第3章 07路由器應(yīng)用之NAT網(wǎng)絡(luò)地址轉(zhuǎn)換

NAT(NetworkAddressTranslator)

NAT解決的問題？

NAT技術(shù)能幫助解決令人頭痛的IP地址緊缺的問題，而且能使得內(nèi)外網(wǎng)絡(luò)隔離，提供一定的網(wǎng)絡(luò)安全保障。它解決問題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來替換。

NAT定義NAT(NetworkAddressTranslator)網(wǎng)絡(luò)地址轉(zhuǎn)換，即改變IP報文中的源或目的地址的一種處理方式；使一個局域網(wǎng)中的多臺主機使用少數(shù)的合法地址訪問外部資源，也可以按照要求設(shè)定內(nèi)部的WWW、FTP、TELNET的服務(wù)提供給外部網(wǎng)絡(luò)使用；有效的隱藏了內(nèi)部局域網(wǎng)的主機IP地址，起到了安全保護的作用。NAT使用環(huán)境NAT使用的幾種情況：A、連接到internet，但卻沒有足夠的合法地址分配給內(nèi)部主機。B、更改到一個需要重新分配地址的ISP。C、有相同的IP地址的兩個internet合并。

NAT基本概念共有地址和私有地址私有地址是指內(nèi)部網(wǎng)絡(luò)(局域網(wǎng)內(nèi)部)的主機地址，而公有地址是局域網(wǎng)的外部地址（在因特網(wǎng)上的全球唯一的IP地址）。因特網(wǎng)地址分配組織規(guī)定以下的三個網(wǎng)絡(luò)地址保留用做私有地址：

-55-55-55

NAT的基本工作原理NAT在系統(tǒng)中的位置

NAT的基本工作原理NAT基本工作原理（以出口NAT為例）

在IP層的出口處調(diào)用NAT

NAT的基本工作原理在IP層的入口出調(diào)用NATNAT技術(shù)的類型靜態(tài)NAT(StaticNAT):設(shè)置起來最為簡單和最容易,內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。動態(tài)地址NAT(PooledNAT):在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAT技術(shù)的類型網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port－LevelNAT):把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上NAPT與動態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設(shè)備選定的TCP端口號。注意NAT方式實例NAT方式

NPAT方式實例NPAT方式(0:1001-6:26)------>(00:12964-6:23)(:2001-7:25)(6:23-00:12964)------>(6:26-0:1001)(7:25-:2001)靜態(tài)地址轉(zhuǎn)換基本配置步驟（1）、在內(nèi)部本地地址與內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。在全局設(shè)置狀態(tài)下輸入：

Ip

natinsidesourcestatic內(nèi)部本地地址外部合法地址（2）、指定連接網(wǎng)絡(luò)的內(nèi)部端口在端口設(shè)置狀態(tài)下輸入：

ip

natinside（3）、指定連接外部網(wǎng)絡(luò)的外部端口在端口設(shè)置狀態(tài)下輸入：

ip

natoutside

某公司網(wǎng)絡(luò)拓撲如圖，現(xiàn)要實現(xiàn)靜態(tài)NAT地址轉(zhuǎn)換功能。將路由器的以太口作為內(nèi)部端口，同步端口作為外部端口。其中，，的內(nèi)部本地地址采用靜態(tài)地址轉(zhuǎn)換。其內(nèi)部合法地址分別對應(yīng)為。

配置實例InternetE0/1S0/1LANCurrentconfiguration：

interfaceEthernet0/1

ipaddress

ipnatinside

interfaceSerial1/0

ipaddress

ipnatoutsideIpnatinsidesourcestaticIpnatinsidesourcestaticIpnatinsidesourcestatic配置實例驗證命令：showip

nat

statistcs

：顯示翻譯統(tǒng)計showip

nattranslations：顯示活動翻譯配置實例動態(tài)地址轉(zhuǎn)換基本配置步驟（1）、在全局設(shè)置模式下，定義內(nèi)部合法地址池

ip

natpool地址池名稱起始IP地址終止IP地址子網(wǎng)掩碼

其中地址池名稱可以任意設(shè)定。（2）、在全局設(shè)置模式下，定義一個標準的access-list規(guī)則以允許哪些內(nèi)部地址可以進行動態(tài)地址轉(zhuǎn)換。

Access-list標號permit源地址通配符

其中標號為1-99之間的整數(shù)。（3）、在全局設(shè)置模式下，將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進行地址轉(zhuǎn)換。

ip

natinsidesourcelist訪問列表標號pool內(nèi)部合法地址池名字（4）、指定與內(nèi)部網(wǎng)絡(luò)相連的內(nèi)部端口在端口設(shè)置狀態(tài)下：

ip

natinside（5）、指定與外部網(wǎng)絡(luò)相連的外部端口

Ip

natoutside動態(tài)地址轉(zhuǎn)換基本配置步驟實例2：本實例中硬件配置同上，運用了動態(tài)NAT地址轉(zhuǎn)換功能。將2501的以太口作為內(nèi)部端口，同步端口０作為外部端口。其中網(wǎng)段采用動態(tài)地址轉(zhuǎn)換。對應(yīng)內(nèi)部合法地址為~0

Currentconfiguration：

ipnatpoolaaa0netmask

ipnatinsidesourcelist1poolaaa

interfaceEthernet1/0

ipaddress

ipnatinside

interfaceSerial1/0

ipaddress

ipnatoutside

iprouteSerial0

access-list1permit55

路由器選型基本原則1．路由器性能及冗余、穩(wěn)定性2．路由器的接口類型3．路由器配置的端口數(shù)量4．路由器支持的標準協(xié)議及特性5．路由器管理方法的難易程度6．路由器的可擴展性習(xí)題1)訪問控制列表配置中，操作符“gtportnumber”表示控制的是（

）

A.端口號小于此數(shù)字的服務(wù)

B.端口號大于此數(shù)字的服務(wù)

C.端口號等于此數(shù)字的服務(wù)

D.端口號不等于此數(shù)字的服務(wù)

2)某臺路由器上配置了如下一條訪問列表access-list4deny55access-list4permit55表示：（

）

A.禁止源地址為網(wǎng)段的所有訪問

B.只允許目的地址為網(wǎng)段的所有訪問

C.檢查源IP地址，禁止大網(wǎng)段的主機，但允許其中的小網(wǎng)段上的主機

D.檢查目的IP地址，禁止大網(wǎng)段的主機，但允許其中的小網(wǎng)段的主機

習(xí)題對防火墻如下配置：

firwellenable

端口配置如下

interfaceSerial0

ipaddress

encapsulationppp

natenable

interfaceEthernet0

ipaddress

公司的內(nèi)部網(wǎng)絡(luò)接在Ethernet0，在Serial0通過地址轉(zhuǎn)換訪問Internet。如果想禁止公司內(nèi)部所有主機訪問/16的網(wǎng)段，但是可以訪問其它站點。如下的配置可以達到要求的是：（

）A.access-list1deny55在Serial0口：access-group1in

B.access