NAT:是將用戶內部網絡IP地址轉換成一個外部公共IP地址,並在NAT地址轉換表中記錄下這個轉換項。
私有IP地址塊:私有IP地址塊是不會在公網上進行轉發的.
10.0.0.0--10.255.255.255
172.16.0.0--172.31.255.255
192.168.0.0-192.168.255.255
NAT中的術語:
內部本地地址:分配給內部網絡中計算機使用的IP地址,爲了不和公共地址重疊,一般使用私有IP地址。
內部合法IP地址:對外進行IP通信,代表一個或多個內部本地地址的合法公共地址重疊,需申請。
外部全局地址:分配給外部網絡上的主機IP地址。
外部本地地址:等於外部全局地址。
NAT優點:
節省公共地址
增加了連接公網的彈性
允許內部網絡編制的一致性
提高了內部網絡的安全
NAT缺點:
影響性能
缺乏對一些應用的支持,如數字簽名
不利於追蹤使一些隧道協議變的複雜
靜態地址轉換的配置:
靜態地址轉換將內部本地地址與內部合法IP地址進行一一的轉換。
步驟
1、指定連接外部網絡的外部端口 ip nat outside
2、指定連接內部的端口 ip nat inside
3、建立地址轉換 ip nat inside source static 內部本地地址 內部合法地址(如果有多個IP地址進行靜態轉換的話則需要多次輸入上述命令)
實驗:我是在真實路由上做的,計算機和路由F0/0口相連,Ip配置爲193.168.2.2 掩碼爲255.255.255.0 主機0的ip地址配置爲193.168.2.3掩碼:255.255.255.0網關:192.168.2.2DNS爲當地的ISP的DNS F0/1口和單位交換機相連。IP地址爲192.168.1.2 255.255.255.224(此地址在單位內網中是可以上網的地址。所以我使用了此地址。),
實驗結果:193.168.2.3可以上網。
配置命令:
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#host NAT
NAT(config)#no ip domain-lookup
NAT(config)#line con 0
NAT(config-line)#no exec-timeout
NAT(config-line)#logg syn
NAT(config-line)#int f0/0
NAT(config-if)#ip address 193.168.2.2 255.255.255.0
NAT(config-if)#no shut
*Mar 1 00:33:58.135: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
NAT(config-if)#ip nat inside 指定內部網絡相連的內部端口
NAT(config-if)#exit
NAT(config)#int f0/1
NAT(config-if)#ip address 192.168.1.2 255.255.255.224
NAT(config-if)#no shut
NAT(config-if)#ip nat outside 指定外部網絡相連的外部端口
NAT(config-if)#exit
NAT(config)#ip nat inside source static 192.168.2.3 192.168.1.2 *建立地址轉換 ip nat inside source static 內部本地地址 內部合法地址(如果有多個IP地址進行靜態轉換的話則需要多次輸入上述命令)*
NAT(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.1是此路由器與對端相連的三層交換地址。將訪問所有網絡的數據包甩給192.168.1.1
動態NAT配置:
動態地址轉換的配置:從內部合法地址池中動態地選擇一個沒有使用的合法地址對內部本地地址進行轉換。
步驟:
1、指定外部網絡相連的外部端口 ip nat outside
2、指定內部網絡相連的內部端口 ip nat inside
3、全局模式下定義內部合法地址池 ip nat pool 地址池名稱 起始ip 終止ip 子網掩碼
4、全局模式下定義access-list規則以允許哪些內部地址可以進行動態地轉換
access-list 標號 permit 源地址 反掩碼 或使用擴展訪問列表
5、在全局模式下將由access-list指定的內部本地地址與指定的內部合法地址池進行地址轉換。ip nat inside source 訪問列表號 Pool 內部合法地址池名字
實驗:我是在真實路由上做的,計算機和路由F0/0口相連。Ip配置爲193.168.2.2 掩碼爲255.255.255.0 主機0的ip地址配置爲:193.168.2.3 掩碼:255.255.255.0 網關:192.168.2.2 DNS爲當地的ISP的DNS F0/1口和單位交換機相連。IP地址爲192.168.1.2 255.255.255.224(此地址在單位內網中是可以上網的地址。所以我使用了此地址。),現有192.168.1.2到192.168.1.5的地址是可以上網的地址
實驗結果:193.168.2.3可以上網。
配置命令:
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#host NAT
NAT(config)#no ip domain-lookup
NAT(config)#line con 0
NAT(config-line)#no exec-timeout
NAT(config-line)#logg syn
NAT(config-line)#int f0/0
NAT(config-if)#no shut
*Mar 1 00:33:58.135: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
NAT(config-if)#ip nat inside 指定內部網絡相連的內部端口
NAT(config-if)#exit
NAT(config)#int f0/1
NAT(config-if)#ip address 192.168.1.2 255.255.255.224
NAT(config-if)#no shut
NAT(config-if)#ip nat outside 指定外部網絡相連的外部端口
NAT(config-if)#exit
NAT(config)#ip nat pool DTNAT 192.168.1.2 192.168.1.5 netmask 255.255.255.224 內部合法地址爲192.168.1.2到192.168.1.5
NAT(config)#access-list 1 permit 193.168.2.0 0.0.0.255 允許內部193.168.2.0地址可以被轉換
NAT(config)# ip nat inside source 1 Pool DTNAT
NAT(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.1是本路由器與對端相連的三層交換地址。將訪問所有網絡的數據包甩給192.168.1.1
配置NAT超載:
也稱爲PAT。用途爲多個內部本地地址共用一個內部合法地址。
ip nat inside source 訪問列表號 Pool 內部合法地址池名 overload
其他步驟與配置動態幾乎相同,加了一個參數,“overload”