NAT學(xué)習(xí)總結(jié).doc

網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單，NAT不僅完美地解決了lP地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。 雖然NAT可以借助于某些代理服務(wù)器來(lái)實(shí)現(xiàn)，但考慮到運(yùn)算成本和網(wǎng)絡(luò)性能，很多時(shí)候都是在路由器上來(lái)實(shí)現(xiàn)的。 隨著接入Internet的計(jì)算機(jī)數(shù)量的不斷猛增，IP地址資源也就愈加顯得捉襟見肘。事實(shí)上，除了中國(guó)教育和科研計(jì)算機(jī)網(wǎng)(CERNET)外，一般用戶幾乎申請(qǐng)不到整段的C類IP地址。在其他ISP那里，即使是擁有幾百臺(tái)計(jì)算機(jī)的大型局域網(wǎng)用戶，當(dāng)他們申請(qǐng)IP地址時(shí)，所分配的地址也不過(guò)只有幾個(gè)或十幾個(gè)IP地址。顯然，這樣少的IP地址根本無(wú)法滿足網(wǎng)絡(luò)用戶的需求，于是也就產(chǎn)生了NAT技術(shù)。l.NAT簡(jiǎn)介借助于NAT，私有(保留)地址的內(nèi)部網(wǎng)絡(luò)通過(guò)路由器發(fā)送數(shù)據(jù)包時(shí)，私有地址被轉(zhuǎn)換成合法的IP地址，一個(gè)局域網(wǎng)只需使用少量IP地址(甚至是1個(gè))即可實(shí)現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)與Internet的通信需求。 NAT將自動(dòng)修改IP報(bào)文頭申的源IP地址和目的IP地址，Ip地址校驗(yàn)則在NAT處理過(guò)程中自動(dòng)完成。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報(bào)文的數(shù)據(jù)部分中，所以還需要同時(shí)對(duì)報(bào)文進(jìn)行修改，以匹配IP頭中已經(jīng)修改過(guò)的源IP地址。否則，在報(bào)文數(shù)據(jù)都分別嵌入IP地址的應(yīng)用程序就不能正常工作。2.NAT實(shí)現(xiàn)方式 NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動(dòng)態(tài)轉(zhuǎn)換Dynamic Nat 和 端口多路復(fù)用OverLoad。 靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，是一成不變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問(wèn)。 動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址對(duì)是不確定的，而是隨機(jī)的，所有被授權(quán)訪問(wèn)上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說(shuō)，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)。可以采用動(dòng)態(tài)轉(zhuǎn)換的方式。 端口多路復(fù)用是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，Port Address Translation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問(wèn)，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來(lái)自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。3.網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的實(shí)現(xiàn)在配置網(wǎng)絡(luò)地址轉(zhuǎn)換的過(guò)程之前，首先必須搞清楚內(nèi)部接口和外部接口，以及在哪個(gè)外部接口上啟用NAT。通常情況下，連接到用戶內(nèi)部網(wǎng)絡(luò)的接口是NAT內(nèi)部接口，而連接到外部網(wǎng)絡(luò)(如Internet)的接口是NAT外部接口。 1).靜態(tài)地址轉(zhuǎn)換的實(shí)現(xiàn) 假設(shè)內(nèi)部局域網(wǎng)使用的lP地址段為54，路由器局域網(wǎng)端(即默認(rèn)網(wǎng)關(guān))的IP地址為，子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為2835，路由器在廣域網(wǎng)中的IP地址為29，子網(wǎng)掩碼為48可用于轉(zhuǎn)換的IP地址范圍為3034。要求將內(nèi)部網(wǎng)止分別轉(zhuǎn)換為合法IP地址3034。 第一步，設(shè)置外部端口。 interface serial 0 ip address 55.248 ip nat outside 第二步，設(shè)置內(nèi)部端口。 interface ethernet 0 ip address . ip nat inside 第三步，在內(nèi)部本地與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。 ip nat inside source static 內(nèi)部本地地址內(nèi)部合法地址 示例： ip nat inside source static 30/將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為合法IP地址30 ip nat inside source static 31/將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為合法IP地址31 ip nat inside source static 32/將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為合法IP地址32 ip nat inside source static 33/將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為合法IP地址33 ip nat inside source static 34/將內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換為合法IP地址34 至此，靜態(tài)地址轉(zhuǎn)換配置完畢。 2).動(dòng)態(tài)地址轉(zhuǎn)換的實(shí)現(xiàn) 假設(shè)內(nèi)部網(wǎng)絡(luò)使用的IP地址段為54,路由器局域網(wǎng)端口（即默認(rèn)網(wǎng)關(guān)）的IP地址為,子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為2891，路由器在廣域網(wǎng)中的IP地址為29,子網(wǎng)掩碼為92,可用于轉(zhuǎn)換的IP地址范圍為3090。要求將內(nèi)部網(wǎng)址54動(dòng)態(tài)轉(zhuǎn)換為合法IP地址3090。 第一步，設(shè)置外部端口。 設(shè)置外部端口命令的語(yǔ)法如下： ip nat outside 示例： interface serial 0/進(jìn)入串行端口serial 0 ip address 29 255.255.248/將其IP地址指定為29,子網(wǎng)掩碼為48 ip nat outside /將串行口serial 0設(shè)置為外網(wǎng)端口 注意，可以定義多個(gè)外部端口。 第二步，設(shè)置內(nèi)部端口。 設(shè)置內(nèi)部接口命令的語(yǔ)法如下： ip nat inside 示例： interface ethernet 0 /進(jìn)入以太網(wǎng)端口Ethernet 0 ip address / 將其IP地址指定為,子網(wǎng)掩碼為 ip nat inside /將Ethernet 0 設(shè)置為內(nèi)網(wǎng)端口。 注意，可以定義多個(gè)內(nèi)部端口。 第三步，定義合法IP地址池。 定義合法IP地址池命令的語(yǔ)法如下： ip nat pool 地址池名稱 起始IP地址 終止IP地址 子網(wǎng)掩碼 其中，地址池名字可以任意設(shè)定。 示例： ip nat pool net 30 90 netmask 92/指明地址緩沖池的名稱為net,IP地址范圍為3090,子網(wǎng)掩碼為92。需要注意的是，即使掩碼為，也會(huì)由起始IP地址和終止IP地址對(duì)IP地址池進(jìn)行限制。 或ip nat pool test 30 90 prefix-length 26 注意，如果有多個(gè)合法IP地址范圍，可以分別添加。例如，如果還有一段合法IP地址范圍為54，那么，可以再通過(guò)下述命令將其添加至緩沖池中。 ip nat pool cernet 54 netmask 或 ip nat pool test 54 prefix-length 24 第四步，定義內(nèi)部網(wǎng)絡(luò)中允許訪問(wèn)Internet的訪問(wèn)列表。 定義內(nèi)部訪問(wèn)列表命令的語(yǔ)法如下： access-listl 標(biāo)號(hào) permit 源地址 通配符（其中，標(biāo)號(hào)為199之間的整數(shù)） access-listl permit 55 /允許訪問(wèn)Internet的網(wǎng)段為55，主機(jī)掩碼為55。需要注意的是，在這里采用的是主機(jī)掩碼，而非子網(wǎng)掩碼。子網(wǎng)掩碼與主機(jī)掩碼的關(guān)系為：主機(jī)掩碼+子網(wǎng)掩碼=55。例如，子網(wǎng)掩碼為，則主機(jī)掩碼為55；子網(wǎng)掩碼為,則主機(jī)掩碼為55;子網(wǎng)掩碼為,則主機(jī)掩碼為55;子網(wǎng)掩碼為92，剛主機(jī)掩碼為 3。 另外，如果想將多個(gè)IP地址段轉(zhuǎn)換為合法IP地址，可以添加多個(gè)訪問(wèn)列表。例如，當(dāng)欲將55和55轉(zhuǎn)換為合法IP地址時(shí)，應(yīng)當(dāng)添加下述命令： access-list2 permit 55 access-list2 permit 55 第五步，實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換。 在全局設(shè)置模式下，將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進(jìn)行地址轉(zhuǎn)換。命令語(yǔ)法如下： ip nat inside source list 訪問(wèn)列表標(biāo)號(hào) pool 內(nèi)部合法地址池名字 示例： ip nat inside source list 1 pool chinanet 如果有多個(gè)內(nèi)部訪問(wèn)列表，可以一一添加，以實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換，如 ip nat insde source list 2 pool chinanet ip nat insde source list 2 pool chinanet 如果有多個(gè)地址池，也可以一一添加，以增加合法地址池范圍，如 ip nat insde source list 2 pool cernet ip nat insde source list 2 pool cernet ip nat insde source list 2 pool cernet 至此，動(dòng)態(tài)地址轉(zhuǎn)換設(shè)置完畢。 3).端口復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換 內(nèi)部網(wǎng)絡(luò)使用的IP地址段為54,路由器局域網(wǎng)端口（即默認(rèn)網(wǎng)關(guān)）的IP地址為，子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為,路由器廣域網(wǎng)中的IP地址為,子網(wǎng)掩碼為52，可用于轉(zhuǎn)換的IP地址為。要求將內(nèi)部網(wǎng)址54 轉(zhuǎn)換為合法IP地址。 第一步，設(shè)置外部端口。 interface serial 0 ip address 52 in nat outside 第二步，設(shè)置內(nèi)部端口。 interface ethernet 0 ?ip address ?ip nat inside 第三步，定義合法IP地址池。 in nat pool onlyone netmask 52 / 指明地址緩沖池的名稱為onlyone,IP地址范圍為,子網(wǎng)掩碼為52。由于本例只有一個(gè)IP地址可用，所以，起始IP地址與終止IP地址均為。如果有多個(gè)IP地址，則應(yīng)當(dāng)分別鍵入起止的IP直址。 第四步，定義內(nèi)部訪問(wèn)列。 access-list 1 permit 55 允許訪問(wèn)Internetr的網(wǎng)段為55，子網(wǎng)掩碼為。需要注意的是，在這里子網(wǎng)掩碼的順序跟平常所寫的順序相反，即55。 第五步，設(shè)置復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換。 在全局設(shè)置模式下，設(shè)置在內(nèi)部的本地地址與內(nèi)部合法IP地址間建立復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換。命令語(yǔ)法如下： ip nat inside source list訪問(wèn)列表號(hào)pool內(nèi)部合法地址池名字overload 示例： ip nat inside source list1 pool onlyone overload /以端口復(fù)用方式，將訪問(wèn)列表1中的私有IP地址轉(zhuǎn)換為onlyone IP地址池中定義的合法IP地址。 至此，端口復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換完成。 編輯本段網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)-實(shí)例示例一：全部采用端口復(fù)用地址轉(zhuǎn)換 當(dāng)ISP分配的IP地址數(shù)量很少，網(wǎng)絡(luò)又沒(méi)有其他特殊需求，即無(wú)需為Internet提供網(wǎng)絡(luò)服務(wù)時(shí)，可采用端口利用地址轉(zhuǎn)換方式，使網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)采用同一IP地址訪問(wèn)Internet，在節(jié)約IP地址資源的同時(shí)，又可有效保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。 網(wǎng)絡(luò)環(huán)境為： 局域網(wǎng)采用10Mb/s光纖，以城域網(wǎng)方式接入Internet，如圖4-2-2所示。路由器選用擁有2個(gè)10/100 Mb/s自適應(yīng)端口的Cisco 2611。內(nèi)部網(wǎng)絡(luò)使用的IP地址段為192.101.254，局域網(wǎng)端口Ethernet 0的IP地址為,子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為2831,連接ISP的端口Ethernet 1的IP地址為29,子網(wǎng)掩碼為52?？捎糜谵D(zhuǎn)換的IP地址為30。要求網(wǎng)絡(luò)內(nèi)部的所有計(jì)算機(jī)均可訪問(wèn)Internet。 案例分析： 既然只有一個(gè)可用的合法IP地址，同時(shí)處于局域網(wǎng)的服務(wù)器又只為局域網(wǎng)提供服務(wù)，而不允許Internet中的主機(jī)對(duì)其訪問(wèn)，因此完全可以采用端口復(fù)用地址轉(zhuǎn)換方式實(shí)現(xiàn)NAT，使得網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)均可獨(dú)立訪問(wèn)Internet。 配置清單： interface fastethernet0/0 ip address /定義本地端口IP地址 duplex auto speed auto ip nat inside / 定義為本地端口 ! interface fastethernet0/1 ip address 29 52 duplx auto speed auto ip nat outside ! ip nat pool onlyone 30 30 netmadk 52 /定義合法IP地址池，名稱為onlyone access-list 1 permit 55 /定義本地訪問(wèn)列表 access-list 1 permit 55 ip nat inside source list1 pool onlyone overload /采用端口復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換 示例二：動(dòng)態(tài)地址+端口復(fù)用地址轉(zhuǎn)換 許多FTP網(wǎng)站考慮到服務(wù)器性能和Internet連接帶寬的占用問(wèn)題，都限制同一IP地址的多個(gè)進(jìn)程訪問(wèn)。如果采用端口復(fù)地址轉(zhuǎn)換方式，則網(wǎng)絡(luò)內(nèi)的所以計(jì)算機(jī)都采用同一IP地址訪問(wèn)Internet,那么，將因此而被禁止對(duì)該網(wǎng)站的訪問(wèn)。所以，當(dāng)提供的合法IP地址數(shù)量稍多時(shí)，可同時(shí)采用端口復(fù)用和動(dòng)態(tài)地址轉(zhuǎn)換方式，從而既可保證所有用戶都能夠獲得訪問(wèn)Internet的權(quán)力，同時(shí)，又不致、某些計(jì)算機(jī)因使用同一IP地址而被限制權(quán)限。需要注意的是，由于所有計(jì)算機(jī)都采用動(dòng)態(tài)地址轉(zhuǎn)換方式，因此Internet中的所有計(jì)算機(jī)將無(wú)法實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)部服務(wù)器的訪問(wèn)。 網(wǎng)絡(luò)環(huán)境： 局域網(wǎng)以2Mb/s DNA專線接入Internet，路由器選用安裝了廣域網(wǎng)模塊的Cisco 2611,如圖4-2-2所示。內(nèi)部網(wǎng)絡(luò)使用的IP地址段為54,局域網(wǎng)端口Ethernet 0的IP地址為,子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為2829,子網(wǎng)掩碼為92,可用于轉(zhuǎn)換的IP地址范圍為3090。要求網(wǎng)絡(luò)部分的部分計(jì)算機(jī)可以不受任何限制地訪問(wèn)Internet，服務(wù)器無(wú)需提供Internet訪問(wèn)服務(wù)。 案例分析： 既然要求網(wǎng)絡(luò)中的部分計(jì)算機(jī)可以不受任何限制地訪問(wèn)Internet,同時(shí)，服務(wù)器無(wú)需提供Internet訪問(wèn)服務(wù)，那么，只需采用動(dòng)態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換方式即可實(shí)現(xiàn)。部分有特殊需求的計(jì)算機(jī)采用動(dòng)態(tài)地址轉(zhuǎn)換的NAT方式，其他計(jì)算機(jī)則采用端口復(fù)用地址轉(zhuǎn)換的NAT方式。因此，部分有特殊需求的計(jì)算機(jī)可采用內(nèi)部網(wǎng)址54，并動(dòng)態(tài)轉(zhuǎn)換為合法地址3089，其他計(jì)算機(jī)采用內(nèi)部網(wǎng)址54,全部轉(zhuǎn)換為90。 配置清單： interface fastethernet0/1 ip address /定義局域網(wǎng)端口IP地址 duplex auto speed auto ip nat inside /定義為局域端口 ! interface serial 0/0 ip address 29 92 /定義廣域網(wǎng)端口IP地址 ! duplex auto speed auto ip nat outside /定義為廣域端口 ! ip nat pool public 30 90 netmask 92 /定義合法IP地址池，名稱為public ip nat pool super 30 89 netmask 92 /定義合法IP地址池，名稱為super ip nat inside source list1 pool super /定義列表達(dá)1采用動(dòng)態(tài)地址轉(zhuǎn)換 ip nat inside source list2 pool public overload? /定義列表2采用端口復(fù)用地址轉(zhuǎn)換 access-list1 permit 55 /定義本地訪問(wèn)列表1 access-list2 permit 55 /定義本地訪問(wèn)列表2 access-list2 permit 55 示例三：靜態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換 其實(shí)在很多時(shí)候，網(wǎng)絡(luò)中的服務(wù)器既為網(wǎng)絡(luò)內(nèi)部的客戶提供網(wǎng)絡(luò)服務(wù)，又同時(shí)為Internet中的用戶提供訪問(wèn)服務(wù)。因此，如果采用端口復(fù)用地址轉(zhuǎn)換或動(dòng)態(tài)地址轉(zhuǎn)換，將由于無(wú)法確定服務(wù)器的IP地址，而導(dǎo)致Internet用戶無(wú)法實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)部服務(wù)器的訪問(wèn)。此時(shí)，就應(yīng)當(dāng)采用靜態(tài)地址轉(zhuǎn)換+端口復(fù)用地址轉(zhuǎn)換的NAT方式。也就是說(shuō)，對(duì)服務(wù)器采用靜態(tài)地址轉(zhuǎn)換，以確保服務(wù)器擁有固定的合法IP地址。而對(duì)普通的客戶計(jì)算機(jī)則采用端口復(fù)用地址轉(zhuǎn)換，使所有用戶都享有訪問(wèn)Internet的權(quán)力。 網(wǎng)絡(luò)環(huán)境為： 局域網(wǎng)采用10Mb/s光纖，以城域網(wǎng)方式接入Internet，如圖4-2-2所示。路由器選用擁有2個(gè)10/100 Mb/s自適應(yīng)端口的Cisco 2611。內(nèi)部網(wǎng)絡(luò)使用的IP地址段為54,局域網(wǎng)端口Ethernet 0的IP地址為,子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為07，連接ISP的端口Ethernet 1的IP地址為1,子網(wǎng)掩碼為48。要求網(wǎng)絡(luò)內(nèi)部的所有計(jì)算機(jī)均可訪問(wèn)Internet，并且在Internet中提供Web、E-mail、FTP和Media等4種服務(wù)。 案例分析： 既然網(wǎng)絡(luò)內(nèi)的服務(wù)器要求能夠被Internet訪問(wèn)到，那么，這部分主機(jī)必須擁有合法的IP地址，也就是說(shuō)，服務(wù)器必須采用靜態(tài)地址轉(zhuǎn)換。其他計(jì)算機(jī)由于沒(méi)有任何限制，所以，可采用端口復(fù)用地址轉(zhuǎn)換的NAT方式。因此，服務(wù)器可采用內(nèi)網(wǎng)址54，并分別映射為一個(gè)合法的IP地址。其他計(jì)算機(jī)則采用內(nèi)部網(wǎng)址54,并全部轉(zhuǎn)換為一個(gè)合法的IP地址。 配置清單： interface fastethernet0/0 ip address /定義局域網(wǎng)口IP地址 duplex auto speed auto ip nat inside /定義局域網(wǎng)口 ! interface fastethernet0/1 ip address 1 48 /定義廣域網(wǎng)口IP地址 duplex auto speed auto ip nat outside /定義廣域網(wǎng)口 ! ip nat pool every 6 6 netmask 48 /定義合法IP地址池 access-list 1 permit 55 /定義本地訪問(wèn)列表1 access-list 1 premit 55 access-list 1 premit 55 access-list 1 premit 55 ip nat inside source list1 pool every overload /定義列表達(dá)1采用端口復(fù)用地址轉(zhuǎn)換 ip nat inside source static 0 2 /定義靜態(tài)地址轉(zhuǎn)換 ip nat inside source static 1 3 ip nat inside source static 2 4 ip nat inside source static 3 5 示例四：TCP/UDP端口NAT映射 如果ISP提供的合法IP地址的數(shù)量較多，我們自然可以采用靜態(tài)地址轉(zhuǎn)換+端口復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換的方式得以完美實(shí)現(xiàn)。但如果ISP只提供4個(gè)IP地址，其中2個(gè)作為網(wǎng)絡(luò)號(hào)和廣播地址而不可使用，1個(gè)IP地址要用于路由器定義為默認(rèn)網(wǎng)關(guān)， 那么將只剩下1個(gè)IP地址可用。當(dāng)然我們也可以利用這個(gè)僅存的一個(gè)IP地址采用端口復(fù)用地址轉(zhuǎn)換技術(shù)，從而實(shí)現(xiàn)整個(gè)局域網(wǎng)的Internet接入。但是由于服務(wù)器也采用動(dòng)態(tài)端口，因此，Internet中的計(jì)算機(jī)將無(wú)法訪問(wèn)到網(wǎng)絡(luò)內(nèi)部的服務(wù)器。有沒(méi)有好的解決問(wèn)題的方案呢？這就是TCP/UDP端口NAT映射。 我們知道，不同應(yīng)用程序使用的TCP/UDP的端口是不同的，比如，Web服務(wù)使用50，F(xiàn)TP服務(wù)使用21，SMTP服務(wù)使用25，POP3服務(wù)使用110，等等。因此，可以將不同的TCP端口綁定至不同的內(nèi)部IP地址，從而只使用一個(gè)合法的IP地址，即可在允許內(nèi)部所有服務(wù)器被Internet訪問(wèn)的同時(shí)，實(shí)現(xiàn)內(nèi)部所有主機(jī)對(duì)Internet訪問(wèn)。 網(wǎng)絡(luò)環(huán)境： 局域網(wǎng)采用10Mb/s光纖，以城域網(wǎng)方式接入Internet，如圖4-2-5所示。路由器選用擁有2個(gè)10/100 Mb/s自適應(yīng)端口的Cisco 2611。內(nèi)部網(wǎng)絡(luò)使用的IP地址段為54，局域網(wǎng)端口Ethernet 0的IP地址為,子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為，2831,連接ISP的端口Ethernet 1的IP地址為29,子網(wǎng)掩碼為52，可用于轉(zhuǎn)換的IP地址為30。要求網(wǎng)絡(luò)內(nèi)部的所有計(jì)算機(jī)均可訪問(wèn)Internet。 案例分析： 既然只有一個(gè)可用的合法IP地址，當(dāng)然只能采用端口復(fù)用方式實(shí)現(xiàn)NAT，不過(guò)，由于同時(shí)又要求網(wǎng)絡(luò)內(nèi)部的服務(wù)器可以被Internet訪問(wèn)到，因此，必須使用PAT創(chuàng)建TCP/UDP端口的NAT映射。需要注意的是，也可以直接使用廣域端口創(chuàng)建TCP/UDP端口的NAT映射，也就是說(shuō)，即使只有一個(gè)IP地址，也可以完美實(shí)現(xiàn)端口復(fù)用。由于合法IP地址位于路由器端口上，所以，不再需要定義NAT池，只簡(jiǎn)單地使用inside source list語(yǔ)句即可。 需要注意的是，由于每種應(yīng)用服務(wù)都有自己默認(rèn)的端口，所以，這種NAT方式下，網(wǎng)絡(luò)內(nèi)部每種應(yīng)用服務(wù)中只能各自有一臺(tái)服務(wù)器成為Internet中的主機(jī)，例如，只能有一臺(tái)Web服務(wù)器，一臺(tái)E-mail服務(wù)，一臺(tái)FTP服務(wù)器。盡管可以采用改變默認(rèn)端口的方式創(chuàng)建多臺(tái)應(yīng)用服務(wù)器，但這種服務(wù)器在訪問(wèn)時(shí)比較困難，要求用戶必須先了解某種服務(wù)采用的新TCP端口。 配置清單： interface fastethernet0/0 ip address /指定局域網(wǎng)口的IP地址 duplex auto speed auto ip nat inside /指定局域網(wǎng)接口 ! interface fastethernet0/1 ip address 29 48 /指定廣域網(wǎng)口的IP地址 access-list 1 permit 55 ! ip nat inside source list1 interface fastethernet0/1 overload /啟用端口復(fù)用地址轉(zhuǎn)換，并直接采用fastethernet0/1的IP地址。 ip nat inside source static tcp 1 80 29.80 ip nat inside source static tcp 2 21 29.21 ip nat inside source static tcp 3 25 29.25 ip nat inside source static tcp 3 110 29 110 示例五：利用地址轉(zhuǎn)換實(shí)現(xiàn)負(fù)載均衡 隨著訪問(wèn)量的上升，當(dāng)一臺(tái)服務(wù)器難以勝任時(shí)，就必須采用負(fù)載均衡技術(shù)，將大量的訪問(wèn)合理地分配至多臺(tái)服務(wù)器上。當(dāng)然，實(shí)現(xiàn)負(fù)載均衡的手段有許多種，比如可以采用服務(wù)器群集負(fù)載均衡、交換機(jī)負(fù)載均衡、DNS解析負(fù)載均衡等等。 其實(shí)除此以外，也可以通過(guò)地址轉(zhuǎn)換方式實(shí)現(xiàn)服務(wù)器的負(fù)載均衡。事實(shí)上，這些負(fù)載均衡的實(shí)現(xiàn)大多是采用輪詢方式實(shí)現(xiàn)的，使每臺(tái)服務(wù)器都擁有平等的被訪問(wèn)機(jī)會(huì)。 網(wǎng)絡(luò)環(huán)境： 局域網(wǎng)以2Mb/s DDN專線拉入Internet,路由器選用安裝了廣域網(wǎng)模塊的Cisco 2611,如圖4-2-6所示。內(nèi)部網(wǎng)絡(luò)使用的IP地址段為54，局域網(wǎng)端口Ethernet 0的IP地址為,子網(wǎng)掩碼為。網(wǎng)絡(luò)分配的合法IP地址范圍為07,連接ISP的端口Ethernet 1的IP地址為1,子網(wǎng)掩碼為48。要求網(wǎng)絡(luò)內(nèi)部的所有計(jì)算機(jī)均可訪問(wèn)Internet，并且在3臺(tái)Web服務(wù)器和2臺(tái)FTP服務(wù)器實(shí)現(xiàn)負(fù)載均衡。 案例分析： 既然要求網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)都可以接入Internet,而合法IP地址又只有5個(gè)可用，當(dāng)然可采用端口復(fù)用地址轉(zhuǎn)換方式。本來(lái)對(duì)服務(wù)器通過(guò)采用靜態(tài)地址轉(zhuǎn)換，賦予其合法IP地址即可。但是，由于服務(wù)器的訪問(wèn)量太大（或者是服務(wù)器的性能太差），不得不使用多臺(tái)服務(wù)器作負(fù)載均衡，因此，必須將一個(gè)合法IP地址轉(zhuǎn)換成多相內(nèi)部IP地址，以輪詢方式減輕每臺(tái)服務(wù)器的訪問(wèn)壓力。 配置文件： interface fastethernet0/1 ip adderss /定義局域網(wǎng)端口IP地址 duplex auto speed auto ip nat inside /定義為局域端口 ! interface serial 0/0 ip address 1 48 /定義廣域網(wǎng)端口IP地址 duplex auto speed auto ip nat outside /定義為廣域端口 ! access-list 1 permit 2 /定義輪詢地址列表1 access-list 2 permit 3 /定義輪詢地址列表2access-list 3 permit 55 /定義本地訪問(wèn)列表3 ! ip nat pool websev 48 type rotary /定義Web服務(wù)器的IP地址池，Rotary關(guān)鍵字表示準(zhǔn)備使用輪詢策略從NAT池中取出相應(yīng)的IP地址用于轉(zhuǎn)換進(jìn)來(lái)的IP報(bào)文，訪問(wèn)2的請(qǐng)求將依次發(fā)送給web服務(wù)器：、和 ip nat pool ftpsev 48 type rotary /定義ftp服務(wù)器的IP地址池。ip nat pool normal 4 4 netmask 48 /定義合法IP地址池，名稱為normal ip nat inside destination list 1 pool websev /inside destination list 語(yǔ)句定義與列表1相匹配的IP地址的報(bào)文將使用輪詢策略 ip nat inside destination list 2 pool ftpsev#*#*#*#*#*#*#*#*#*#*#*#*#*#四種不同的NAT類型討論前提:考慮到UDP的無(wú)狀態(tài)特性，目前針對(duì)其的NAT實(shí)現(xiàn)大致可分為Full