2
下面以一个实例来说明地址端口转 换(NAPT)的配置过程
路由器配置如下： Router(config)# ip nat pool naptout 210.29.193.1 210.29.193.1 netmask 255.255.255.0 !定义内部全局地址池“out”,地址池中地址为210.29.193.1 Router(config)# access-list 1 permit 10.1.1.0 0.0.0.255 !用标准ACL定义允许地址转换的内部本地地址范围为10.1.1.0/24 Router(config)# ip nat inside source list 1 pool naptout overload !配置内部本地地址与内部全局地址间的转换关系,带有overload参数 Router(config)# interface f0/0 Router(config-if)# ip address 10.1.1.1 255.255.255.0 Router(config-if)# ip nat inside Router(config-if)# no shutdown Router(config)# interface s0/0/0 Router(config-if)# ip address 210.29.193.1 255.255.255.0 Router(config-if)# ip nat outside Router(config-if)# no shutdown
9.1.3
NAT的类型
(3)地址端口转换是动态转换的一种变形
可以使多个内部节点共享一个全局IP地址，而使用源和目的地址的 TCP/UDP的端口号来区分NAT表中的转换条目及内部地址，这样，就更节省 了地址空间 。
图9-1-3 NAPT工作示意图
9.2
NAT配置
9.2.1 静态NAT配置 1、静态NAT配置命令及步骤
2
下面以一个实例来说明动态NAT 的配置过程
路由器配置如下（一）： Router(config)# ip nat inside source static 10.1.1.2 210.29.193.2 Router(config)# ip nat inside source static 10.1.1.3 210.29.193.3 Router(config)# interface f0/0 Router(config-if)# ip address 10.1.1.1 255.255.255.0 Router(config-if)# ip nat inside Router(config-if)# no shutdown Router(config)# interface s0/0/0 Router(config-if)# ip address 210.29.193.1 255.255.255.0 Router(config-if)# ip nat outside Router(config-if)# no shutdown
RB
g0/0
.254 192.168.1.0/24
Lo0:210.29.194.1/24
PC1:192.168.1.1
PC2:192.168.1.2
图9-3-1 静态NAT配置
五、实训步骤
步骤1：配置路由器RA提供静态NAT服务。 RA(config)# ip nat inside source static 210.29.193.3 RA(config)# ip nat inside source static 210.29.193.4 !配置静态NAT映射 RA(config)# interface g0/0 RA(config-if)#ip nat inside !把RA的g0/0接口配置成NAT的内部接口 RA(config-if)#exit RA(config)# interface s0/0/0 RA(config-if)# ip nat outside
9.1.3
(1)静态NAT
NAT的类型
在NAT表中为每一个需要转换的内部地址创建了固定的转换
条目，映射了唯一的全局地址。内部地址与全局地址一一对应。
图9-1-2 静态NAT工作示意图
9.1.3
(2)动态NAT
NAT的类型
Байду номын сангаас
对于要与外界进行通信的内部节点，如果还没有建立转换 映射，边缘路由器或者防火墙将会动态地从NAT池中选择全局 地址对内部地址进行转换。每个转换条目在连接建立时动态 建立，而在连接终止时会被回收。这样，网络的灵活性大大 增强了，所需要的全局地址进一步地减少。值得注意的是， 当NAT池中的全局地址被全部占用以后，以后的地址转换的申 请会被拒绝。这样会造成网络连通性的问题。所以应该使用 超时操作选项来回收NAT池的全局地址。另外，由于每次的地 址转换是动态的，所以同一个节点在不同的连接中的全局地 址是不同的，这会使SNMP的操作复杂化。
9.1.2．NAT的工作原理 一、NAT的原理图
外部网络 NAT路由器 SA:202.10.65.3 DA:210.32.166.58
Internet
内部网络
SA:192.168.1.100 DA:210.32.166.58
SA: 210.32.166.58 DA:202.10.65.3
SA:202.10.65.3 DA:192.168.1.100
课题九
配置静态NAT、配置动态 NAT和配置NAPT
本课题主要内容
NAT（Network Address Translation，网络地 址转换）将一个IP地址域（如Intranet）转换 到另一个IP地址域（如Internet）的技术。 NAT术语，NAT的工作原理，NAT的类型
9.1
NAT概述
9.3 实训1 配置静态NAT
一、实训目的
掌握静态NAT的特征、配置及调试方法
二、实训任务
正确配置静态地址转换，使这两台PC能访问Internet
三、实训环境
Cisco路由器、安装网卡的PC及若干 、有互联网支持
四、实训环境
RA
s0/0/0 210.29.193.0 / 24
.1
s0/0/0 .2
表9-2-1 静态NAT配置命令及步骤
9.2
NAT配置
2、使用以下两个命令查看NAT配置信息：
表9-2-2 查看NAT配置信息命令
2
下面以一个实例来说明静态NAT 的配置过程
如图9-2-1所示，内部网络中有两台PC机， 它们使用的是内部本地地址。要求正确配置静 态地址转换，使这两台PC能访问Internet。其 中 PC1 和 PC2 使 用 的 内 部 全 局 地 址 分 别 为 210.29.193.2和210.29.193.3，路由器内部网 络接口f0/0的IP地址为10.1.1.1,外部网络接 口s0/0的IP地址为210.29.193.1。
9.1.1．NAT术语
1、内部网络(Inside)：指那些由机构或企业所拥有的网络，与NAT路由器上 被定义为inside的接口相连接。 2、外部网络(Outside)：指除了内部网络之外的所有网络，常为Internet网 络，与NAT路由器上被定义为outside的接口相连接。 3、内部本地地址(Inside Local Address)：内部网络主机使用的IP地址。 这些地址一般为私有IP地址，它们不能直接在Internet上路由，因而也就 不能直接用于对Internet的访问，必须通过网络地址转换，以合法的IP地 址的身份来访问Internet。 4、内部全局地址(Inside Global Address):内部网络使用的公有IP地址，这 些地址是向ICANN申请才可取得的公有IP地址。当使用内部本地地址的主 机要与Internet通信时，NAT转换时使用的地址。 5、外部本地地址(Outside Local Address):外部网络主机使用的IP地址，这 些地址不一定是公有IP地址。 6、外部全局地址(Outside Global Address):外部网络主机使用的IP地址。 这些地址是全局可路由的公有IP地址。
图9-2-1 NAT配置拓扑图
2
下面以一个实例来说明静态NAT 的配置过程
路由器配置如下： Router(config)# ip nat inside source static 10.1.1.2 210.29.193.2 Router(config)# ip nat inside source static 10.1.1.3 210.29.193.3 Router(config)# interface f0/0 Router(config-if)# ip address 10.1.1.1 255.255.255.0 Router(config-if)# ip nat inside Router(config-if)# no shutdown Router(config)# interface s0/0/0 Router(config-if)# ip address 210.29.193.1 255.255.255.0 Router(config-if)# ip nat outside Router(config-if)# no shutdown
HOST:210.32.166.58
内部本地地址:192.168.1.100 内部全局地址:202.10.65.3
PC1:192.168.1.100
图9-1-1
NAT工作原理
9.1.2．NAT的工作原理
如图9-1-2所示，在局域网内部网络中使用内部地址， 当内部节点PC1要访问外部的HOST主机时，PC1发送 源地址为192.168.1.100,目的地址是210.32.166.58 的IP报文,该IP报文将被路由到边界路由器。路由器 收到这个IP报文后，将源地址改变为公有地址 202.10.65.3，并记录私有地址192.168.1.100与公 有地址202.10.65.3间的地址映射关系存入地址映射 表，然后发出修改后的IP报文；当HOST主机收到报 文后，回复报文到达路由器后，路由表再根据地址 映射表中的地址的对应关系，把目的地址转换为PC1 的地址，这样就完成了私有地址主机与Internet主 机的通信。