思科配置静态NAT、配置动态NAT和配置NAPTppt课件

1、课题九 配置静态NAT、配置动态 NAT和配置NAPT 本课题主要内容NATNetwork Address Translation，网络地址转换将一个IP地址域如Intranet转换到另一个IP地址域如Internet的技术。 NAT术语，NAT的任务原理，NAT的类型 9.1 NAT9.1 NAT概述概述 NATNetwork Address Translation，网络地址转换是一种将一个IP地址域如Intranet转换到另一个IP地址域如Internet的技术。NAT技术的出现是为理处理IP地址日益短缺的问题，将多个内部地址映射为少数几个甚至一个公网地址,这样就可以实现内部网络中的主机通

2、常运用私有地址透明地访问外部网络中的资源；同时，外部网络中的主机也可以有选择地访问内部网络。而且，NAT能使得内外网络隔离，提供一定的网络平安保证。9.1.19.1.1NATNAT术语术语 1、内部网络(Inside)：指那些由机构或企业所拥有的网络，与NAT路由器上被定义为inside的接口相衔接。2、外部网络(Outside)：指除了内部网络之外的一切网络，常为Internet网络，与NAT路由器上被定义为outside的接口相衔接。 3、内部本地地址(Inside Local Address)：内部网络主机运用的IP地址。这些地址普通为私有IP地址，它们不能直接在Internet上路由，

3、因此也就不能直接用于对Internet的访问，必需经过网络地址转换，以合法的IP地址的身份来访问Internet。4、内部全局地址(Inside Global Address):内部网络运用的公有IP地址，这些地址是向ICANN恳求才可获得的公有IP地址。当运用内部本地地址的主机要与Internet通讯时，NAT转换时运用的地址。5、外部本地地址(Outside Local Address):外部网络主机运用的IP地址，这些地址不一定是公有IP地址。6、外部全局地址(Outside Global Address):外部网络主机运用的IP地址。这些地址是全局可路由的公有IP地址。9.1.29.1

4、.2NATNAT的任务原理的任务原理 图9-1-1 NAT任务原理PC1:192.168.1.100外部网络InternetNAT路由器HOST:210.32.166.58SA:202.10.65.3DA:210.32.166.58SA: 210.32.166.58DA:202.10.65.3SA:192.168.1.100DA:210.32.166.58SA:202.10.65.3DA:192.168.1.100内部本地地址:192.168.1.100内部全局地址:202.10.65.3内部网络一、一、NATNAT的原理图的原理图9.1.29.1.2NATNAT的任务原理的任务原理如图9-1

5、-2所示，在局域网内部网络中运用内部地址，当内部节点PC1要访问外部的HOST主机时，PC1发送源地址为192.168.1.100,目的地址是210.32.166.58的IP报文,该IP报文将被路由到边境路由器。路由器收到这个IP报文后，将源地址改动为公有地址202.10.65.3，并记录私有地址192.168.1.100与公有地址202.10.65.3间的地址映射关系存入地址映射表，然后发出修正后的IP报文；当HOST主机收到报文后，回复报文到达路由器后，路由表再根据地址映射表中的地址的对应关系，把目的地址转换为PC1的地址，这样就完成了私有地址主机与Internet主机的通讯。 9.1.3

6、 NAT的类型 (1)(1)静态静态NAT NAT 在在NATNAT表中为每一个需求转换的内部地址创建了固定的转换表中为每一个需求转换的内部地址创建了固定的转换条目，映射了独一的全局地址。内部地址与全局地址一一对应。条目，映射了独一的全局地址。内部地址与全局地址一一对应。 图9-1-2 静态NAT任务表示图9.1.3 NAT的类型(2)动态NAT 对于要与外界进展通讯的内部节点，假设还没有建立转换映射，边缘路由器或者防火墙将会动态地从NAT池中选择全局地址对内部地址进展转换。每个转换条目在衔接建立时动态建立，而在衔接终止时会被回收。这样，网络的灵敏性大大加强了，所需求的全局地址进一步地减少。值

7、得留意的是，当NAT池中的全局地址被全部占用以后，以后的地址转换的恳求会被回绝。这样会呵斥网络连通性的问题。所以应该运用超时操作选项来回收NAT池的全局地址。另外，由于每次的地址转换是动态的，所以同一个节点在不同的衔接中的全局地址是不同的，这会使SNMP的操作复杂化。 9.1.3 NAT的类型(3)地址端口转换是动态转换的一种变形 可以使多个内部节点共享一个全局IP地址，而运用源和目的地址的TCP/UDP的端口号来区分NAT表中的转换条目及内部地址，这样，就更节省了地址空间 。图9-1-3NAPT任务表示图9.2 NAT9.2 NAT配置配置 9.2.1 9.2.1 静态静态NATNAT配置配

8、置 1 1、静态、静态NATNAT配置命令及步骤配置命令及步骤 表9-2-1 静态NAT配置命令及步骤9.2 NAT9.2 NAT配置配置 2、运用以下两个命令查看NAT配置信息：表9-2-2 查看NAT配置信息命令2 下面以一个实例来阐明静态NAT 的配置过程 如图9-2-1所示，内部网络中有两台PC机，它们运用的是内部本地地址。要求正确配置静态地址转换，使这两台PC能访问Internet。其中PC1和PC2运用的内部全局地址分别为210.29.193.2和210.29.193.3，路由器内部网络接口f0/0的IP地址为10.1.1.1,外部网络接口s0/0的IP地址为210.29.193.

9、1。 图9-2-1 NAT配置拓扑图2 下面以一个实例来阐明静态NAT 的配置过程路由器配置如下：Router(config)# ip nat inside source static 10.1.1.2 210.29.193.2Router(config)# ip nat inside source static 10.1.1.3 210.29.193.3Router(config)# interface f0/0 Router(config-if)# ip address 10.1.1.1 255.255.255.0Router(config-if)# ip nat insideRouter

10、(config-if)# no shutdownRouter(config)# interface s0/0/0Router(config-if)# ip address 210.29.193.1 255.255.255.0Router(config-if)# ip nat outsideRouter(config-if)# no shutdown9.2.2 动态NAT配置 1、动态NAT配置命令及步骤 表9-2-3 动态NAT配置命令及步骤 2 下面以一个实例来阐明动态NAT 的配置过程 以图9-2-1为例，假设局域网运用的内部本地地址为10.1.1.0/24，恳求到的内部全局地址范围为21

11、0.29.193.1210.29.193.16，要求在边境路由器上正确配置动态NAT转换，以实现局域网与Internet的通讯。 2 下面以一个实例来阐明动态NAT 的配置过程路由器配置如下一：路由器配置如下一：Router(config)# ip nat inside source static 10.1.1.2 210.29.193.2Router(config)# ip nat inside source static 10.1.1.3 210.29.193.3Router(config)# interface f0/0 Router(config-if)# ip address 10.

12、1.1.1 255.255.255.0Router(config-if)# ip nat insideRouter(config-if)# no shutdownRouter(config)# interface s0/0/0Router(config-if)# ip address 210.29.193.1 255.255.255.0Router(config-if)# ip nat outsideRouter(config-if)# no shutdown2 下面以一个实例来阐明动态NAT 的配置过程路由器配置如下二：路由器配置如下二：Router(config-if)# ip addre

13、ss 10.1.1.1 255.255.255.0Router(config-if)# ip nat insideRouter(config-if)# no shutdownRouter(config)# interface s0/0/0Router(config-if)# ip address 210.29.193.1 255.255.255.0Router(config-if)# ip nat outsideRouter(config-if)# no shutdown9.2.3 地址端口转换(NAPT)的配置 1、NAPT配置的命令与步骤 表9-2-4 NAPT配置的命令与步骤下面以一个实

14、例来阐明地址端口转 换(NAPT)的配置过程 仍以图9-2-1为例，局域网运用的内部本地地址为10.1.1.0/24，现只需一个内部全局地址210.29.193.1，这个地址配置在路由器的s0/0接口上，要求在边境路由器上正确配置动态NAT转换，以实现局域网与Internet的通讯。 下面以一个实例来阐明地址端口转 换(NAPT)的配置过程n路由器配置如下：nRouter(config)# ip nat pool naptout 210.29.193.1 210.29.193.1 netmask 255.255.255.0n!定义内部全局地址池“out,地址池中地址为210.29.193.1n

15、Router(config)# access-list 1 permit 10.1.1.0 0.0.0.255n!用规范ACL定义允许地址转换的内部本地地址范围为10.1.1.0/24nRouter(config)# ip nat inside source list 1 pool naptout overloadn!配置内部本地地址与内部全局地址间的转换关系,带有overload参数nRouter(config)# interface f0/0nRouter(config-if)# ip address 10.1.1.1 255.255.255.0nRouter(config-if)# ip

16、 nat insidenRouter(config-if)# no shutdownnRouter(config)# interface s0/0/0nRouter(config-if)# ip address 210.29.193.1 255.255.255.0nRouter(config-if)# ip nat outsidenRouter(config-if)# no shutdown9.3 实训1 配置静态NAT 一、实训目的掌握静态NAT的特征、配置及调试方法二、实训义务正确配置静态地址转换，使这两台PC能访问Internet 三、实训环境Cisco路由器、安装网卡的PC及假设干 、

17、有互联网支持 四、实训环境s0/0/0210.29.193.0 / 24PC1:192.168.1.1PC2:192.168.1.2192.168.1.0/24.254g0/0s0/0/0.1.2RARBLo0:210.29.194.1/24图9-3-1 静态NAT配置五、实训步骤五、实训步骤 步骤1：配置路由器RA提供静态NAT效力。RA(config)# ip nat inside source static 192.168.1.1 210.29.193.3RA(config)# ip nat inside source static 192.168.1.2 210.29.193.4 !配

18、置静态NAT映射RA(config)# interface g0/0RA(config-if)#ip nat inside !把RA的g0/0接口配置成NAT的内部接口RA(config-if)#exitRA(config)# interface s0/0/0RA(config-if)# ip nat outside 五、实训步骤五、实训步骤!把RA的s0/0/0接口配置成NAT的外部接口RA(config-if)# exitRA(config)# router ripRA(config-router)# version 2RA(config-router)# no auto-summary

19、!封锁路由信息自动汇总功能RA(config-router)# network 210.29.193.0五、实训步骤五、实训步骤步骤2：配置路由器RB。RB(config)# router ripRB(config-router)# version 2RB(config-router)# no auto-summary !封锁路由信息自动汇总功能RB(config-router)#network 210.29.193.0 RB(config-router)#network 210.29.194.0 步骤3：调试 先在PC1、PC2上ping 210.29.194.1RB上的环回地址,再执行RA

20、# debug ip nat !查看地址翻译过程RA# show ip nat translations !查看NAT表9.4 实训2 配置动态NAT 一、实训目的掌握动态NAT的特征、配置及调试方法二、实训义务正确配置动态地址转换，使两台PC能访问Internet 三、实训环境Cisco路由器、安装网卡的PC及假设干 、有互联网支持 四、实训环境s0/0/0210.29.193.0 / 24PC1:192.168.1.1PC2:192.168.1.2192.168.1.0/24.254g0/0s0/0/0.1.2RARBLo0:210.29.194.1/24图9-4-1 静态NAT配置五、实

21、训步骤五、实训步骤 步骤1：配置路由器RA提供动态NAT效力。 RA(config)# ip nat pool NAT 210.29.193.3 210.29.193.254 netmask 255.255.255.0 !配置动态NAT转换的地址池，包括IP地址210.29.193.3-210.29.193.254 RA(config)# ip nat inside source list 1 pool NAT !配置动态NAT映射 RA(config)# access-list 1 permit 192.168.1.0 0.0.0.255 !允许动态NAT转换的内部地址范围 RA(confi

22、g)# interface g0/0 RA(config-if)# ip nat inside !把RA的g0接口配置成NAT的内部接口 RA(config-if)# exit RA(config)# interface s0/0/0 RA(config-if)# ip nat outside !把RA的s0/0/0接口配置成NAT的外部接口 RA(config-if)# exit RA(config)# router rip RA(config-router)# version 2 RA(config-router) # no auto-summary !封锁路由信息自动汇总功能 RA(co

23、nfig-router)#network 210.29.193.0五、实训步骤五、实训步骤步骤2：配置路由器RB。RB(config)# router ripRB(config-router)# version 2RB(config-router)# no auto-summaryRB(config-router)# network 210.29.193.0 RB(config-router)# network 210.29.194.0 步骤3：调试 先在PC1、PC2上ping 210.29.194.1RB上的环回地址和telnet 210.29.194.1,再执行。RA# debug ip

24、 nat !查看地址翻译过程RA# show ip nat translations !查看NAT表RA# show ip nat statistics !查看NAT转换的统计信息9.4 实训2 配置动态NAT 一、实训目的掌握NAPT的特征、配置及调试方法。二、实训义务正确配置NAPT地址转换，使两台PC能访问Internet 三、实训环境Cisco路由器、安装网卡的PC及假设干 、有互联网支持 四、实训环境s0/0/0210.29.193.0 / 24PC1:192.168.1.1PC2:192.168.1.2192.168.1.0/24.254g0/0s0/0/0.1.2RARBLo0:210.29.194.1/24图9-4-2 静态NAT配置五、实训步骤五、实训步骤 步骤1：配置路由器RA提供NAPT效力。 RA(config)# ip nat pool NAT 210.29.193.3 210.29.193.254 netmask 255.255.255.0 !配置动态NAT转换的地址池，包括IP地址210.29.193.3-210.29.193