网络地址转换概述
地址转换的提出背景
合法的IP地址资源日益短缺
一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换
地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用
地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务
NA T的原理
改变IP包头，使目的地址、源地址或两个地址在包头中被不同地址替换
NA T的3种实现方式
静态转换
动态转换
端口多路复用
NA T的优点
节省公有合法IP地址
处理地址交叉
增强灵活性
安全性
NA T的缺点
延迟增大
配置和维护的复杂性
不支持某些应用
NA T配置步骤
1、接口IP地址配置
2、使用访问控制列表定义哪些内部主机能做NA T
3、决定采用什么公有地址，静态或地址池
4、指定地址转换映射
5、在内部和外部端口上启用NAT
静态NAT配置
第一步：设置外部端口
Router(config)#interface serial 0/0
Router(config-if)#ip address 61.159.62.129 255.255.255.248
第二步：设置内部端口
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address 192.168.100.1 255.255.255.0
第三步：在内部本地和内部合法地址之间建立静态地址转换
Router(config)#ip nat inside source static 192.168.100.2 61.159.62.130
Router(config)#ip nat inside source static 192.168.100.3 61.159.62.131
……
第四步：在内部和外部端口上启用NA T
Router(config)#interface serial 0/0
Router(config-if)#ip nat outside
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
动态NAT配置
第一步：设置外部端口IP地址
Router(config)#interface serial 0/0
Router(config-if)#ip address 61.159.62.129 255.255.255.192
第二步：设置内部端口IP地址
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address 172.168.100.1 255.255.255.0
第三步：定义内部网络中允许访问外部的访问控制列表
Router(config)#access-list 1 permit 172.168.100.0 0.0.0.255
第四步：定义合法IP地址池
Router(config)#ip nat pool test0 61.159.62.130 61.159.62.190 network 255.255.255.192
第五步：指定网络地址转换映射
Router(config)#ip nat inside source list 1 pool test0
第六步：在内部和外部端口上启用NA T
Router(config)#Interface serial 0/0
Router(config-if)#Ip nat outside
Router(config)#Interface fastethernet 0/0
Router(config-if)#Ip nat inside
PA T配置
第一步：设置外部端口IP地址
Router(config)#interface serial 0/0
Router(config-if)#ip address 61.159.62.129 255.255.255.192
第二步：设置内部端口IP地址
Router(config)#interface FastEthernet 0/0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
第三步：定义内部网络中允许访问外部的访问控制列表
Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255
第四步：定义合法IP地址池
Router(config)#ip nat pool onlyone 61.159.62.130 61.159.62.130 netmask 255.255.255.248 第五步：指定网络地址转换映射
Router(config)#ip nat inside source list 1 pool onlyone overload
第六步：在内部和外部端口上启用NA T
Router(config)#interface serial 0/0
Router(config-if)#ip nat outside
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
NA T网络地址转换的3种实现方式：
1、静态NAT(一对一)
2、动态NAT(多对多)
3、端口多路复用PAT(多对一)
1、静态配置
(1)配置外部接口IP地址
(2)配置内部接口IP 地址
(3)在内部局部和内部全局地址之间建立地址转换
router(config)#ip nat inside source static local-ip global-ip
(4)在内外部接口上启用NAT
router(config)#int s0/0
router(config-if)# ip nat outside
router(config)#int f0/0
router(config-if)# ip nat inside
2、动态NAT配置
(1)(2)与静态配置相同
(3)定义内部网络中允许访问外部网络的访问控制列表
router(config)#access-list access-list-number permit source source-wildcard
router(config)#access-list 1 permit 192.168.100.0 0.0.0.255
(4)定义合法的IP地址池
router(config)#ip nat pool pool-name start-ip end-ip {netmask netmask|prefix-length prefix-length } [type rotary]
netmask：表示子网掩码
prefix-length：表示网络前缀
type rotary (可选):地址池中的地址为循环使用
router(config)#ip nat pool test 61.159.62.130 61.159.62.132 netmask 255.255.255.192
(5)实现网络地址转换
router(config)#ip nat inside source list access-list-number pool pool-name
router(config)#ip nat inside source list 1 pool test
(6)在内外部接口上启用NAT
3、PAT端口多路复用，就是把多个内部地址转化为一个外部地址（通过端口来区别）。

这个外部地址可以是定义的只包括一个地址的地址池；也可以是使用外部接口的ip地址。

方法一：使用一个外部全局地址
（3）定义内部访问列表
router(config)#access-list 1 permit 10.1.1.0 0.0.0.255
（4）定义合法地址池
router(config)#ip nat pool onlyone 61.159.62.130 61.159.62.130 netmask 255.255.255.248
因为只有一个地址，所以地址池的起始地址与终止地址相同
（5）设置复用动态IP地址转换：
router(config)#ip nat inside source list access-list-number pool pool-name overload
router(config)#ip nat inside source list 1 pool onlyone overload
方法二：使用路由器外部接口地址
（5）设置复用动态IP地址转换：
router(config)#ip nat inside source list 1 interface s0/0 overload。