76到100题.doc

NAT笔记NAT（network address translation）网络地址转换协议它是一个把私有地址转换为合法的公有IP地址并接入广域网的技术。可以借助代理服务器来实现，更多的时候是在路由器上实现。NAT优点：1. 解决IP地址不足的问题。2. 有效地防止网络外部的攻击。3. 隐藏并保护内部网络计算机。NAT的实现方式：1. 静态转换 static nat将内部的私有的IP地址转换为内部合法的IP地址，是一对一的转换，静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。2. 动态转换 pynamic nat 将内部网络的私有IP地址转换为合法IP地址时，IP地址是不确定的，是随机的动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。3. 端口多路复用 overload 指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。内网所有主机可共享一个合法IP访问Internet从而节约IP。配置命令：1. 静态转换-设置外部端口interface +外部接口 -进入端口ip address +IP+子网掩码 -配置IPip nat outside -设为外部端口-设置内部端口interface+内部接口 ip address +IP+子网掩码ip nat inside-内部私有IP转为内部合法IPRnat(config)#ip nat inside source static +内部私有地址+内部合法地址静态地址转换完毕最后要在路由器上配置默认静态路由。2. 动态转换-设置外部端口 -如上一样-设置内部端口-定义合法地址池 Rnat(config)#ip nat pool 地址池名称 起始IP地址 终止IP地址 netmask 子网掩码或Rnat(config)#ip nat pool 地址池名称 起始IP地址 终止IP地址prefix-length 掩码位 （地址池名字可以任意设定）-定义访问列表Rnat(config)#access-list 标号 permit 源地址 反掩码 -（其中，标号为199之间的整数）例如：access-list 1 permit 192.168.1.1 0.0.0.255 -允许访问Internet的地址池。想将多个IP地址段转换为合法IP地址，可以添加多个访问列表。-实现网络地址转换全局设置模式下，将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。 命令： Rnat(config)#ip nat inside source list 访问列表标号 pool 内部合法地址池名字例如：ip nat inside source list 1 pool chinanet如果有多个内部访问列表，可以添加多个合法转换。3. 端口复用动态地址转换-设置外部端口-设置内部端口-定义合法IP地址池Rnat(config)#in nat pool onlyone192.168.1.2 192.168.1.2 netmask 255.255.255.252只有一个IP地址可用，所以起始IP地址与终止IP地址一样。-定义内部访问列表Rnat(config)#access-list 1 permit 192.168.1.1 0.0.0.255Rnat(config)#access-list 1 deny any-设置复用动态地址转换Rnat(config)#ip nat inside source list访问列表号pool 内部合法地址池名字overload配置完成后配置静态默认路由配置协议完成后，记住“保存”。Rnat#copy running-config startup-configNAT实验配置一个PAT实验1. 先配置好各个设备的IP。2. 配置完成后，来配置路由器 R1R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255R1(config)#access-list 1 deny anyR1(config)#ip nat pool cisco 1.1.1.1 1.1.1.1 netmask 255.255.255.0R1(config)#ip nat inside source list 1 pool cisco overload R1(config)#int f0/0R1(config-if)#ip nat inside R1(config-if)#exitR1(config)#int s0/0/0R1(config-if)#ip nat outside R1(config-if)#exit配置完成后要配置静态路由R1(config)#ip route 0.0.0.0 0.0.0.0 se0/0/0然后保存到NVRAMR1#copy ru