NAT和NAPT配置解读

NAT/NAPT配置知识内容与要求了解NAT的含义、作用、类型；理解NAT和NAPT的工作过程；了解静态NAT/NAPT和动态NAT/NAPT的工作机制；应用命令配置静态NAT和NAPT的方法；应用命令配置动态NAT和NAPT的方法。应用NAT/NAPT的监视和维护命令。技能目标与要求能熟练配置静态NAT和NAPT；能熟练配置动态NAT和NAPT；能正确使用NAT/NAPT的监视和维护命令。什么是NAT/NAPT概念：NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为NAT的类型NAT（NetworkAddressTranslation）转换后，一个本地IP地址对应一个全局IP地址NAPT（NetworkAddressPortTranslation）转换后，多个本地地址对应一个全局IP地址NAT/NAPT的术语NAT中用到的接口类型：内部网络－Inside外部网络－OutsideNAT中常见的术语：内部本地地址－InsideLocalAddress内部全局地址－InsideGlobalAddress外部本地地址－OutsideLocalAddress外部全局地址－OutsideGlobalAddress互联网OutsideInside企业内部网外部网NAT工作原理200.8.7.3/24200.8.7.4/2463.5.8.1192.168.1.5192.168.1.7内部本地地址内部全局地址192.168.1.7200.8.7.3192.168.1.5200.8.7.4源IP:192.168.1.7目的IP:63.5.8.1源IP:200.8.7.3目的IP:63.5.8.1源IP:63.5.8.1目的IP:200.8.7.3源IP:63.5.8.1目的IP:192.168.1.7源IP:200.8.7.3目的IP:63.5.8.1源IP:63.5.8.1目的IP:192.168.1.7NAPT工作原理200.8.7.3/2463.5.8.1192.168.1.5192.168.1.7源IP:192.168.1.7:1024目的IP:63.5.8.1:80内部本地地址：端口内部全局地址:端口外部全局地址:端口192.168.1.7:1024200.8.7.3:102463.5.8.1：80192.168.1.5:1136200.8.7.3:113663.5.8.1：80源IP:200.8.7.3:1024目的IP:63.5.8.1:80源IP:63.5.8.1:80目的IP:200.8.7.3:1024源IP:63.5.8.1:80目的IP:192.168.1.7:1024Web服务源IP:200.8.7.3:1024目的IP:63.5.8.1:80源IP:63.5.8.1:80目的IP:192.168.1.7:1024使用NAPT的情况在以下几种情况下，需要使用NAPT技术：缺乏全局IP地址,甚至没有专门申请的全局IP地址，只有一个连接ISP的全局IP地址内部网要求上网的主机数很多提高内网的安全性NAT/NAPT的配置NAT/NAPT的配置有两种静态NAT/NAPT动态NAT/NAPT静态NAT/NAPT需要向外网络提供信息服务的主机永久的一对一IP地址映射关系动态NAT/NAPT只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数临时的一对一IP地址映射关系静态NAT配置步骤1、定义内网接口和外网接口Router(config)#interfacefastethernet1/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1/1Router(config-if)#ipnatinside2、建立静态的映射关系Router(config)#ipnatinsidesourcestatic192.168.1.7200.8.7.3静态NAPT1、定义内网接口和外网接口Router(config)#interfacefastethernet0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet1Router(config-if)#ipnatinside2、建立静态的映射关系Router(config)#ipnatinsidesourcestatictcp192.168.1.71024200.8.7.31024Router(config)#ipnatinsidesourcestaticudp192.168.1.71024200.8.7.31024动态NAT配置1、定义内网接口和外网接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定义内部本地地址范围Router(config)#access-list10permit192.168.1.00.0.0.2553、定义内部全局地址池Router(config)#ipnatpoolabc200.8.7.3200.8.7.10netmask255.255.255.04、建立映射关系Router(config)#ipnatinsidesourcelist10poolabc动态NAPT配置1、定义内网接口和外网接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside2、定义内部本地地址范围Router(config)#access-list10permit192.168.1.00.0.0.2553、定义内部全局地址池Router(config)#ipnatpoolabc200.8.7.3200.8.7.3netmask255.255.255.04、建立映射关系Router(config)#ipnatinsidesourcelist10poolabcoverloadNAT/NAPT的监视和维护命令显示命令showipnatstatistics显示翻译统计showipnattranslations[verbose]显示活动翻译清除状态命令clearipnattranslation*从NAT转换表中清除所有动态地址转换项NAT/NAPT带来的限制限制影响网络性能不能处理IP报头加密的报文；无法实现端到端的路径跟踪（traceroute)某些应用可能支持不了：内嵌IP地址内嵌IP地址的应用有：FTPDNSNetMeetingH.323,VoIP其它自编应用NAT与应用的兼容性问题，详见RFC3027