NAT地址轉換——理論篇

NAT地址轉換

NAT實現方式

靜態轉換（Static Translation）

動態轉換（Dynamic Translation）

端口多路復用（Port Address Translation，PAT）

NAT轉換過程

注意點：

在局域網中的源、目標IP為（內部|外部）局部地址

在公網中的源、目標IP為（內部|外部）全局地址

NAT的轉換條目

簡單轉換條目：只針對IP地址

擴展轉換條目：針對IP地址、端口

進行NAT轉換的優缺點

靜態NAT配置步驟

設置外部端口IP地址

Router(config)#interface FastEthernet 0/0                   //進入外部端口
Router(config-if)#ip address *.*.*.* *.*.*.*                //設定外部IP地址和子網掩碼

設置內部端口IP地址

Router(config)#interface FastEthernet 1/0                   //進入內部端口
Router(config-if)#ip address *.*.*.* *.*.*.*                //設定內部IP地址和子網掩碼

建立靜態地址轉換

Router(config)#ip nat inside source static *.*.*.* *.*.*.*    //建立地址轉換，前一個為內部地址；后一個為轉換后的地址

在內部和外部端口啟用NAT

Router(config)#interface FastEthernet 1/0                   //進入內部端口
Router(config)#ip nat inside                                //內部啟用
Router(config)#interface FastEthernet 0/0                   //進入外部端口
Router(config)#ip nat outside                               //外部啟用

NAT端口映射

配置內外端口IP

? 配置方法同靜態NAT

建立NAT端口映射關系

Router(config)#ip nat inside source static protocol local-ip UDP/TCP-port global-ip UDP/TCP-port[extendable]

實例：

Router(config)#ip nat inside source static tcp 192.168.100.2 80 8.8.8.8 8080 extendable

該命令行的意思為：將內部網絡中的192.168.100.2主機的80端口提供的web服務，映射到外部網絡中的8.8.8.8的8080端口，外部網絡訪問時只能通過訪問公有地址8.8.8.8的8080端口達到訪問web服務的目的。

動態NAT配置步驟

配置內外端口IP

? 配置方法同靜態NAT

定義訪問控制列表 ——標準ACL、擴展ACL、命名ACL皆可

Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255    //允許該網段中所有主機通過

定義合法IP地址池

Router(config)#ip nat pool test 61.159.62.2 61.159.62.10 netmask 255.255.255.0      //定義從61.159.62.2到61.159.62.10的地址池

實現網絡地址轉換

Router(config)#ip nat inside source list 1 pool test

在內部和外部端口啟用NAT

Router(config)#interface FastEthernet 1/0                   //進入內部端口
Router(config)#ip nat inside                                //內部啟用
Router(config)#interface FastEthernet 0/0                   //進入外部端口
Router(config)#ip nat outside                               //外部啟用

PAT配置步驟

一、需要定義IP地址池進行指定

配置內外端口IP

? 配置方法同靜態NAT

定義訪問控制列表

Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255    //允許100網段通過

定義合法IP地址池

Router(config)#ip nat pool onlyone 12.0.0.10 12.0.0.10 netmask 255.255.255.0   //定義唯一IP地址作為外部全局地址

實現網絡地址轉換

Router(config)#ip nat inside source list 1 pool onlyone overload     //調用ACL實現轉換

在內部和外部端口啟用NAT

? 配置方法等同靜態NAT

二、不定義IP地址池進行指定

配置內外端口IP

? 配置方法同靜態NAT

定義訪問控制列表

Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255    //允許100網段通過

定義合法IP地址池

? 該方法直接使用外部接口地址作為外部全局地址，所以不再定義IP地址池。

實現網絡地址轉換

Router(config)#ip nat inside source list 1 interface FastEthernet 0/0 overload     //調用外部接口地址實現轉換

在內部和外部端口啟用NAT

? 配置方法等同靜態NAT

以上，便是有關NAT地址轉換的理論知識。下一篇，將是實驗操作，敬請期待。。。。。。

未完待續