地址转换原理及配置

1、All rights reserved地址转换原理及配置 All rights reservedPage 2学习完此课程，您将会：理解地址转换的基本原理掌握地址转换的配置方法All rights reservedPage 3地址转换的提出背景l地址转换是在IP地址日益短缺的情况下提出的。l一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。l地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。l地址转换可以按照用户的需要，在内部局域网内部提供给外部FTP、WWW、Te

2、lnet服务。All rights reservedPage 4私有地址和公有地址InternetLAN1LAN2LAN3私有地址范围：私有地址范围： - 55 - 55 - 55All rights reservedPage 5地址转换的原理Internet局域网PC2PC1IP:Port:3000IP 报文IP:Port:4000IP:192.168.0

3、.2Port:3010IP:Port:4001地址转换地址转换All rights reservedPage 6利用ACL控制地址转换l可以使用访问控制列表来决定哪些主机可以访问Internet，哪些不能。Internet局域网PC2PC1设置访问控制列表控制pc1可以通过地址转换访问Internet,而pc2则不行。All rights reservedPage 7地址转换的配置任务列表l指定路由器连接的内、外部接口（需要做NAT转换的接口）Router_config_f0/0 # ip nat inside | outsidel定义一个访问控制列表，规定什么样的主机可以访

4、问Internet。Router_config # ip access-list extended | standard acl-namel采用EASY IP（基于接口）或地址池方式提供公有地址。l根据选择的方式（地址池方式还是Easy IP方式），在全局配置模式下允许地址转换，并指定内、外网参数。l根据局域网的需要，定义合适的内部服务器。All rights reservedPage 8Easy IP 配置lEasy IP：在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。在全局配置模式下：Router_config#ip nat inside source list acl-na

5、me interface f0/0 overloadInternet局域网PC2PC1PC1 和 PC2 可以直接使用 F0/0接口的IP 地址作为地址转换后的公用IP地址F0/0：All rights reservedPage 9使用地址池进行地址转换l地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合，利用不超过32字节的字符串标识。l地址池可以支持更多的局域网用户同时上Internet。Internet局域网PC2PC1地址池All rights re

6、servedPage 10使用地址池进行地址转换配置l使用地址池进行地址转换配置：l定义地址池Router_config#ip nat pool pool-name l在全局配置模式下使用地址池进行地址转换Router_config#ip nat inside source list acl-name pool pool-name overloadAll rights reservedPage 11内部服务器的应用InternetR内部服务器外部用户E0Serial 0内部地址:内部端口:80外部地址

7、:外部端口:80IP:配置地址转换:IP地址:端口:8080允许外部用户访问内部服务器All rights reservedPage 12内部服务器配置l内部服务器配置命令格式ip nat inside source static protocol-type host-addr host-port global-addr global-port ip nat outside destination static global-addr host-addrl此例的配置ip nat inside source st

8、atic tcp 80 80ip nat outside destination static All rights reservedPage 13NAT的监控与维护l显示地址转换配置及统计信息Router_config# show ip nat translations host A.B.C.D | tcp |udp | icmp verbose Router# show ip nat statisticsl从NAT转换表中清除所有动态地址转换项Router_config# clear ip nat tra

9、nslationAll rights reservedPage 14地址转换的缺点l地址转换对于报文内容中含有有用的地址信息的情况很难处理。l地址转换不能处理IP报头加密的情况。l地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。All rights reservedPage 15第第1章章 访问控制列表访问控制列表第第2章章 地址转换地址转换All rights reservedPage 16典型访问列表和地址转换综合应用配置实例RInternetTelnet 服务器公司内部局域网F0/0：54S0：202.38.160.

10、1特定的外部用户All rights reservedPage 17配置步骤l按照实际情况具有以下几个步骤：定义扩展的访问控制列表在接口上应用访问控制列表指定地址转换的内/外侧接口利用访问控制列表定义地址转换，基于接口/地址池配置内部服务器的地址映射关系All rights reservedPage 18配置命令lRouter_config# ip access-list standard insideuserlRouter_config_std_nacl# permit 55lRouter_config# ip access

11、-list extended outsideuserlRouter_config_ext_nacl# permit tcp source destination eq telnet lRouter_config_ext_nacl# deny tcp source any destination eq telnetlRouter_config_ext_nacl# permit ip source any destination All rights reservedPage 19配置命令(续)lRo

12、uter_config# interface f 0/0lRouter_config_f0/0# ip address 54 lRouter_config_f0/0# ip nat insidelRouter_config# interface s 0lRouter_config_s0# ip address lRouter_config_s0# ip nat outsidelRouter_config_s0# ip access-group outsideuser inlRouter_config# ip nat inside source l