CCNA培训教学课件：15-NAT

NAT(网络地址转换)SPOTOKMS为什么需要NATIPv4地址紧缺私有地址Internet公有地址IP:8.8.8.8什么是NATNAT(NetworkAddressTranslation)私有地址Internet公有地址IP:8.8.8.8私有IPv4地址私有地址空间10.0.0.0-10.255.255.255

172.16.0.0-172.31.255.255

192.168.0.0-192.168.255.255NAT术语内部本地转换之前内部源地址的名字外部本地转换之前目标主机的名字内部全局转换之后内部主机的名字外部全局转换之后外部目标主机的名字内部本地Internet内部全局外部全局外部本地insideoutsideoutsideinsideNAT三种类型1静态NAT将内部本地地址与内部全局地址进行一对一的明确转换。这种方法主要用在内部网络中有对外提供服务的服务器，如WEB、MAIL服务器时。该方法的缺点是需要独占宝贵的合法IP地址。即，如果某个合法IP地址已经被NAT静态地址转换定义，即使该地址当前没有被使用，也不能被用作其它的地址转换。NAT三种类型1静态NAT192.168.1.1SA192.168.1.1DA56.101.200.1SA202.101.100.1DA56.101.200.1InsideLocaladdressInsideGlobalAddress192.168.1.1202.101.100.156.101.200.1insideNAT三种类型2动态NAT动态地址转换也是将内部本地地址与内部全局地址进行一对一的转换。但是，是从内部全局地址池中动态地选择一个未使用的地址对内部本地地址进行转换。该地址是由未被使用的地址组成的地址池中在定义时排在最前面的一个。当数据传输完毕后，路由器将把使用完的内部全局地址放回到地址池中，以供其它内部本地地址进行转换。但是在该地址被使用时，不能用该地址再进行一次转换。NAT三种类型2动态NAT192.168.1.1SA192.168.1.1DA56.101.200.1SA202.101.100.1DA56.101.200.1InsideLocaladdressInsideGlobalAddress192.168.1.1202.101.100.156.101.200.1ipnatpoolxx202.101.100.1–202.101.100.10insideNAT三种类型3端口复用复用地址转换也称为端口地址转换（PortAddressTranslation，PAT），首先是一种动态地址转换。路由器将通过记录地址、应用程序端口等唯一标识一个转换。通过这种转换，可以使多个内部本地地址同时与同一个内部全局地址进行转换并对外部网络进行访问。对于只申请到少量IP地址甚至只有一个合法IP地址，却经常有很多用户同时要求上网的情况，这种转换方式非常有用理想状况下，一个单一的IP地址可以使用的端口数为4000个NAT三种类型3端口复用192.168.1.1SA192.168.1.1:1723DA56.101.200.1:23SA202.101.100.1:1723DA56.101.200.1:23InsideLocalAddressPortInsideGlobalAddressPortOutsideGlobalAddressPort192.168.1.1:1723202.101.100.1:172356.101.200.1:2356.101.200.1insideEstablishesstatictranslationbetweenaninsidelocaladdressandan

insideglobaladdressRouter(config)#ipnatinsidesourcestaticlocal-ipglobal-ipMarkstheinterfaceasconnectedtotheinsideRouter(config-if)#ipnatinsideMarkstheinterfaceasconnectedtotheoutsideRouter(config-if)#ipnatoutsideDisplaysactivetranslationsRouter#showipnattranslations配置静态NAT转换配置静态NAT转换192.168.1.1SA192.168.1.1SA202.101.100.1InsideF0/0Internetipnatinsidesourcestatic192.168.1.1202.101.100.1interfaces1/0ipnatoutsideinterfacef0/0ipnatinsideRouter#showipnattranslations

ProInsideglobalInsidelocalOutsidelocalOutsideglobal

---202.101.100.1

192.168.1.1------S1/0建立动态转换源和ACL匹配网段的关联Router(config)#ipnatinsidesourcelistaccess-list-numberpoolname定义一个地址池Router(config)#ipnatpoolnamestart-ipend-ip

{netmasknetmask|prefix-lengthprefix-length}使用ACL匹配需要配转换的网段Router(config)#access-listaccess-list-numberpermitsource[source-wildcard]显示转换表Router#showipnattranslations配置动态NAT转换配置动态NAT转换192.168.1.1SA192.168.1.1SA202.101.100.1InsideF0/0Internetipnatpoolnat1202.101.100.1202.101.100.10netmask255.255.255.0access-list1permit192.168.1.00.0.0.255ipnatinsidesourcelist1poolnat1interfaces1/0ipnatoutsideinterfacef0/0ipnatinsideRouter#showipnattranslations

ProInsideglobal

Insidelocal

OutsidelocalOutsideglobal

---171.69.233.209192.168.1.100------S1/0pool配置PAT地址转换(Overloading)Establishesdynamicsourcetranslation,specifyingtheACLthatwas

definedinthepreviousstepRouter(config)#ipnatinsidesourcelist

access-list-numberinterfaceinterfaceoverloadDefinesastandardIPACLthatwillpermittheinsidelocaladdresses

thataretobetranslatedRouter(config)#access-listaccess-list-numberpermit

sourcesource-wildcardDisplaysactivetranslationsRouter#showipnattranslations配置PAT地址转换(Overloading)Interfacef0/0ipnatinsideinterfaceSerial1/0ipnatoutsideipnatinsidesourcelist1interfaceSerial1/0overload!iproute0.0.0.00.0.0.0Serial0!access-list1permit192.168.1.00.0.0.255Router#showipnattranslations

ProInsideglobalInsidelocalOutsidelocalOutsideglobal

TCP172.17.38.1:1050192.168.1.1:1050211.21.12.1:23211.21.12.1:23192.168.1.1InsideF0/0InternetS1/0Clearsasimpledynamictranslationentrythatcontainsaninside

translationorbothaninsideandoutsidetranslation

Router#clearipnattranslationinsideglobal-ip

local-ip[outsidelocal-ipglobal-ip]ClearsalldynamicaddresstranslationentriesRouter#clearipnattranslation*Clearsasimpledynamictranslationentrythatcontainsanoutside

translationRouter#clearipnattranslati