计算机安全nat详解动态配置

1、动态 NAT 配置本部分包括以下内容：动态NAT 的配置动态NAPT 的配置接口动态NAPT 的配置网络地址转换(NAT)用于把一个IP 地址转换为另一个 IP 地址。NAT 的一些术语：1、本地地址(Inside Local Address)指本网络主机的IP 地址。该地址通常是未的私有 IP 地址。2、全局地址(Inside Global Address)指本地地址在外部网络的IP 地址。它通常是的合法IP 地址，是 NAT 对本地地址转换后的结果。3、外部本地地址(Outside Local Address)指外部网络的主机在网络中表现的IP 地址。 4、外部全局地址(Outside G

2、lobal Address) 指外部网络主机的IP 地址。5、源地址NAT把 Inside Local Address 转换为 Inside Global Address。这也是通常所说的NAT。在数据报送往时，它把主机的私有IP 地址转换为的合法IP 地址，在数据报送入内网时，把地址转换为的私有IP 地址。6、外部源地址NAT把 Outside Global Address 转换为 Outside Local Address。这种转换只是在地址和外部地址发生时使用。7、NAPTNAPT 又称port NAT 或PAT，它是通过端口复用技术，让一个全局地址对应多个本地地址，以节省对合法地址的使

3、用量。本部分只源地址的动态NAT 和动态NAPT 的配置。动态 NAT 的配置这里指的是源地址的动态NAT 的配置。它有以下特征：1、本地地址和全局地址是一对一。2、动态NAT 是临时的，如果过了一段时间没有使用，关系就会删除。动态需要把合法地址组建成一个地址池，当内网的客户机时，从地址池中取出一个地址为它建立NAT，这个关系会一直保持到会话结束。动态 NAT 的配置：Ruijie(config)#ip nat pool pool-name start-address end-addreetmask subnet-mask这个命令用于定义一个IP 地址池，pool-name 是地址池的名字，s

4、tart-address 是起始地址，end-address 是结束地址，subnet-mask 是子网掩码。地址池中的地址是供转换的全局地址，通常是的合法地址。Ruijie(config)#acs-list acs-list-numbermit address wildcard-mask这个命令定义了一个控制列表，acs-list-number 是表号，address 是地址，wildcard-mask 是通配符掩码。它的作用是限定本地地址的格式，只有和这个列表匹配的地址才会进行 NAT 转换。Ruijie(config)#ip nat inside source list acs-list

5、-numbool pool-name这个命令定义了动态Ns-list-number 是列表的表号，pool-name 是地址池的名字。它表示把和列表匹配的本地地址，用地址池中的地址建立NAT。Ruijie(config)#erfaceerface-idRuijie(config-if)#ip nat inside以上命令指定了网络的接口。 Ruijie(config-if)#erfaceerface-id Ruijie(config-if)#ip nat outside以上命令指定了网络的外部接口。你可以配置多个 Inside 和 Outside 接口。配置举例：Ruijieenable Ru

6、ijie#configure terminalRuijie(config)#ip nat pool np 200.10.10.6 200.10.10.15 netmask 255.255.255.0Ruijie(config)#acs-list 1 permit 192.168.10.0 0.0.0.255Ruijie(config)#acs-list 1 permit 192.168.20.0 0.0.0.255 Ruijie(config)#ip nat inside source list 1 pool np Ruijie(config)#erface f0/0Ruijie(config

7、-if)#ip address 192.168.1.1 255.255.255.0Ruijie(config-if)#ip nat inside Ruijie(config-if)#no shutdown Ruijie(config-if)#erfa1/0Ruijie(config-if)#ip address 199.1.1.2 255.255.255.0Ruijie(config-if)#ip nat outsideRuijie(config-if)#no shutdownRuijie(config-if)#endRuijie#本例把合法地址组建为一个地址池，地址范围是 200.10.10

8、.6200.10.10.15，内网中客户机的地址都是 192.168.10.*和 192.168.20.*的格式，当这种地址射。时，会用地址池中的地址建立 NAT 映说明：列表的定义不要太宽，应尽量准确，否则可能会出现不可预知的结果。动态 NAPT 的配置动态NAPT 可以使一个它有以下特征：本地地址相对应，从而可以节省合法 IP 地址的使用量。全局地址和多个1、一个本地地址建立，用IP 地址+端全局地址可以和多个区分各个地址。（锐捷路由器中每个全局地址最多可提供 64512 个NAT 地址转换）2、动态NAPT 是临时的，如果过了一段时间没有使用，关系就会删除。3、动态NAPT 可以只使用一

9、个合法地址为所有本地地址建立，但数量是有限的，如果用多个合法地址组建成一个地址池，每个地址都能塞。多个本地地址，则可减少因地址耗尽导致的网络拥动态NAPT 的配置与动态NAT 基本上相同，只是在 NAT 定义中，需要加上 overload 关键字：Ruijie(config)#ip nat inside source list acs-list-numbool pool-name overload这个命令定义了动态NAPT，acs-list-number 是列表的表号，pool-name 是地址池的名字。它表示把和列表匹配的本地地址，用地址池中的地址建立NAPT复用。overload 关键字表

10、示启用端口加上 overload 关键字后，系统首先会使用地址池中的第一个地址为多个数量达到极限时，再使用第二个地址。本地地址建立，当配置举例：Ruijieenable Ruijie#configure terminalRuijie(config)#ip nat pool np 200.10.10.6 200.10.10.15 netmask 255.255.255.0Ruijie(config)#acs-list 1 permit 192.168.10.0 0.0.0.255Ruijie(config)#ip nat inside source list 1 pool np overload

11、Ruijie(config)#erface f0/0Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0Ruijie(config-if)#ip nat insideRuijie(config-if)#no shutdownRuijie(config-if)#erfa1/0Ruijie(config-if)#ip address 199.1.1.2 255.255.255.0Ruijie(config-if)#ip nat outsideRuijie(config-if)#no shutdownRuijie(config-if)#endR

12、uijie#本例把合法地址组建为一个地址池，地址范围是 200.10.10.6200.10.10.15，内网中客户机的地址都是 192.168.10.*的格式，当这种地址时，会用地址池中的地址建立NAPT。接口动态 NAPT 的配置你可以使用outside 接口的IP 地址作为唯一的全局地址为所有本地地址提供，它可看作动态NAPT 的特例。接口动态 NAPT 的配置：Ruijie(config)#acs-list acs-list-numbermit address wildcard-mask这个命令定义了一个控制列表，acs-list-number 是表号，address 是地址，wildc

13、ard-mask 是通配符掩码。它的作用是限定本地地址的格式，只有和这个列表匹配的地址才会进行 NAT 转换。Ruijie(config)#ip nat inside sourcelist acs-list-numbererfaceerface-id overload这个命令定义了动态NAPT，acs-list-number 是列表的表号， erfaceerface-id 指定了全局地址所在的接口，一般是outside 接口。它表示和列表匹配的本地地址，都用该接口的 IP地址建立NAPT。overload 关键字表示启用端口复用。Ruijie(config)#erfaceerface-idRu

14、ijie(config-if)#ip nat inside以上命令指定了网络的接口。 Ruijie(config-if)#erfaceerface-id Ruijie(config-if)#ip nat outside以上命令指定了网络的外部接口。从以上配置可以看出，配置接口动态NAPT 时可以不配址池。在接口动态NAPT 的配置中，只是指定了时使用哪个接口的 IP 地址，当该接口的 IP 地址改变时，不需要重新定义。配置举例：Ruijieenable Ruijie#configure terminalRuijie(config)#acs-list 1 permit 192.168.10.0 0.0.0.255 Ruijie(config)#ip nat inside source list 1erfa1/0 overload Ruijie(config)#erface f0/0Ruijie(config-if)#ip address 192.168.1.1 255.255.255.0Ruijie(config-if)#ip nat inside Ruijie(config-if)#no shutdown Ruijie(config