地址转换的问题
第十二章地址转换的问题
12.1嵌入的地址信息:
转换在有效地址载荷中嵌入地址消息:
1.DNS回复和区域传输
2.路由选择更新
3.IGMP组播消息
4.DHCP和BOOTP协议
5.有些HTML d代码
https://www.360docs.net/doc/f918521644.html,BIOS
7.大多数多煤体
8.SQL服务器连接
嵌入地址信息问题:
支持的协议和应用:
cisco ios 在执行地址转换时能查找在数据包载荷中的地址信息,cisco 能为一个连接检查潜入的地址消息,将其和它的地址转换表中的地址转换表中的信息比较,并做出适当的该表。默认地,当cisco ios 被配置实施地址转换时,它对任何数据报头信息执行地址转换,包括ip
包头中的源和目的地址以及tcp和udp报文头中的端口号
-----------------------应用层网关(ALG)地址转换支持----------------------------
ICMP 支持NAT和PA T转换,使用PAT的时,因为ICMP不支持端口号,则cisco ios使用序列号
将icmp流量和特定的内部设备相关
FTP 在端口为21的tcp连接上检查PORT和PASV命令
NetBIOS:支持数据报,名称和会话连接检查,
RealAudio:为嵌入的地址和端口信息检查附加的连接建立请求
CuSeeMe :为嵌入的地址和端口信息检查附加的俩捏建立请求
StreamWork :为嵌入的地址和端口信息检查附加的俩捏建立请求
DNS :检查DNS回复,并转换A和PTR地址信息
NetMeeting:对于NetMeeting2.x和3.x支持H.323v2并对于2.x支持H323v1,还可以通过internet定位服务器(internet locator server lls)支持netmeeting目录,这个用来发现
其他netmeeting用户
GRE:检测基本路由封装,(Generic Route Encapsulation ,GRE)隧道数据包,对已经封装的数据包执行转换。
H.323v2 :检查连接中的Alerting,communicationModeCommand,communicationModeRespone Facility,FastConnect,OpenLogicalChannel,OpenLogicalChannelAck,progress 和setup消
息,
H.323v3和h.323v4:支持与h323v3和v4的互操作,但不检查这些新版本中引入的新的消息类型
SIP:从cisco ios 12.2(8)T开始支持sip
Skinny (SCCP):从12.1(5)T开始支持skinny
VDOLive:为嵌入的地址和端口信息检查附加的连接建立请求
Vxtreme:为嵌入的地址和端口信息检查附加的请求连接
---------------------------------------------------------
非标准的端口号:
cisco ios只在众所周知的端口上检查嵌入地址消息的应用
ip nat服务配置:
ip nat service命令来配置:router(config)# ip nat service list ACL_#_or_name ftp
tcp port _port_#
router(config)# ip nat service sip tcp |udp port port_#
router(config)# ip nat service skinny tcp port port_#
sip的非标准端口是在cisco ios 12.2(8)T中才支持的,默认端口是5060 。Skinny 支持是在cisco ios 12.1(5)T 中,默认端口是2000上。
12.2控制地址转换:
使用ACL:使用简单的ACL来定义那些地址不用被转换,那些地址需要被转换。
使用路由映射:动态转换:
路由映射用来在路由器上实施路由选择策略。但cisco 也允许他们用在其他情形中如地址转
换。
router(config)# ip nat inside source rotue-map _route_map_name pool _Nat_pool_name
使用route-map命令来指定路由映射。
使用路由映射:静态转换:从cisco ios 12.2(4)开始,路由映射也支持和静态NA T一起使用。router(config)# ip nat inside static _local_ip_address route-map
_route_map_name [extendable]
router(config)# ip nat inside source static tcp |udp local_ip_address local_port_#
global_ip_address global_port# route-map route_map_name [extendable
extendable 命令可以将多余一个的全局地址关联到本地
12.3地址转换和冗余:
cisco ios为地址转换提供了两钟地址冗余:1.使用热备路由协议(host Standy Router Protocol,HSRP )的静态NAT冗余,在cisco ios 12.2(4)t版本中使用
2.有状态地址转换失败切换,在cisco ios 12.2
(13)t中被支持。
使用HSRP的静态NA T冗余:
使用HSRP的静态NA T冗余常用于小型网络。
HSRP 冗余过程:、在使用HSRP来提供静态NA T冗余,静态NAT配置被镜像到两台路由器上,而
只有活动的路由器处理流量,HSRP被配置在子网的默认网关上,一台路由器被配置成活的路由
器,其余的被配置成备分的。
HSRP冗余配置:
1.配置HSRP:router(config)# interface _type
router(config-if)#ip address ip_address subnet
router(config-if)# no ip redirects
router(config-if)#standby [group_#] name {HSRP_group_name]
router(config-if)#standby [hsrp_group] uo ip_address
router(config-if)#standby [group_#] preempt
router(config-if)#standby [group_#] priority _priority_#
router(config-if)#standby [group_#] track _interface decrement_value
2.使用HSRP集成静态NAT配置:
router(config)# ip nat inside |outside source static _local_ip_address
_global_ip_address redundancy HSRP_group_name
router(config-if)# ip nat[inside |outside}
有状态的地址转换失败切换:
从cisco ios 12.2(13)T开始,cisco 引入了有状态的地址转换失败切换阶段1,被称为有状态的NAT(statefulNA T,SNAT),这个是cisco实施SNAT的第一步,在这个解决方案中,使用两台地
址转换路由器,一台主路由器和一台备分路由器,这些路由器被称为转换组,转换组中的主路
由器执行现行的路由器转换,备份路由器接收来自主路由器的地址转换更新(添加和删除),并检查主路由器正常工作,如果主路由器失败,备份路由器开始使用它从主路由器那里共享来
的地址转换表处理流量,通过使用tcp连接主路由器和备粉路由器共享地址消息,
使用HSRP的SNAT:
配置步骤:
1.配置HSRP :router(config)# interface _type
router(config-if)#ip address ip_address subnet
router(config-if)# no ip redirects
router(config-if)#standby [group_#] name {HSRP_group_name]
router(config-if)#standby [hsrp_group] uo ip_address
router(config-if)#standby [group_#] preempt
router(config-if)#standby [group_#] priority _priority_#
router(config-if)#standby [group_#] track _interface decrement_value
2.配置有状态的失败切换:router(config)# ip nat stateful id router_ID#
router(config-ipnat-snat)# redundancy HSRP_group_name
router(config-ipnat-snat)# mapping-id mapping_ID_#
redundancy命令指定提供冗余的HSRP组名,使用standy在路由器上配置的组名字mapping-id命令指定一个从1到2147483647的数字,来唯一的标识从活动的路由器将发送到备
分路由器的转换;这些命令必须配置在所有的hsrp组的路由器上,每给路由器有唯一的标识,
hsrp组名和映射ID号是相同的
3.配置地址转换:使用HSRP的SNA T地址转换:
router(config)# ip nat pool global_pool_name begin_ip_address end_ip_address
prefix-length prefix_number#
router(config)# ip nat inside source route-map route_map_name pool
_global_pool_name mapping-id mapping_ID_# [overload]
router(config)# ip nat inside source list ACL_#_or_name pool global_pool_name
mapping-id mapping_ID_# [overload]
可以使用ip nat {inside |outside}应用在端口上!!
不使用hsrp的snat:当两个路由器不能为内部主机提供默认网关的时候,通常使用不使用hsrp的snat
不使用hsrp的snat的配置:
1.通过定义主要和备用路由器使用下面的命令:router(config)# ip nat stateful id
rotuer(config-ipnat-snat)#primary
_local_ip_address_to_use
rotuer(config-ipnat-snat-red)#peer
_backup_router's_ip_address
rotuer(config-ipnat-snat-red)#mappingid
mapping_ID_#
ip nat stateful命令给这台路由器分配了一个唯一的路由器ID,
primary命令指定了这个是一台主路由器,必须指定一个ip地址,当她建立到备路由器的tcp 连
接tcp连接使使用的ip地址,
peer 命令指定了在备用路由器上用来端接tcp连接的ip地址
mapping-id 命令指到将和备用路由器共享的动态条目
router(config)# ip nat stateful id _route_ID_#
rotuer(config-ipnat-snat)# backup local_ip_address_to_use
rotuer(config-ipnat-snat-red)#peer _primary_router's_ip_address
rotuer(config-ipnat-snat-red)#mapping-id mapping_ID_#
2.配置地址转换:router(config)# ip nat stateful id router_ID#
router(config-ipnat-snat)# redundancy HSRP_group_name
router(config-ipnat-snat)# mapping-id mapping_ID_#
SNAT的验证:
router# show ip snat [distributed [verbose]| peer IP_address]
distribute 参数允许查看分布式NA T的相关信息,以及对等体连接状态,
verbose参数,可以查看关于有状态转换的本身的详细消息
使用下列命令可以清除用于有状态失效的动态地址转换:
clear# clear ip snat translation {distributed * | peer peer_ip_address [refresh]
distribute *参数将清除所有的snat动态转换,或者只清除特定snat对等体的转换,
参数refresh,使备用路由器清除它的地址转换表中的动态转换,并请求活动或者主要路由更新它当前的转换表
使用下面的命令清楚对等体SNA T路哟器的所有会话,或者只清除特定的会话:
router#clear ip snat seeion [* |peer_ip_address]
使用debug命令进行排错:
router#debug ip snat [detail] :debug ip snat是很消耗cpu资源的。
12.4使用服务器负载平衡来分配流量:
cisco在cisco ios 12.0(7)XE中引入了服务器负载平衡(sever load balancing,SLB)特性。SLB过程:
SLB有两种操作模式:定向模式和分派模式
定向模式:可以给虚拟服务器指定一个想要的ip地址,在slb组中的真正的服务器不知道这个
地址,相反cisco ios通过执行NA T将虚拟目的地址转换成真正的服务器的一个地址
分派模式是SLB的默认模式,真正的服务器知道虚拟服务器地址,实际上真正服务器上配置了
两个ip地址,他们自己的ip地址和虚拟ip地址,虚拟ip地址被配置成一个回环地址,或者是一
SLB中使用的负载平衡算法:
1.加权循环(Weighted round robin,WRR);
2.加权最少连接9Weighted lest connection,WLC)
其他负载平衡特性:
1.慢速开始
2.最多连接
3.指定客护端
4.黏性连接
5.自动服务器恢复检测
6.TCP会话重新分配
7.SYN守卫
8.延迟删除TCP连接
9.动态反馈协议(dynamic Feedback protocol,DFP)
10.无转台备份
SLB的优点和局限性:
优点:可以提供一个易于维护的可扩展方案
局限性:1.ftp只被分派模式支持
2.只支持不同子网的负载平衡,不支持相同子网不同设备间的负载平衡
3.对于使用分派模式的路由器,真正服务器必须通过第二层连接到SLB路由器
4.对于使用定向和分派模式的路由器,包交换不能被硬加速
5.SLB只被2690系列和更高系列的路由器支持。
SLB的配置:
必要的SLB命令:router(config)# ip slb serverfarm _server_farm_name
router(config-slb-sfarm)#real IP_address
router(config-slb-real)# inservice
ip slb serverfarm 命令建立一个真正的服务器群组,服务器群组的名称最多不超过15个字符real命令指定服务器组中的真正的ip地址,
inservice命令在这个组中启用这个服务器
在建立一个真正的服务器组后,需要将这个服务器组关联到一台虚拟服务器:
router(config)# ip slb vserver _virtual_server_name
router(config-slb-vserver)# serverfarm _server_farm_name
rotuer(config-slb-vsrver)#virtual _IP_address {tcp | udp} port_# [service
_service_name]
router(config-slb-vserver)# inservice
ip slb vserver命令用来为虚拟服务器建立必要的信息,必须为虚拟服务器指定一个名称,不能超过15字符,
serverfarm命令指定拿个服务器组被用来处理发到虚拟ip地址的流量。
使用virtual命令为虚拟服务器配置ip地址,还必须使用协议tcp|udp ,以及端口号或者虚拟服务器要处理的应用名称
service参数知道能够一个客户的所有相关谅解都由相同的真正服务器处理,当前可以选择的
只有ftp。
inservice命令激活虚拟服务器。
可选的slb命令:
负载平衡的算法:
slb默认的算法是WRR,可以使用下面的命令来改变:router(config)# ip slb serverfarm
_server_farm_name
router(config-slb-sfarm)# predictor
{roundrobin |lelastconns}
roundrobin指定为WRR算法,leastconns 指定为WLC算法
真正服务器属性:
router(config)# ip slb serverfarm _serverfarm_name
router(config-slb-sfarm)#real _ip_address
router(config-slb-real)# faildetect numconns _#_of_connection
router(config-slb-real)#maxconns _maxium_#_of_connection
router(config-slb-real)#ressign #_of_Syn_request
router(config-slb-real)#weiht _weighting_value
faildetect numconns命令指定连续失败客户端连接的次数,这个树木会使slb人真正的服务器不能提供服务。默认的数目是8次,但是可以是1到255
maxconns 命令限制允许到真正服务器的活动连接数目。可以是1到4294967295 ,默认是4294967295
ressign 命令只定从一个客户端到一抬真正服务器的连续被忽略的syn数目,这个数目可以允
许slb重新将客户分配到不同的真正的服务器。slb为这个连接建立等待30秒,这个时间后,slb将这个连接从它的表中删除,阀值可以1到4 个syn请求之间,默认是3
retry命令了在检测到一台服务器失败以后,cisco ios应该等待多少秒后允许一个新的连接尝试,值可以从0到3600秒,默认值是60 秒,如果指定了0,当服务器被认为不能提供服务之
后,不会进行新的连接尝试
weight命令给一台真正的服务器指定一个权重,然后负载平衡算法使用这个值。
虚拟服务器的属性:
router(config)# ip slb vserver _virtual_server_name
router(config-slb-vserver)#client _ip_address _subnet_mask
router(config-slb-vserver)#delay #_of_seconds
router(config-slb-vserver)#idle #_od_seconds
router(config-slb-vserver)#sticky #_of_seconds [group _gruop_id]
router(config-slb-vserver)#synguard #_ofSYN #_of_milliseconds
router(config-slb-vserver)#no adverise
client命令限制使用虚拟服务器的客户端,默认是允许所有,0.0.0.0 0.0.0.0
delay命令指定在连接终止后,slb将在它的状态表中维护客户端的秒数。默认是10秒,可以是
1到600 秒
idle 命令指定slb中它的表中保持一个空闲连接的秒数,默认是3600秒,取值范围可以是10
到65535
sticky命令指定一个时间长度,在这段时间内来自同一个客户端的所有连接被发到同一个真正
服务器,默认是关闭的,时间范围是0到65535
group参数将一台虚拟服务器和一个组号相关联,组号范围是1到255
synguard命令控制到新连接的TCP SYN数目,来阻止TCP SYN洪水攻击,半打开连接数目范围是
0到4294967295 ,默认是0,这个功能被关闭,当被打开的时,默认使用100毫秒时间间隔来
监控SYN洪水攻击,它的范围是50到5000毫秒
advertise 命令将发布一条到虚拟服务器地址的路由,默认地,cisco ios为虚拟服务器器建立一个静态路由,指到端口null0,保证cisco ios将处理特定虚拟服务器的流量,而不丢弃他
们,
NA T配置:
默认地,cisco ios使用分派模式为虚拟服务器地址提供服务,要使用定向模式,须为服务器群配置下列:
router(config)# ip slb serverfarm
_server_farm_name
router(config-slb-sfarm)# nat server
SLB验证:可以使用show和debug命令
-------------------------------------------slb 的show 命
令----------------------------------------------
show ip slb conns [servers virtserver_name] [client _ip_address] [detail] 显示
slb处理的所有连接,可以使用附加的参数来限制输出
show ip slb dfp[agent _ip_address port][detail][weights] :显
示关于dfp的信息和使用dfp真正的服务器
show ip slb reals[vserver virtserver_name][detail]:显
示在slb中定义的真正服务器相关信息
show ip slb serverfarms[name _serverfarm_name][detail]:显示slb中
定义的服务器群组的相关信息
show ip slb stats 显
示关于slb的统计信息
show ip slb sticky [client _ip_address] 显
示关于客户黏性连接的相关信息
show ip slb servers [name virtserver_name][detail 显示slb的
虚拟服务器的相关消息
----------------------------------------------------------------------------------
----------------------------------
使用debug命令:router# debug ip slb {conns /dfp | icmp /reals /all}
----------------------------------------slb 的debug 参
数---------------------------------------------
conns 显示slb处理的连接的消息
dfp 显示关于dfp消息相关消息
icmp 显示slb使用的所有icmp信息
reals 显示slb使用的真正服务器的所有消息
all 为slb显示所有的debug消息
---------------------------------------------------------------------------------- ----------
SLB例子
网络地址转换NAT配置实验
. . 实验 网络地址转换NAT 配置实验 学号 _________ 学生 _____ 实验时间____________________ 课程名称:交换机/路由器配置 辅导教师:泰峰 任务一 利用动态NAPT 实现局域网访问互联网 [实验名称] 利用动态NAPT 实现局域网访问互联网。 [实验目的] 掌握网中所有主机连接到Internet 网时,通过端口号区分的复用部全局地址转换。 [背景描述] 你是某公司的网络管理员,公司只向ISP 申请了一个公网IP 地址,希望全公司的主机都能访问外网,请你实现。 [技术原理] NAT(网络地址转换或网络地址翻译),是指将网络地址从一个地址空间转换为另一个地址空间的行为。 NAT 将网络划分为部网络(inside)和外部网络(outside)两部分。局域网主机利用NAT 访问网络时,是将局域网部的本地地址转换为全局地址(互联网合法IP 地址)后转发数据包。 NAT 分为两种类型:NA T(网络地址转换)和NAPT(网络地址端口转换)。NAT 是实现转换后一个本地IP 地址对应与一个全局地址。NAPT 是实现转换后多个IP 地址对应一个全局地址。目前网络中由于公网IP 地址紧缺,而局域网主机数较多,因此一般使用动态的NAPT 实现局域网多台主机共用一个或少数几个公网IP 访问互联网。 [实现功能] 允许部所有主机在公网地址缺乏的情况下可以访问外部网络。 [实验设备] R1762路由器(两台)、V .35线缆(1条)、PC (两台)直连线或交叉线(2) [实验拓扑] [实验步骤] 步骤1. 基本配置 192.17.4.1/24 F1/0 192.17.3.1/24 192.17.4.2/24 192.17.3.2/24 S1/2 S1/2 R1 Lan-router Internet-router F1/0 192.17.1.1/24 192.17.1.2/24 R2
NAT地址转换的配置
NAT地址转换的配置 一、实验目的 1.掌握地址转换的配置 2.掌握向外发布内部服务器地址转换的方法 3.掌握私有地址访问INTERNET的配置方法 二、应用环境 1.企业内部有对INTETNET提供服务的WEB服务器 2.企业内部使用私有地址的主机需要访问INTERNET 三、实验设备 1.DCR-1702 两台 2.PC机两台 四、实验拓扑 五、实验要求 配置表 Router-A Router-B F0/0 192.168.0.1/24 F0/0 192.168.2.1/24 S1/1 (DCE) 192.168.1.1/24 S1/0 192.168.1.2/24 PC SERVER IP 192.168.0.3/24 192.168.2.2/24 网关192.168.0.1 192.168.2.1 六、实验步骤 内部的PC需要访问外部的服务器: 假设在ROUTER-A上做地址转换,将192.168.0.0/24转换成192.168.1.10 –192.168.1.20之间的地址,并且做端口的地址复用
第一步:按实验三和上表将接口地址和PC地址配置好,并且做连通性测试 第二步:配置ROUTER-A的NAT Router-A#conf Router-A_config#ip access-list standard 1 !定义访问控制列表 Router-A_config_std_nacl#permit 192.168.0.0 255.255.255.0 !定义允许转换的源地址范围Router-A_config_std_nacl#exit Router-A_config#ip nat pool overld 192.168.1.10 192.168.1.20 255.255.255.0 !定义名为overld的转换地址池Router-A_config#ip nat inside source list 1 pool overld overload !配置将ACL允许的源地址转换成overld中的地址,并且做PAT的地址复用(overload的意思就是复用,这个作用就是使用一个地址可以重复使用(用端口号进行区分),说白了就是如果不加overload就根据IP来转换,加overload的话就根据端口来转换!) Router-A_config#int f0/0 Router-A_config_f0/0#ip nat inside !定义F0/0为内部接口 Router-A_config_f0/0#int s1/1 Router-A_config_s1/1#ip nat outside !定义S1/1为外部接口 Router-A_config_s1/1#exit Router-A_config#ip route 0.0.0.0 0.0.0.0 192.168.1.2 !配置路由器A的缺省路由 第三步:查看ROUTER-B的路由表 Router-B#sh ip route Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected D - DEIGRP, DEX - external DEIGRP, O - OSPF, OIA - OSPF inter area ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2 OE1 - OSPF external type 1, OE2 - OSPF external type 2 DHCP - DHCP type VRF ID: 0 C 192.168.1.0/24 is directly connected, Serial1/0 C 192.168.2.0/24 is directly connected, FastEthernet0/0 !注意:并没有到192.168.0.0的路由 第四步:测试 第五步:查看地址转换表 Router-A#sh ip nat translatios Pro. Dir Inside local Inside global Outside local Outside global ICMP OUT 192.168.0.3:512 192.168.1.10:12512 192.168.1.2:12512 192.168.1.2:12512 注意:端口的转换
思科网络地址转换(NAT)配置
Isp no ena config t host ISP no ip domain-lookup line con 0 exec-timeout 0 0 inter e0/1 ip add 202.1.1.2 255.255.255.0 no shut inter e0/2 ip add 203.1.1.1 255.255.255.0 no shut router1 no ena config t no ip domain-lookup host Router1 line con 0 exec-timeout 0 0 host R1 inter e0/0 ip add 192.168.10.1 255.255.255.0 no shut inter e0/1
ip add 202.1.1.1 255.255.255.0 no shut ip route 0.0.0.0 0.0.0.0 202.1.1.2 int e0/0 //静态NAP ip nat inside int e0/1 ip nat outside ip nat inside source static 192.168.10.10 202.1.1.3 ip nat pool hello 202.1.1.10 202.1.1.12 netmask 255.255.255.0 //动态NAP access-list 1 permit 192.168.10.0 0.0.0.255 ip nat inside source list 1 pool hello ip nat inside source list 1 pool hello overload //PAT技术
浅谈网络地址转换(NAT)的三种方式
浅谈网络地址转换(NAT)的三种方式 由于互联网用户的迅猛发展,IP地址越来越不够用,网络地址转换(NAT)的出现解决了这一问题。本文通过实例着重阐述了NAT的三种网络地址转换方式及地址的转换过程。 标签:NAT 静态转换动态转换端口多路复用 由于互联网用户的迅猛发展,IP地址越来越不够用,怎么办呢?网络地址转换(NAT)的出现解决了这一问题。NAT提供了局域网共享上网的简单方案,内部网络用户连接互联网时,NAT将用户的内部IP地址转换成一个外部公共IP 地址,反之,数据从外部返回时,NAT反向将目标地址替换成初始的内部用户的地址。简言之,NAT的作用就是把内网的私有地址,转化成外网的公有地址,使得内部网络上的(被设置为私有IP地址的)主机可以访问Internet。 那么NAT有哪些方式可以实现网络地址的转换呢?怎么实现? 在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT。通常情况下,连接到用户内部网络的接口是NAT 内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。 ①静态转换是指将内部网络的私有IP地址转换为公有IP地址时,IP地址是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 实例分析: 假设内部局域网使用的lP地址段为192.168.0.1——192.168.0.254,路由器局域网端(即默认网关)的IP地址为192.168.0.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为66.158.68.128——66.158.68.135,路由器在广域网中的IP地址为66.158.68.129,子网掩码为255.255.255.248可用于转换的IP地址范围为66.158.68.130——66.158.68.134。要求将内部网址192.168.0.2——192.168.0.6分别转换为合法IP地址66.158.68.130——66.158.68.134。 第一步,设置外部端口。 interface serial 0 ip address 66.158.68.129 255.255.255.248 ip nat outside
实验 NAT-网络地址转换协议配置实验
实验 NAT-网络地址转换协议配置实验 一、实验目的 加深对NAT-网络地址转换协议工作原理的理解,掌握NAT-网络地址转换协议的应用与配置。 二、实验命令简介 1、锐捷公司路由器使用以下配置命令来配置静态NAT: (1)定义内网接口和外网接口 Router(config)#interface fastethernet 1/0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 1/1 Router(config-if)#ip nat inside (2)建立静态的映射关系 Router(config)#ip nat inside source static 192.168.1.7 200.8.7.3 2、锐捷公司路由器使用以下配置命令来配置静态NAPT: (1)定义内网接口和外网接口 Router(config)#interface fastethernet 0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 1 Router(config-if)#ip nat inside (2)建立静态的映射关系 Router(config)#ip nat inside source static tcp
192.168.1.7 1024 200.8.7.3 1024 Router(config)#ip nat inside source static udp 192.168.1.7 1024 200.8.7.3 1024 3、锐捷公司路由器使用以下配置命令来配置动态NAT: (1)定义内网接口和外网接口 Router(config-if)#ip nat outside Router(config-if)#ip nat inside (2)定义内部本地地址范围 Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 (3)定义内部全局地址池 Router(config)#ip nat pool abc 200.8.7.3 200.8.7.10 netmask 255.255.255.0 (4)建立映射关系 Router(config)#ip nat inside source list 10 pool abc 4、锐捷公司路由器使用以下配置命令来配置动态NAPT: (1)定义内网接口和外网接口 Router(config-if)#ip nat outside Router(config-if)#ip nat inside (2)定义内部本地地址范围 Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255
网络地址转换NAT配置实验
实验 网络地址转换NAT 配置实验 学号 _________ 学生姓名 _____ 实验时间____________________ 课程名称:交换机/路由器配置 辅导教师:陈泰峰 任务一 利用动态NAPT 实现局域网访问互联网 [实验名称] 利用动态NAPT 实现局域网访问互联网。 [实验目的] 掌握内网中所有主机连接到Internet 网时,通过端口号区分的复用内部全局地址转换。 [背景描述] 你是某公司的网络管理员,公司只向ISP 申请了一个公网IP 地址,希望全公司的主机都能访问外网,请你实现。 [技术原理] NAT(网络地址转换或网络地址翻译),是指将网络地址从一个地址空间转换为另一个地址空间的行为。 NAT 将网络划分为内部网络(inside)和外部网络(outside)两部分。局域网主机利用NA T 访问网络时,是将局域网内部的本地地址转换为全局地址(互联网合法IP 地址)后转发数据包。 NAT 分为两种类型:NA T(网络地址转换)和NAPT(网络地址端口转换)。NAT 是实现转换后一个本地IP 地址对应与一个全局地址。NAPT 是实现转换后多个IP 地址对应一个全局地址。目前网络中由于公网IP 地址紧缺,而局域网主机数较多,因此一般使用动态的NAPT 实现局域网多台主机共用一个或少数几个公网IP 访问互联网。 [实现功能] 允许内部所有主机在公网地址缺乏的情况下可以访问外部网络。 [实验设备] R1762路由器(两台)、V .35线缆(1条)、PC (两台)直连线或交叉线(2) [实验拓扑] [实验步骤] 步骤1. 基本配置 局域网路由器Router2 基本配置 router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. 192.17.4.1/24 F1/0 192.17.3.1/24 192.17.4.2/24 192.17.3.2/24 S1/2 R1 Lan-router Internet-router F1/0 192.17.1.1/24 192.17.1.2/24 R2
实验12 (NAT)网络地址转换及配置
实验报告 实验名称网络地址转换及配置实验拓扑图: 一、按照拓扑结构图组网,给各设备接口和主机分配好IP地址、子网掩码等,完成基本配置,测试直连链路连通性。 (1)RTA: 为s0/0/1配置IP地址 RTA(config)#int s0/0/1 RTA(config-if)#ip add 202.101.100.1 255.255.255.224 RTA(config-if)#clock rate 64000 RTA(config-if)#no shut 为f0/0配置IP地址 RTA(config)#int f0/0 RTA(config-if)#ip add 10.0.0.1 255.0.0.0 RTA(config-if)#no shut (2)RTB和PCB: 为s0/2/1配置IP地址 RTB(config)#int s0/2/1 RTB(config-if)#ip add 202.101.100.2 255.255.255.224 RTB(config-if)#no shut 为f0/0配置IP地址 RTB(config)#int f0/0 RTB(config-if)#ip add 192.168.3.1 255.255.255.0 RTB(config-if)#no shut
把PCB的IP地址改成192.168.3.2 255.255.255.0 测试连通性 (3)RTC: 为f0/0配置IP地址 RTC(config)#int f0/0 RTC(config-if)#ip address 10.0.0.2 255.0.0.0 RTC(config-if)#no shut (4)PCA: 把IP地址改成10.0.0.11 255.0.0.0 二、在三台路由器上配置静态路由 (1)RTA: 配置到RTB的静态路由: RTA(config)#ip route 0.0.0.0 0.0.0.0 202.101.100.2 测试连通性 ping RTB RTA#ping 192.168.3.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms ping RTC RTA#ping 10.0.0.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.0.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms (2)RTB: 配置到RTA的静态路由: RTB(config)#ip route 202.101.100.32 255.255.255.224 202.101.100.1 RTB ping RTA RTB#ping 202.101.100.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 202.101.100.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms (3)RTC: 配置到RTA的静态路由: RTC(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1 测试连通性 RTC ping RTA RTB#ping 202.101.100.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 202.101.100.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms 分析:RTB和RTA不能相互ping通,因为RTB处于外网
网络地址转换NAT配置
Packet Tracer 5.2实验(十四) 网络地址转换NAT配置 一、实验目标 ?理解NAT网络地址转换的原理及功能; ?掌握静态NAT的配置,实现局域网访问互联网; 二、实验背景 公司欲发布WWW服务,现要求将 内网Web服务器IP地址映射为全 局IP地址,实现外部网络可访问公 司内部Web服务器。 三、技术原理 ?网络地址转换NAT(Network Address Translation),被广泛 应用于各种类型Internet接入方 式和各种类型的网络中。原因很简 单,NAT不仅完美解决了IP地址 不足的问题,而且还能够有效地避 免来自网络外部的攻击,隐藏并保 护网络内部的计算机。 ?默认情况下,内部IP地址是无法被路由到外网的,内部主机 10.1.1.1要与外部internet通 信,IP包到达NAT路由器时,IP 包头的源地址10.1.1.1被替换成 一个合法的外网IP,并在NAT转 换表中保存这条记录。当外部主机 发送一个应答到内网时,NAT路 由器收到后,查看当前NAT转换 表,用10.1.1.1替换掉这个外网 地址。 ?NAT将网络划分为内部网络和外部网络两部分,局域网主机利用 NAT访问网络时,是将局域网内 部的本地地址转换为全局地址(互 联网合法的IP地址)后转发数据 包。
?NAT分为两种类型:NAT(网络地址转换)和NAPT(网络端口地址 转换IP地址对应一个全局地址)。 ?静态NAT:实现内部地址与外部地址一对一的映射。现实中,一般都 用于服务器; ?动态NAT:定义一个地址池,自动映射,也是一对一的。现实中,用 得比较少; ?NAPT:使用不同的端口来映射多个内网IP地址到一个指定的外网IP 地址,多对一。 四、实验步骤 实验拓扑 1、R1为公司出口路由器,其与外 部路由之间通过V.35电缆串口连 接,DCE端连接在R2上,配置其 时钟频率为64000; 2、配置PC机、服务器及路由器接 口IP地址; 3、在各路由器上配置静态路由协议, 让PC间能相互ping通; 4、在R1上配置静态NAT; 5、在R1上定义内外部网络接口; 6、验证主机之间的互通性。
网络端口地址转换NAPT配置
理解NA T网络地址转换的原理及功能; 掌握NAPT的配置,实现局域网访问互联网; 实验背景 你是某公司的网络管理员,公司办公网需要接入互联网,公司只向ISP申请了一条专线,该专线分配了一个公网IP地址,配置实现全公司的主机都能访问外网。 技术原理 NA T将网络划分为内部网络和外部网络两部分,局域网主机利用NA T访问网络时,是将局域网内部的本地地址转换为全局地址(互联网合法的IP地址)后转发数据包; NA T分为两种类型:NA T(网络地址转换)和NAPT(网络端口地址转换IP地址对应一个全局地址)。 NAPT:使用不同的端口来映射多个内网IP地址到一个指定的外网IP地址,多对一。 NAPT采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。 实验步骤 新建packet tracer 拓扑图(如图) (1)R1为公司出口路由器,其与ISP路由器之间通过V.35电缆串口连接,DCE端连接在R1上,配置其时钟频率64000; (2)配置PC机、服务器及路由器接口IP地址; (3)在各路由器上配置静态路由协议,让pc间能相互ping通; (4)在R1上配置NAPT。 (5)在R1上定义内外部网络接口。 (6)验证主机之间的互通性。
Router> Router>en Router#conf t Router(config)#host R1 R1(config)#int f0/0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#exit R1(config)#int s2/0 R1(config-if)#ip address 200.1.1.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#clock rate 64000 R1(config-if)#exit R1(config)#ip route 200.1.2.0 255.255.255.0 200.1.1.2 R1(config)#int f0/0 R1(config-if)#ip nat inside R1(config-if)#exit R1(config)#int s2/0 R1(config-if)#ip nat outside R1(config-if)#exit R1(config)#access-list 1 permit any R1(config)#ip nat pool jw 200.1.1.20 200.1.1.20 netmask 255.255.255.0 R1(config)#ip nat inside source list 1 pool jw overload R1(config)#exit
动态NAT地址转换配置
动态NAT地址转换配置 要求:10.0.1.0/24可以访问外网,其它不行。 实验环境:Cisco Packet Tracer 实验条件:三台PC,两台服务器,三个路由器,若干交叉线,若干DCE串口线。 实验步骤: 1、实现全网互通: R1: Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ho Router(config)#hostname R1 R1(config)#int f0/0 R1(config-if)#ip ad
R1(config-if)#ip address 10.0.1.254 255.255.255.0 R1(config-if)#no shut R1(config-if)#no shutdown R1(config-if)#int f0/1 R1(config-if)#ip address 10.0.2.254 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#int s1/0 R1(config-if)#ip ad R1(config-if)#ip address 30.0.0.1 255.255.255.0 R1(config-if)#cl R1(config-if)#clock ra R1(config-if)#clock rate 64000 R1(config-if)#no shutdown R1(config-if)# R1(config)#ro R1(config)#router os R1(config)#router ospf 1 R1(config-router)#ro R1(config-router)#router-id 1.1.1.1 R1(config-router)#Reload or use "clear ip ospf process" command, for this to take effect
NGFW地址转换场景案例配置手册
关于NAT的配置指导 目录 SNAT的配置向导 (2) 用户需求 (2) 解决方案 (2) 配置指导 (2) 公司topo (2) 1、NGFW配置 (3) 2、验证ngfw上的所有配置是否成功 (6) DNAT的配置向导 (7) 用户需求 (7) 解决方案 (7) 配置指导 (7) 公司topo (7) 1、NGFW配置 (8) 2、验证ngfw上的所有配置是否成功 (11) BNAT的配置向导 (12) 用户需求 (12) 解决方案 (12) 配置指导 (12) 公司topo (13) 1、NGFW配置 (14) 2、验证ngfw上的所有配置是否成功 (17)
SNAT的配置向导 用户需求 内网pc和server等设备要通过地址转换完成上网 解决方案 可以通过我们下一代防火墙(以下简称NGFW),完成地址转换,从而保证内网pc和server等设备能正常访问互联网。 配置指导 下面以某公司的使用场景为例说明源地址转换的相关配置,公司有内网用户和www服务器都是在同一个网段,且所有设备要求等能正常访问互联网。 公司topo
1、NGFW配置 1.1 接口ip地址的配置,以wan口为例 注:内网口同样配置,区别是内网口不需要开启wan口属性 配置成功后的结果如下:
1.2 路由的相关配置 注:我们系统只能配置一条默认路由 配置成功后的接口如下 1.3 相关安全策略的配置 注:这里源地址和目的地址全部使用all,只是为了方便上线,后期建议配置成严格的安全策略
配置成功后安全策略如下: 1.4 源地址转换的配置 注:建议我们少使用使用出接口地址 配置成功后源地址转换规则如下:
PacketTracer网络地址转换NAT配置实验
网络地址转换NAT配置 一、实验目标 ?理解NAT网络地址转换的原理及功能; ?掌握静态NAT的配置,实现局域网访问互联网; 二、实验背景 公司欲发布WWW服务,现要求将内网Web服务器IP地址映射为全局IP地址,实现外部网络可访问公司内部Web服务器。 三、技术原理 ?网络地址转换NAT(Network Address Translation),被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部 的计算机。 ?默认情况下,内部IP地址是无法被路由到外网的,内部主机10.1.1.1要与外部internet通信,IP包到达NAT路由器时,IP包头的源地址10.1.1.1被替换成一 个合法的外网IP,并在NAT转换表中保存这条记录。当外部主机发送一个应答到内网时,NAT路由器收到后,查看当前NAT转换表,用10.1.1.1替换掉这个外网地址。 ?NAT将网络划分为内部网络和外部网络两部分,局域网主机利用NAT访问网络时,是将局域网内部的本地地址转换为全局地址(互联网合法的IP地址)后转发数据包。 ?NAT分为两种类型:NAT(网络地址转换)和NAPT(网络端口地址转换IP地址对应一个全局地址)。 ?静态NAT:实现内部地址与外部地址一对一的映射。现实中,一般都用于服务器; ?动态NAT:定义一个地址池,自动映射,也是一对一的。现实中,用得比较少; ?NAPT:使用不同的端口来映射多个内网IP地址到一个指定的外网IP地址,多对一。 四、实验步骤 实验拓扑
防火墙地址转换配置
实验课六、防火墙地址转换功能 1、实验目的 1)、了解地址转换技术 2)、在什么环境当中需要得到应用 3)、使学生熟悉和掌握防火墙的动态NAT功能(俗称:共享上网功能)的配置。 2、实验的应用环境 当需要进行内网或服务器等区域需要共享上网,则需要进行地址转换。 解决IPV4地址不足的问题,同时又隐藏了内部的地址和网络结构。 3、实验设备 1)、防火墙设备一台 2)、Console线一条 3)、交叉线两条 4)、PC机两台 5)、外部ISP区域线路一条 4、设备网络安全拓扑
5、实验要求 1)、防火墙配置为地址转换方式 2)、配置相关的网络对象和服务对象 3)、实验验证 6、实验操作步骤 1)、配置各个网口的IP地址 TopsecOS# network interface eth0 no switchport TopsecOS# network interface eth0 ip add 10.1.1.1 mask 255.255.255.0 TopsecOS# network interface eth0 no shutdown TopsecOS# network interface eth1 no switchport TopsecOS# network interface eth1 ip add 202.99.27.199 mask 255.255.255.0 TopsecOS# network interface eth1 no shutdown 2)、定义NAT地址池 TopsecOS# define rang add name NAT_pool ip1 202.99.27.200 ip2 202.99.27.210 3)、定义内部地址段 TopsecOS# define subnet add name 10.x ipaddr 10.1.1.0 mask 255.255.255.0
网络地址转换(NAT)配置
网络地址转换(NAT)配置 远程接入方式主要有上面讲到的三类,不过在远程接入管理方面却有很多技术,我们从中选择两个最常用的也是最容易上手的——NAT与VPN。相信听说过这两个名词的朋友一定很多,究竟如何配置呢?我们先来说说网络地址转换NAT的配置。 所谓网络地址转换不外乎两种,一种是将内网地址转换为外网地址,一种是多个计算机转换成一个IP地址,节省资源。而NAT还有另一个非常重要的功能就是充当防火墙,可以有效的保护内网计算机被外界攻击。NAT的配置非常简单: 配置实例: 内网用户IP地址为10.83.91.0/255.255.255.0,网口一连接外网,IP地址为公网地址;网口二连接内网,IP地址为私网地址。 配置命令: 在路由器上配置NAT功能,让内网中的用户使用NAT访问外网。首先在路由器上配置外网接口IP为61.51.3.103(公网IP地址),内网接口IP地址为10.83.91.254。 1、ip nat pool xxzx 61.51.3.103 61.51.3.103 netmask 255.255.255.252 定义一个外网地址池名为xxzx,头一个IP为地址池起始地址,后一个IP为地址池的终止地址。如果公网IP地址不够用的话,可以都用同一个IP地址。NETMASK后是子网掩码。
2、access-list 1 permit 10.83.91.0 0.0.1.255 定义容许NAT的网段,同样采用反向掩码进行描述,0.0.1.255代表的子网掩码255.255.255.0。 3、ip nat inside source list 1 pool xxzx overload 启用NAT,容许NAT的地址为ACL 1中定义的,而转换后使用的IP地址为XXZX地址池中定义的,最后的overload表示所有内网计算机都使用同一个外网IP地址,多台机器复用一个IP。 4、进入内网接口输入ip nat inside命令 5、进入外网接口输入ip nat outside命令 经过上面五步命令就完成了全部的NAT配置工作。如果公网地址比较多的话我们还可以不使用overload命令多个复用一个IP地址,在定义地址池时设置好可用的IP地址段,在宣告NAT时取消最后的overload参数即可。 小提示:如果希望宣告专门的WWW服务器或MAIL服务器给外网的话,对于这些服务器来说不能使用NAT进行映射,因为NAT后如果没有采用其他诸如端口映射的方法外网用户是不能正常访问WWW和MAIL服务器的。这时可以在路由器上对主机进行宣告。例如上面的公司如果其WWW服务器的IP地址内网是10.83.91.2,公网发布地址为61.51.3.104的话,可以使用如下命令宣告:ip nat inside source static 61.51.3.104 10.83.91.2 总结:有了网络地址转换NAT功能,一方面节省了我们购买防火墙的费用,另一方面我们只要向电信申请少量甚至一两个公网IP地
思科静态nat--地址转换详细配置教程
什么是NAT(网络地址转换)? 网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。 静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 静态配置命令 ip nat inside source static 内部本地地址内部合法地址。 拓扑图 假设我们在ISP那已经申请IP地址,192.192.192.1—192.192.192.4,拿路由器XFZ充当ISP,ONLY5 为你家外部路由器,下面我们配置静态的NA T,就是1对1进行IP地址转换。 配置信息 PC1—PC3的 IP地址为192.168.1.2 --- 192.168.1.4 子网掩码为255.255.255.0 网关为192.168.1.1
配置信息 ONLY5 Router>enable Router#config t Router(config)#hostname ONLY5 ONLY5(config)#int f0/0 ONLY5(config-if)#no shu ONLY5(config)#int f0/0 ONLY5(config-if)#ip address 192.168.1.1 255.255.255.0 ONLY5(config)#int s0/0 ONLY5(config-if)#ip address 192.192.192.1 255.255.255.0 ONLY5(config-if)#clock rate 64000 // 配置静态NA T ONLY5(config)#ip nat inside source static 192.168.1.2 192.192.192.2 ONLY5(config)#ip nat inside source static 192.168.1.3 192.192.192.3 ONLY5(config)#ip nat inside source static 192.168.1.4 192.192.192.4 ONLY5(config)#int f0/0 ONLY5(config-if)#ip nat inside // 设置该端口为内部端口 ONLY5(config)#int s0/0 ONLY5(config-if)#ip nat ou ONLY5(config-if)#ip nat outside // 设置该端口为外部部端口
实验四网络地址转换配置
实验四网络地址转换 实验实训名称:网络地址转换实训 实验实训目的: 1、掌握静态网络地址转换的配置方法。 2、掌握动态网络地址转换的配置方法。 实验实训设备名称: 1、Cisco模拟软件 2、PC 机多台 实验实训原理: 1、在静态网络地址转换中,配置从内部地址到内部全局地址的一对一映射关系,这些关系将一直存在,直到被手工删除。 2、动态网络地址转换也是一种一对一的映射关系,映射关系不会一直存在,到达老化时间后,就会被删除,以便于将回收的全局内部地址映射给其他需要的内部本地地址。 实验实训内容: (一)静态网络地址转换 拓扑结构: 2、测试设备的连通性 3、在路由器上配置静态NAT: 配置本地地址192.168.1.10与内部全局地址202.207.120.100的映射关系。 Router>enable Router#config terminal . Router(config)#ip nat inside source static 192.168.1.10 202.207.120.100 Router(config)#interface fa0/0 Router(config-if)#ip nat inside Router(config-if)#exit
Router(config)#interface fa0/1 Router(config-if)#ip nat outside Router(config-if)#exit Router(config)# 4、查看配置结果 Router(config)# exit Router#show ip nat translation 5、测试静态NA T (1)在PC0上打开“桌面”上的“WEB浏览器”输入URL:http://202.207.120.100 (2)在命令提示符下使用 ping 202.207.120.100 6、查看地址转换过程 Router#debug ip nat (二)动态网络地址转换 拓扑结构 2、用ping命令测试连通性 3、在路由器上配置动态NAT 配置内部网络192.168.1.0到内部全局地址池202.207.120.10~202.207.120.50的映射关系。Router>enable Router#config terminal . Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
网络地址转换NAT配置
网络地址转换NAT配置 实验目标 理解NAT网络地址转换的原理及功能; 掌握静态NAT的配置,实现局域网访问互联网; 实验背景 你是某公司的网络管理员,欲发布公司的WWW服务。现要求将内网Web 服务器IP地址映射为全局IP地址,实现外部网络可以访问公司内部Web服务器。 技术原理 网络地址转换NAT(Network Address Translation),被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。 默认情况下,内部IP地址是无法被路由到外网的,内部主机10.1.1.1要与外部Internet通信,IP包到达NAT路由器时,IP包头的源地址10.1.1.1被替换成一个合法的外网IP,并在NAT转发表中保存这条记录。当外部主机发送一个应答到内网时,NAT路由器受到后,查看当前NAT转换表,用10.1.1.1替换掉这个外网地址。 NAT将网络划分为内部网络和外部网络两部分,局域网主机利用NAT访问网络时,是将局域网内部的本地地址转换为全局地址(互联网合法的IP地址)后转发数据包; NAT分为两种类型:NAT(网络地址转换)和NAPT(网络端口地址转换IP 地址对应一个全局地址)。 静态NAT:实现内部地址与外部地址一对一的映射。现实中,一般都用于服务器; 动态NAT:定义一个地址池,自动映射,也是一对一的。现实中,用得比较少; NAPT:使用不同的端口来映射多个内网IP地址到一个指定的外网IP地址,多对一。
Server-PT 192.168.1.2 255.255.255.0 192.168.1.1 PC0 222.0.2.2 255.255.255.0 222.0.2.1 Router0 Router>enable Router#configure terminal Router(config)#int fa 0/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface FastEthernet0/1 Router(config-if)#ip address 222.0.1.1 255.255.255.0 Router(config-if)#no shutdown