第十一章 網絡地址轉換

1、適用於使用NAT的各種情況：

1.需要連接到因特網，但是主機沒有公網IP地址

2.更換了一個新的ISP，需要重新組織網絡

3.需要合併兩個具有相同網絡地址的內網

網絡地址類型轉換

2、靜態NAT：靜態NAT需要網絡中每臺主機都擁有一個真實的因特網IP地址，需要在路由器上靜態映射內部到外部的地址

3、動態NAT：實現映射一個未註冊IP地址到註冊IP地址池中的一個註冊IP地址，必須保證每個在因特網中收發包的用戶都有真實的IP可用

4、複用：較爲流行的NAT配置類型，是動態NAT的一種形式；通過映射多個未註冊的IP地址到單獨一個註冊的IP地址，多對一（使用不同的端口），也被稱爲端口地址映射（PAT）

5、通過使用PAT，可實現上千用戶僅通過一個真實的全球IP地址連接到因特網

6、全局地址：在NAT轉換後使用的地址叫做全局地址，通常是使用在因特網上的公網地址

7、公網地址：如果不進入因特網，就不需要公網地址

8、本地地址：NAT轉換之前的地址，即嘗試連接到因特網的發送端主機的私有地址

9、外部本地地址：是目標主機地址，通常是一個公網地址

10、NAT術語：

內部本地：轉換之前內部源地址的名字

外部本地：轉換之前目標主機的名字

內部全局：轉換之後內部主機的名字

外部全局：轉換之後外部目標主機的名字

靜態NAT配置

11、配置示例輸出：ip nat inside source命令識別哪一個IP地址將被轉換；命令ip nat inside識別接口爲內部接口；命令ip nat outside識別接口爲外部接口

動態NAT配置

12、動態NAT意味着我們可以爲內部的用戶組提供真實的IP地址池

13、動態NAT配置示例輸出：

ip nat pool todd 170.168.2.2 170.168.2.254

  netmask 255.255.255.0

ip nat inside source list 1 pool todd

!

interface Ethernet0

  ip address 10.1.1.10 255.255.255.0

  ip nat inside

!

interface Serial0

  ip address 170.168.2.1 255.255.255.0

  ip nat outside

!

access-list 1 permit 10.1.1.0 0.0.0255

!

14、命令ip nat inside source list 1 pool todd告訴路由器把匹配access-list 1的IP地址轉換爲名字叫todd的IP NAT地址池中的一個地址

15、在這裏，訪問列表被用來選擇或指定觸發流量；當觸發流量與訪問列表匹配時，觸發流量被放入NAT過程進行轉換

16、命令ip nat pool todd 170.168.2.2 170.168.2.254創建了一個地址池，這個地址池爲那些需要NAT的主機提供地址

PAT（複用）配置

17、PAT配置實例輸出：

ip nat pool globalnet 170.168.2.1 170.168.2.1

  natmask 255.255.255.0

ip nat inside source list 1 pool globalnet overload

!

interface Ethernet0/0

  ip address 10.1.1.10 255.255.255.0

  ip nat inside

!

interface Serial0/0

  ip address 170.168.2.1 255.255.255.0

  ip nat outside

!

access-list 1 permit 10.1.1.0 0.0.0.255

18、PAT與動態NAT的配置差異：IP地址池被縮減爲一個IP地址，並且在ip nat inside source命令之後包含overload命令

NAT的簡單驗證

19、查看基本IP地址轉換信息：

Router#show ip nat translation

20、顯示NAT轉換表：

Router#debug ip nat

21、從轉換表中清除NAT條目：使用clear ip nat translation命令，清除所有條目，則在命令結尾使用 *（星） 號，僅動態條目被刪除，不刪除靜態條目

22、pool（refcout）命令檢查動態地址池

23、必須在NAT表中保存初始化映射，這樣，從特定連接到達的數據包才能一直被轉換，這也將減少相同機器發送數據包到相同的外部目標時進行重複查找的次數

24、當一個條目首次被放入NAT表中，計時器開始計時，每次包經過路由器被特定條目轉換後，計時器被重置，如果計時器時期滿，條目將從NAT表中刪除，並且動態分配的地址將回到地址池中等待再次分配

25、Cisco默認轉換超時爲86400秒（24小時），可使用ip nat translation timeout命令更改

26、每個NAT映射佔用大約160字節的內存

測試並診斷NAT故障

27、 檢查動態地址池中地址範圍是否正確

檢查動態地址是否重疊

檢查被映射地址與動態地址池中的地址是否重疊

確定訪問列表指定正確的轉換地址

確信列表中地址無遺漏，無多餘

確信內部、外部接口都已經恰當地界定

28、使用ip nat translation max-entries命令來解除NAT表的條目限制

29、排除故障的命令是show ip nat statistics，可得到NAT配置彙總

使用SDM配置NAT