动态地址转换的配置：从内部合法地址池中动态地选择一个没有使用的合法地址对内部本地地址进行转换。步骤：1、指定外部网络相连的外部端口 ip nat outside2、指定内部网络相连的内部端口 ip nat inside3、全局模式下定义内部合法地址池 ip nat pool 地址池名称 起始ip 终止ip 子网掩码4、全局模式下定义access-list规则以允许哪些内部地址可以进行动态地转换access-list 标号 permit 源地址 反掩码 或使用扩展访问列表5、在全局模式下将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。ip nat inside source 访问列表号 Pool 内部合法地址池名字实验：我是在真实路由上做的，计算机和路由F0/0口相连。Ip配置为193.168.2.2 掩码为255.255.255.0 主机0的ip地址配置为：193.168.2.3 掩码：255.255.255.0 网关：192.168.2.2 DNS为当地的ISP的DNS F0/1口和单位交换机相连。IP地址为192.168.1.2 255.255.255.224（此地址在单位内网中是可以上网的地址。所以我使用了此地址。），现有192.168.1.2到192.168.1.5的地址是可以上网的地址实验结果：193.168.2.3可以上网。配置命令：RouterenRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#host NATNAT(config)#no ip domain-lookupNAT(config)#line con 0NAT(config-line)#no exec-timeout NAT(config-line)#logg synNAT(config-line)#int f0/0NAT(config-if)#no shut*Mar 1 00:33:58.135: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to upNAT(config-if)#ip nat inside 指定内部网络相连的内部端口 NAT(config-if)#exitNAT(config)#int f0/1NAT(config-if)#ip address 192.168.1.2 255.255.255.224NAT(config-if)#no shutNAT(config-if)#ip nat outside 指定外部网络相连的外部端口 NAT(config-if)#exitNAT(config)#ip nat pool DTNAT 192.168.1.2 192.168.1.5 netmask 255.255.255.224 内部合法地址为192.168.1.2到192.168.1.5NAT(config)#access-list 1 permit 193.168.2.0 0.0.0.255 允许内部193.168.2.0地址可以被转换NAT(config)# ip nat inside source 1 Pool DTNATNAT(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1