NAT配置

（2）在路由器的全局模式下配置访问控制列表 在全局设置模式下，定义一个标准访问控制列表，该列 表的作用是用来筛选允许上网企业内部主机，通过在 该列表中使用“允许”语句，能够指定哪些人可以上 网。命令如下： router（config）#Access-list access-list-number permit source [source-wildcard]
12.2 相关知识
作为网络工程师，需要了解本工作任务所 涉及的以下几方面知识： NAT 技术的功能和作用； NAT的转换方式； 静态NAT的配置； Pool Nat的配置； Port Nat的配置。
12.2.1 NAT技术的产生原理
随着Internet的网络以爆炸性的速度膨胀，IP地址短缺及路由规模越 来越大已成为一个相当严重的问题。 所谓的地址转换，即NAT（Network Address Translation）功能，就 是指在一个组织网络内部，根据需要可以随意自定义的IP地址 （不需要经过申请）即假的IP地址。
如图12.1所示，设置NAT功能的路由器至少要有 一个Inside（内部）端口及至少一个Outside （外部）端口。当内部网络上的一台主机访问 因特网上的一台主机时，内部网络主机所发出 的数据包的源IP地址是私有地址，这个数据包 到达路由器后，路由器使用事先设置好的公用 地址替换掉私有地址，这样这个数据包的源IP 地址就变成了因特网上唯一的公用地址了，然 后此数据包被发送到因特网上的目的主机处。
2.动态地址转换
动态NAT转换包括动态地址池转换（Pool NAT）和动态端口转换 （Port NAT）两种，前者是一对一的转换，后这是多对一的转换。 （1）Pool NAT转换 Pool NAT执行本地地址与全局地址的一对一转换，但全局地址与本 地地址的对应关系不是一成不变的，它是从内部全局地址池 （Pool）中动态地选择一个末使用的地址对内部本地地址进行转 换。 （2）Port NAT转换 端口地址转换（Port Address Translation，PAT）又称复用动态地址转 换或NAT重载，是把内部本地地址映射到外部网络的一个IP地址 的不同端口上，因一个IP地址的端口数有65535个，即一个全局地 址可以和最多达65535个内部地址建立映射，因此从理论上说一个 全局地址可供65535个内部地址通过NAT连接Internet。只申请到 少量IP地址却经常同时有多于合法地址个数的用户上外部网络的 情况下，这种转换极为有用。
2.内部地址和全局地址 如图12.2所示，我们看到在NAT表中有四种地址，它们分 别是：Inside local address（内部本地地址）、inside global address（内部全局地址）、outside local address （外部本地地址）、outside global address（外部全局 地址）。 如图12.3所示表示了这些地址之间的关系，在图12.3中， 我们可以看到，网络被分成内部网络和外部网络两部 分。 Inside:表示内部网络，这些网络的地址需要被转换。在内 部网络，每台主机都分配一个内部IP地址，但与外部 网络通讯时，又表现为另外一个地址。 Outside:是指内部网络需要连接的网络，一般指互联网， 也可以是另外一个机构的网络。
12.1 工作任务
• 你受聘于一家网络公司做网络工程师，恰好公 司有一个客户提出网络建设，该客户现建有单 位内部局域网联网微机100台，需要接入互联 网，公司向ISP申请了一条专线，ISP分配给企 业218.12.226.0／29网段，共有从218.12.226.1 到218.12.226.6这6个公用地址，并且ISP从中拿 出218.12.226.1这个地址作为局端的连接地址， 通过配置实现公司接入互联网。
由图12.2可以看出，NAT在做地址转换时，依靠在NAT表 中记录内部私有地址和外部公有地址的映射关系来保 存地址转换的依据。当执行NAT操作时，路由器在做 某一数据连接操作时只需要查询该表，就可以得知应 该如何转换地址，而不会发生数据连接的混淆。 NAT表中每一个连接条目 ，都有一个计时器。当有数据 在这两台主机之间传递时,数据包不断刷新NAT表中的 相应条目,则该条目将处于不断被激活的状态,该条目不 会被NAT表清除。但是，如果两台主机长时间没有数 据交互，则在计时器倒数到零时，NAT表将把这一条 目清除。
12.2.4 NAT类型
按转换方式来分类，NAT有三种类型:静态NAT、动态 NAT和端口地址转换。 1.静态NAT 在静态NAT中，是指内部网络中的主机被永久映射成外 部网络中的某个合法的地址。静态地址转换将内部本 地地址与内部合法地址进行一对一的转换，且需要指 定和哪个合法地址进行转换。如果内部网络有Web服 务器、E-mail服务器或FTP服务器等可以为外部用户提 供的服务，这些服务器的IP地址必须采用静态地址转 换（将一个全球的地址映射到一个内部地址，静态映 射将一直存在于NAT表中，直到被管理员取消），以 便外部用户可以使用这些服务。
源地址 私转 公
私有地址
Internet
公有地址
目的地址 公转 私有地址 私
公有地址
图12.1 在路由器上使用NAT技术实现的功能
12.2.3 NAT技术的术语
1. NAT表 当内部网络有多台主机访问因特网上的多 个目的主机的时侯，路由器必须记住内 部网络的哪一台主机访问因特网上的哪 一台主机，以防止在地址转换时将不同 的连接混淆，所以路由器会为NAT的众 多连接建立一个表，即NAT表，如图12.2 所示。
使用NAT和PAT扩展网络
教学目标：NAT是目前网络中最为常用的一种技术，通过在内网使 用私有地址并利用NAT访问Internet来解决当前IP地址短缺的问题。 具体来将NAT主要包括以下几方面的知识： （1）NAT的功能和作用； （2）NAT的类型； （3）静态NAT及其使用； （4）动态NAT及其使用 （5）PAT及其使用； （6）查看和诊断NAT配置。 为了学习上述知识，下面通过一个来自实际工作中的任务的完成来 进行学习上述知识。 任务12：动态NAT的配置及应用
（4）配置连接Internet的接口 router（config-if）#Ip nat outside （5）配置连接企业内部网络的接口 router（config-if）#ip nat inside （6）定义指向外网的默认路由 做好以上步骤后应定义指向外网的默认路由，命 令格式如下： Router（config）#ip route 0.0.0.0 0.0.0.0 nexthop-ip 其中：next-hop-ip即专线在ISP端的连接地址。
图12.3 内部地址和外部地址
主机位置
Inside
Outside
Internet
Local
Global
wk.baidu.com
IP地址的逻辑位置 图12.3 内部地址和外部地址
• Inside local address • 内部本地地址，是指在一个企业或机构内部网络内分配给一台主机的IP 地址。这个地址通常是私有地址。 • inside global address • 内部全局地址，是指设置在路由器等因特网接口设备上，用来代替一个 或多个私有IP地址的公有地址，在因特网上应该是唯一的。 • outside local address • 外部本地地址，是指因特网上的一个公有地址，该地址可能是因特网上 的一台主机。 • outside global address • 外部全局地址，是指因特网上另一端网络内部的地址，该地址可能是私 有的。 • 一般情况下，outside local address 和outside global address是同一个公有 地址，它们就是内部网络主机所访问的因特网上的主机，只有当特殊情 况的时候，两个地址才不一样。
2. 动态NAT配置基本过程
1）定义公用地址池 在全局配置模式下，通过在路由器上定义一个公用地址池，可以把用来进行 NAT转换的公用地址池放在该池中，以供NAT使用。定义公用地址池的 命令如下： router（config）#ip nat pool pool-name start-ip end-ip { netmask netmask|prefix-length prefix-length}[rotary] 其中： pool-name ：地址池的名称。 start-ip：在地址池中定义地址范围的起始IP地址。 end-ip：在地址池中定义地址范围的终止IP地址。 netmask netmask：指示哪些地址比特属于网络和子网络域，哪些比特属于主 机域的网络掩码。规定地址池所属网络的网络掩码。 prefix-length prefix-length：指示网络掩码中有多少个比特是1（多少个地址比 特代表网络）。规定地址池所属网络的网络掩码。 rotary：（任选项）该参数指示，地址池的地址范围标识了TCP负载分担将 要发生于的真实、内部主机。
简单地说，NAT就是通过某种方式将内部保留地址翻译成外部合法 的全局地址。
如果想连接Internet，但不想让网络内的所有计算机都拥有一个真正 的Internet IP地址。
12.2.2 NAT的功能与作用
网络地址转换（NAT）技术是一个IETF （Internet Engineering Task Force， Internet工程工作组）标准。如图12.1所 示表示了在路由器上使用NAT技术所实 现的功能。
12.2.5 NAT配置
1．静态NAT配置基本过程 （1）配置静态NAT地址映射 在路由器的全局模式下配置静态NAT地址映射的 命令如下： router（config）#Ip nat inside source static local-ip global-ip 其中：local-ip：内部本地地址，分配给内部网络 中的计算机的IP地址，通常可使用保留地址。 global-ip：内部全局地址。表示外部的一个公用 IP地址。
2）配置连接Internet的接口 在路由器连接Internet的接口（一般是以太网接口或快速 以太网接口）上首先要配置IP地址，这个地址为公用 地址，并且要启动该接口。 然后声明该接口是NAT转换的外部网络接口，命令格式 如下： router（config-if）#Ip nat outside （3）配置连接企业内部网络的接口 在路由器连接企业内部网络的接口（一般是路由器的另 一个以太网接口或快速以太网接口）上也要配置IP地 址，这个地址应该是私有地址，并且要启动该接口。 然后声明该接口是NAT转换的内部网络接口，命令格式 如下： router（config-if）#ip nat inside
其中各参数的含义见项目六访问控制列表。
（3）定义内部网络私有地址与外部网络公用地址之间的 映射
在全局配置模式下，将由access-list指定的内部私有地址与指定的公 用地址池相映射，从而提供内网私有地址和外网公用地址之间的 NAT转换。其命令如下： router（config）#ip nat inside source｛list {access-list-number | name}pool pool-name[overload]|static local-ip global-ip｝ 其中： list access-list-number：标准IP ACL表号。如果数据包中含有在该 ACL中所定义范围内的源地址，则它就被动态地用所指定地址池 中的全球地址进行转换。 list name：标准ACL的名称。如果数据包中含有在该ACL中所定义范 围内的源地址，则它就被动态地用所指定地址池中的全球地址进 行转换。 pool name：要被动态分配的全球IP地址池的名称。 overload：（任选项）使路由器可以用一个全球地址代表许多本地地 址的参数。当配置了复用参数时，由每个内部主机的TCP和UDP 端口号区分使用同一本地IP地址的多个会话。 static local-ip：设置一个静态转换关系的参数；该参数建立被分配给 内部网络中某台主机的本地IP地址。该地址可以被随机选择，建 议选用保留地址。 global-ip：设置一个静态转换关系的参数；该参数为显现给外部世界 的内部主机建立全球惟一的IP地址。