本文详细介绍了NAT(网络地址转换)的基本概念、私有IP地址范围及其在内部网络中的应用。包括NAT的优点与缺点,并提供了静态地址转换、动态NAT配置及NAT超载的具体配置步骤与实例。
NAT:是将用户内部网络IP地址转换成一个外部公共IP地址,并在NAT地址转换表中记录下这个转换项。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
私有IP地址块:私有IP地址块是不会在公网上进行转发的.
10.0.0.0--10.255.255.255
172.16.0.0--172.31.255.255
192.168.0.0-192.168.255.255
NAT中的术语:
内部本地地址:分配给内部网络中计算机使用的IP地址,为了不和公共地址重叠,一般使用私有IP地址。
内部合法IP地址:对外进行IP通信,代表一个或多个内部本地地址的合法公共地址重叠,需申请。
外部全局地址:分配给外部网络上的主机IP地址。
外部本地地址:等于外部全局地址。
NAT优点:
节省公共地址
增加了连接公网的弹性
允许内部网络编制的一致性
提高了内部网络的安全
NAT缺点:
影响性能
缺乏对一些应用的支持,如数字签名
不利于追踪使一些隧道协议变的复杂
静态地址转换的配置:
静态地址转换将内部本地地址与内部合法IP地址进行一一的转换。
步骤
1、指定连接外部网络的外部端口 ip nat outside
2、指定连接内部的端口 ip nat inside
3、建立地址转换 ip nat inside source static 内部本地地址 内部合法地址(如果有多个IP地址进行静态转换的话则需要多次输入上述命令)
实验:我是在真实路由上做的,计算机和路由F0/0口相连,Ip配置为193.168.2.2 掩码为255.255.255.0 主机0的ip地址配置为193.168.2.3掩码:255.255.255.0网关:192.168.2.2DNS为当地的ISP的DNS F0/1口和单位交换机相连。IP地址为192.168.1.2 255.255.255.224(此地址在单位内网中是可以上网的地址。所以我使用了此地址。),
实验结果:193.168.2.3可以上网。
配置命令:
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#host NAT
NAT(config)#no ip domain-lookup
NAT(config)#line con 0
NAT(config-line)#no exec-timeout
NAT(config-line)#logg syn
NAT(config-line)#int f0/0
NAT(config-if)#ip address 193.168.2.2 255.255.255.0
NAT(config-if)#no shut
*Mar 1 00:33:58.135: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
NAT(config-if)#ip nat inside 指定内部网络相连的内部端口
NAT(config-if)#exit
NAT(config)#int f0/1
NAT(config-if)#ip address 192.168.1.2 255.255.255.224
NAT(config-if)#no shut
NAT(config-if)#ip nat outside 指定外部网络相连的外部端口
NAT(config-if)#exit
NAT(config)#ip nat inside source static 192.168.2.3 192.168.1.2 *建立地址转换 ip nat inside source static 内部本地地址 内部合法地址(如果有多个IP地址进行静态转换的话则需要多次输入上述命令)*
NAT(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.1是此路由器与对端相连的三层交换地址。将访问所有网络的数据包甩给192.168.1.1
动态NAT配置:
动态地址转换的配置:从内部合法地址池中动态地选择一个没有使用的合法地址对内部本地地址进行转换。
步骤:
1、指定外部网络相连的外部端口 ip nat outside
2、指定内部网络相连的内部端口 ip nat inside
3、全局模式下定义内部合法地址池 ip nat pool 地址池名称 起始ip 终止ip 子网掩码
4、全局模式下定义access-list规则以允许哪些内部地址可以进行动态地转换
access-list 标号 permit 源地址 反掩码 或使用扩展访问列表
5、在全局模式下将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。ip nat inside source 访问列表号 Pool 内部合法地址池名字
实验:我是在真实路由上做的,计算机和路由F0/0口相连。Ip配置为193.168.2.2 掩码为255.255.255.0 主机0的ip地址配置为:193.168.2.3 掩码:255.255.255.0 网关:192.168.2.2 DNS为当地的ISP的DNS F0/1口和单位交换机相连。IP地址为192.168.1.2 255.255.255.224(此地址在单位内网中是可以上网的地址。所以我使用了此地址。),现有192.168.1.2到192.168.1.5的地址是可以上网的地址
实验结果:193.168.2.3可以上网。
配置命令:
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#host NAT
NAT(config)#no ip domain-lookup
NAT(config)#line con 0
NAT(config-line)#no exec-timeout
NAT(config-line)#logg syn
NAT(config-line)#int f0/0
NAT(config-if)#no shut
*Mar 1 00:33:58.135: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
NAT(config-if)#ip nat inside 指定内部网络相连的内部端口
NAT(config-if)#exit
NAT(config)#int f0/1
NAT(config-if)#ip address 192.168.1.2 255.255.255.224
NAT(config-if)#no shut
NAT(config-if)#ip nat outside 指定外部网络相连的外部端口
NAT(config-if)#exit
NAT(config)#ip nat pool DTNAT 192.168.1.2 192.168.1.5 netmask 255.255.255.224 内部合法地址为192.168.1.2到192.168.1.5
NAT(config)#access-list 1 permit 193.168.2.0 0.0.0.255 允许内部193.168.2.0地址可以被转换
NAT(config)# ip nat inside source 1 Pool DTNAT
NAT(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.1是本路由器与对端相连的三层交换地址。将访问所有网络的数据包甩给192.168.1.1
配置NAT超载:
也称为PAT。用途为多个内部本地地址共用一个内部合法地址。
ip nat inside source 访问列表号 Pool 内部合法地址池名 overload
其他步骤与配置动态几乎相同,加了一个参数,“overload”
转载于:https://blog.51cto.com/shenshu/213646
扫一扫
3555
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
