CCNA讲义之NAT篇.doc

使用NAT和PAT扩展网络 在扩展性方面，Internet面临两种挑战1、IP地址耗尽2、路由选择表不断增大。CISCO IOS网络地址转换（NAT）是一种节省大型网络的IP地址、简化IP地址管理任务的机制，将内部网络中的私有IP地址转换为合法的IP地址，以便在外部公共网络（如Internet）中传输数据流；对于到来的数据流则进行相反的转换，以便在内部网络中传递，NAT为使用私有地址的网络提供了一种访问公共网络的机制。 NAT和PAT简介 CISCO NAT让没有使用公共编址方案的组织能够连接到Internet,通过将私有地址转换为全局公共IP地址实现的。同时，CISCO IOS NAT还能够对外部网络隐藏内部IP地址，从而提高了网络的安全性。 下图演示了私有地址如何被映射到全局（外部）地址，从而通过公共网络进行通信： NAT运行在连接两个网络的路由器上，路由器在网络之间转发分组之前，将在私有（内部本地）地址和公共（外部全局）地址之间进行转换。配置NAT，使之只向外部世界通告一个地址，有效的对外部世界隐藏了内部网络，从而提高了安全性。 NAT中的术语 在NAT中，内部网络指的是被转换的网络；外部网络指的是其它使用Internet上合法地址的所有网络： 内部本地地址：分配了私有IP地址的内部地址 内部全局地址：注册了合法地址的内部地址； 外部全局地址：注册了合法地址的外部地址； 外部本地地址：分配了私有IP地址的内部地址。 NAT的优点： 避免了重新编址：NAT避免了给需要访问外部网络的主机重新分配地址，节省了时间和费用。 节省了地址：通过使用NAT，内部主机可以使用一个IP地址来与外部网络通信，这样只需较少的公共地址就可以支持众多的内部主机，节省了IP地址。 提高了网络的安全性：由于私有网络不通告其地址和内部拓扑。隐藏网络寻址方案，提高了安全性。 地址转换的类型 静态NAT：以一对一的方式将私有IP地址映射到公共IP地址；常用于外部网络访问内部设备时； 动态NAT：将私有IP地址映射到一组公共IP地址中的一个。 重载（PAT端口地址转换）：一种动态NAT，通过使用不同的端口将多个私有IP地址影射到一个公共IP地址（多对一），被成为端口地址转换（PAT）。 通过使用PAT，可以将多个私有地址转换为一个或几个公共地址。 PAT使用独一无二的源端口号来区分不同的转换，下图是一个PAT范例。在这个例子中，子网10.6.1.0中的两台设备都使用全局地址171.69.68.10来访问Internet,但源端口号不同，因此这两种转换是不同的： 由于端口号为16比特，因此从理论上说，最多可以将65536个不同的私有地址转换成同一个公共地址。 转换内部源地址 我们来看下图，在下图中路由器将内部源地址转换为外部源地址： 内部源地址的转换过程如下： 主机1.1.1.1建立到主机B的连接； 路由器第一次从主机1.1.1.1那里收到分组后，将检查其NAT表； ·如果其中有相应的静态转换条目，则进入第3步； ·如果没有，路由器将动态地转换源地址1.1.1.1——从动态地址池中选择一个合法的全局地址，并创建一个转换条目。 路由器用转换条目中的全局地址替代内部本地源地址1.1.1.1，然后转发分组； 主机B收到分组后，使用内部全局IP地址2.2.2.2作为目标地址来响应主机1.1.1.1。 路由器收到目标地址为内部全局IP地址的分组后，将该地址作为关键字来有哪些信誉好的足球投注网站NAT表。然后将该地址转换为内部本地地址1.1.1.1，并将分组转发给主机1.1.1.1。 主机1.1.1.1收到分组后，继续发送分组，对于每个分组，路由器都重复第2～5步。 静态内部源地址转换的步骤如下： 使用全局命令ip nat inside source static在内部本地地址和内部全局地址之间建立转换关系： router(config)#ip nat inside source static local-ip global-ip 在全局配置模式下，使用命令interface选择内部接口并切换到接口配置模式： router(config)#interface type number 在接口配置模式下，使用ip nat inside命令将该接口指定为内部接口： router(config-if)#ip nat inside 退出到全局配置模式，然后使用命令interface选择外部接口，并切换到接口配置模式： router(config-if)#exit router(config)#interface type number 在接口配置模式下，使用命令in nat outside将该接口指定为外部接口： router(config-if)#ip nat outside 在下图中，需要将设备10