《路由交换技术与应用》课件第33章

33.1NAT的配置方法33.2NAT的监控和维护小结第33章网络地址转换NAT配置

主要内容：

静态NAT的配置方法

动态NAT的配置方法

端口NAT的地址转换

NAT的配置方法包含静态配置与动态配置两种方式。

静态方式用手工配置一对一的指定转换关系。内部网络对外提供Internet网络服务，必须采用静态配置方式。静态方式并没有起到节约公网地址的作用。

动态配置方式由路由器自动建立转换关系，需要使用访问控制列表来决定哪些主机地址可以被转换，哪些不能被转换。需要在路由器上定义公网地址池与ACL。33.1NAT的配置方法在动态配置方式中还有一种overload方式，即多个内部地址映射到一个外部地址上去，这是通过建立内部地址、内部地址的端口号和外部地址、外部地址的端口号，建立一一映射来实现的。33.1.1静态NAT的配置方法

假设在路由器上要配置静态NAT，将内部地址10.1.1.1转换成外部地址179.16.2.2。接口fei_1/1是连接内部网络的接口，地址是10.1.1.10；接口Serial_2/1是连接外部网络的接口，地址是179.16.2.1。配置步骤如下：

(1)在全局配置模式下配置ipnatstart，启动NAT功能。

(2)配置静态NAT转换规则，将内部主机10.1.1.1发出的数据包中的源地址转换为179.16.2.2发送到外部网络。

ipnatinsidesourcestatic10.1.1.1179.16.2.2

(3)进入接口配置模式，配置IP地址，指定此接口为NAT的内部接口。

interfacefei_1/1

ipaddress10.1.1.10255.255.255.0

ipnatinside

(4)进入另一个接口的配置模式，配置IP地址，指定此接口为NAT的外部接口。

interfaceSerial_2/1

ipaddress179.16.2.1255.255.255.0

ipnatoutside33.1.2动态NAT的配置方法

假设我们需要将从10.0.0.0/8网段发出的数据包动态映射到外部地址段199.168.2.2-199.168.2.254/24。接口fei_1/1是连接内部网络的接口，地址是10.1.1.10；接口Serial_2/1是连接外部网络的接口，地址是179.16.2.1。配置步骤如下：

(1)在全局配置模式下配置ipnatstart，启动NAT功能。

(2)配置名为dyn-nat的地址池，将合法外部地址段199.168.2.2～199.168.2.254加入地址池。

ipnatpooldyn-nat199.168.2.2199.168.2.254prefix-length24

(3)配置标准ACL，列表号为1，匹配从源地址网段10.0.0.0/8发出的数据包。

access-list1permit10.1.1.00.0.0.255

(4)配置NAT转换语句，将内网的符合ACL1的数据包的源地址转换为地址池dyn-nat中的地址。

ipnatinsidesourcelist1pooldyn-nat

(5)进入接口配置模式，配置IP地址，指定此接口为NAT的内部接口。

interfacefei_1/1

ipaddress10.1.1.10255.255.255.0

ipnatinside

(6)进入另一个接口的配置模式，配置IP地址，指定此接口为NAT的外部接口。

interfaceSerial_2/1

ipaddress199.168.2.1255.255.255.0

ipnatoutside33.1.3动态NAT(overload)的配置方法

动态NAT(overload)的配置不再是一个内部IP地址动态地对应一个外部地址，而是多个内部地址可以同时对应一个外部地址，通过端口号区分不同的内部地址。配置步骤与前述动态NAT的配置过程一致，只是在NAT转换规则语句上加上参数overload，启动一对多的转换方式。即在下面这条语句后面加上overload这个关键字。启用overload的动态NAT，是我们平时使用比较广泛的地址转换方式。33.1.4PAT的配置方法

当一个公司或组织没有获得合法外部地址段时，可使用PAT(端口地址转换)将内部主机地址转换为路由器WAN接口上的合法外部地址，对外进行访问。

PAT可使没有分配合法外部地址的网络中的内部主机利用一个路由器外连接口上的合法外部IP地址进行地址转换，提供内部主机对Internet的访问能力，最大限度节省IP地址资源。假设我们要将内部地址10.0.0.0/8映射到路由器的外连接口地址199.168.2.2上面去，其配置步骤如下：

(1)在全局配置模式下配置ipnatstart，启动NAT功能。

(2)配置只包含一个地址(路由器外连接口的地址)的地址池，地址池的名字为test-pool。

(zxr10-config)#ipnatpooltest-pool199.168.2.2199.168.2.2prefix-length24

(3)配置NAT转换语句，将内网的符合ACL1的数据包的源地址转换为地址池test-pool中的地址。注意由于是一对多的对应关系，必须使用参数overload。

(zxr10-config)#ipnatinsidesourcelist1pooltest-pooloverload

(4)配置标准ACL，列表号为1，匹配从源地址网段10.0.0.0/8发出的数据包：

(zxr10-config)#access-list1permit10.0.0.00.0.0.255

(5)需要在接口配置模式下配置NAT的内部及外部接口，分别对应内网与外网。

使用以下命令来显示NAT的配置信息：

(1)显示地址转换配置：

showipnattranslations

(2)设置地址转换连接有效时间：

ipnattranslationtimeoutclassatime-value33.2NAT的监控和维护

(3)显示NAT的统计数据：

showipnatstatistics

(4)

NAT的诊断和调试：

Debugipnat其中对NAT地址转换连接有效时间进行设定时要注意：如果此时间设置过大，则可能导致通信结束后很长时间还占用着合法IP地址或端口号，当有其他内部主机试图对外访问时可能没有可用的合法IP地址或端口号资源而无法与外界通信；而如果