NAT配置..docx

NAT配置介绍?NAT技术让少数公有IP地址被使用私有地址的大量主机所共享。这一机制允许远多于IP地址空间所支持的主机共享网络。同时，由于NAT屏蔽了内部网络，也为局域网内的机器提供了安全保障。NAT的基本实施过程包括使用一个预留给本地IP网络的私有地址成立组织的内部网络，同时分配给组织一个或多个公网IP地址，并在本地网络与公网之间安装一个或多个具有NAT功能的路由器。NAT路由器实现的功能包括将数据报中私网地址转换成公网地址，反向亦然。当有报文通过时，网络地址转换其不仅检查报文信息，还将报文头中的IP地址和端口信息进行修改，以使处于NAT之后的机器共享少数公网IP地址。更多信息?何时使用NAT??因为NAT能够减少在网络环境中所需的公共IP地址需求，因此当两家公司重复内部地址合并时，这一技术是很有帮助的。当组织改变其Internet服务供应商（ISP），但网络管理员不想改变内部地址方案时，NAT也是一个很好用的工具。以下是应用NAT的场景：用户需要访问Internet但主机没有全球唯一的IP地址用户更改ISP需要对网络重新编号用户需要合并地址重复的内网?通常NAT应用于边界路由器。例如，下图中NAT应用于企业连接到Internet的路由器上：??NAT的优势与不足：??????????优势不足节约合法注册地址转换导致交换路径延时解决地址重叠问题导致端到端IP地址无法追溯提高访问Internet灵活性某些应用程序无法使用网络变动无需地址重新编号?网络地址转换类型：?静态NAT：此类NAT在本地和全局地址之间做一到一的永久映射。须注意静态NAT要求用户对每一台主机都有一个真实的Internet IP地址。动态NAT：允许用户将一个未登记的IP地址映射到一个登记的IP地址池中的一个。采用动态分配的方法将外部合法地址映射到内部网络，无需像静态NAT那样，通过对路由器进行静态配置来将内部地址映射到外部地址，但是必须有足够的真正的IP地址来进行收发包。端口NAT（PAT）：最为流行的NAT配置类型。通过多个源端口，将多个未登记的IP地址映射到一个合法IP地址（多到一）。使用PAT能够使上千个用户仅使用一个全局IP地址连接到Internet。?NAT术语：?NAT术语还是比较直观的。NAT地址转换之后成为全局地址。通常是Internet上使用的公网地址。如果不访问Internet的话就不需要用到。本地地址：NAT地址转换之前用到的地址。内部本地地址实际上是尝试访问Internet的发送主机的私有地址。外部本地地址通常是连接到用户ISP的路由器接口，也是报文开始传输的公有地址。?转换之后，内部本地地址之后被称为内部全局地址，而外部全局地址成为目标主机的地址。如下表所示：?????????名称含义内部本地转换前的源主机内部地址外部本地Internet上识别到源主机的地址。通常是连接到ISP的路由器接口——真实的Internet地址。内部全局转换后连接到Internet的源主机地址。也是真实的Internet地址外部全局外部目标主机地址，同样是真实的Internet地址?NAT实现细节：?下图中，主机将报文发送到有NAT功能的边界路由器。路由器将源IP地址识别为内部本地IP地址，在报文中转换源IP地址，并在NAT表中记录此次转换。?配有新转换源地址的报文发送到外部接口。外部主机将报文发送给目的主机并且NAT路由器通过NAT表将内部全局IP地址转换回内部本地IP地址。?PAT方式中，所有内部主机都转换为一个IP地址。如下图所示，除了内部本地IP地址和内部全局IP地址以外，还多了一个端口号。端口号帮助路由器识别哪一台主机应当收到返回数据。路由器使用来自各主机的源端口好来区别他们各自发出的数据。注意当报文离开路由器时有一个目标端口号80，而HTTP服务器将报文发回时目的端口号为1026。从而允许NAT转换路由器区别NAT表中的主机然后将目的IP地址转换回内部本地地址。?本例中，端口号在传输层用户识别本地主机。如果必须要使用真实全局IP地址来识别源主机，那就只能通过静态NAT，并且会用光所有地址。PAT允许我们在传输层识别主机，从而理论上一个真实IP地址可被65，000台主机共享。?静态NAT配置：?ipnat inside source static !Interface Ethernet0ipaddress0 ipnat inside!interface Serial0ip address ipnatoutside!?在第一个路由器输出中，?ipnat inside source?命令指定需要转换的IP地址。本例中，此命令配置了内部本地IP地址到外部全局IP地址的静态配置。在各接口下都有一条ipnat命令。ipnat inside命令将该接口识别