第3章 07路由器应用之NAT网络地址转换

NAT(NetworkAddressTranslator)

NAT解决的问题？

NAT技术能帮助解决令人头痛的IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。

NAT定义NAT(NetworkAddressTranslator)网络地址转换，即改变IP报文中的源或目的地址的一种处理方式；使一个局域网中的多台主机使用少数的合法地址访问外部资源，也可以按照要求设定内部的WWW、FTP、TELNET的服务提供给外部网络使用；有效的隐藏了内部局域网的主机IP地址，起到了安全保护的作用。NAT使用环境NAT使用的几种情况：A、连接到internet，但却没有足够的合法地址分配给内部主机。B、更改到一个需要重新分配地址的ISP。C、有相同的IP地址的两个internet合并。

NAT基本概念共有地址和私有地址私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址：

-55-55-55

NAT的基本工作原理NAT在系统中的位置

NAT的基本工作原理NAT基本工作原理（以出口NAT为例）

在IP层的出口处调用NAT

NAT的基本工作原理在IP层的入口出调用NATNAT技术的类型静态NAT(StaticNAT):设置起来最为简单和最容易,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。动态地址NAT(PooledNAT):在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAT技术的类型网络地址端口转换NAPT（Port－LevelNAT):把内部地址映射到外部网络的一个IP地址的不同端口上NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。注意NAT方式实例NAT方式

NPAT方式实例NPAT方式(0:1001-6:26)------>(00:12964-6:23)(:2001-7:25)(6:23-00:12964)------>(6:26-0:1001)(7:25-:2001)静态地址转换基本配置步骤（1）、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入：

Ip

natinsidesourcestatic内部本地地址外部合法地址（2）、指定连接网络的内部端口在端口设置状态下输入：

ip

natinside（3）、指定连接外部网络的外部端口在端口设置状态下输入：

ip

natoutside

某公司网络拓扑如图，现要实现静态NAT地址转换功能。将路由器的以太口作为内部端口，同步端口作为外部端口。其中，，的内部本地地址采用静态地址转换。其内部合法地址分别对应为。

配置实例InternetE0/1S0/1LANCurrentconfiguration：

interfaceEthernet0/1

ipaddress

ipnatinside

interfaceSerial1/0

ipaddress

ipnatoutsideIpnatinsidesourcestaticIpnatinsidesourcestaticIpnatinsidesourcestatic配置实例验证命令：showip

nat

statistcs

：显示翻译统计showip

nattranslations：显示活动翻译配置实例动态地址转换基本配置步骤（1）、在全局设置模式下，定义内部合法地址池

ip

natpool地址池名称起始IP地址终止IP地址子网掩码

其中地址池名称可以任意设定。（2）、在全局设置模式下，定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。

Access-list标号permit源地址通配符

其中标号为1-99之间的整数。（3）、在全局设置模式下，将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。

ip

natinsidesourcelist访问列表标号pool内部合法地址池名字（4）、指定与内部网络相连的内部端口在端口设置状态下：

ip

natinside（5）、指定与外部网络相连的外部端口

Ip

natoutside动态地址转换基本配置步骤实例2：本实例中硬件配置同上，运用了动态NAT地址转换功能。将2501的以太口作为内部端口，同步端口０作为外部端口。其中网段采用动态地址转换。对应内部合法地址为~0

Currentconfiguration：

ipnatpoolaaa0netmask

ipnatinsidesourcelist1poolaaa

interfaceEthernet1/0

ipaddress

ipnatinside

interfaceSerial1/0

ipaddress

ipnatoutside

iprouteSerial0

access-list1permit55

路由器选型基本原则1．路由器性能及冗余、稳定性2．路由器的接口类型3．路由器配置的端口数量4．路由器支持的标准协议及特性5．路由器管理方法的难易程度6．路由器的可扩展性习题1)访问控制列表配置中，操作符“gtportnumber”表示控制的是（

）

A.端口号小于此数字的服务

B.端口号大于此数字的服务

C.端口号等于此数字的服务

D.端口号不等于此数字的服务

2)某台路由器上配置了如下一条访问列表access-list4deny55access-list4permit55表示：（

）

A.禁止源地址为网段的所有访问

B.只允许目的地址为网段的所有访问

C.检查源IP地址，禁止大网段的主机，但允许其中的小网段上的主机

D.检查目的IP地址，禁止大网段的主机，但允许其中的小网段的主机

习题对防火墙如下配置：

firwellenable

端口配置如下

interfaceSerial0

ipaddress

encapsulationppp

natenable

interfaceEthernet0

ipaddress

公司的内部网络接在Ethernet0，在Serial0通过地址转换访问Internet。如果想禁止公司内部所有主机访问/16的网段，但是可以访问其它站点。如下的配置可以达到要求的是：（

）A.access-list1deny55在Serial0口：access-group1in

B.access