33.1NAT的配置方法33.2NAT的監(jiān)控和維護(hù)小結(jié)第33章網(wǎng)絡(luò)地址轉(zhuǎn)換NAT配置

主要內(nèi)容：

靜態(tài)NAT的配置方法

動(dòng)態(tài)NAT的配置方法

端口NAT的地址轉(zhuǎn)換

NAT的配置方法包含靜態(tài)配置與動(dòng)態(tài)配置兩種方式。

靜態(tài)方式用手工配置一對(duì)一的指定轉(zhuǎn)換關(guān)系。內(nèi)部網(wǎng)絡(luò)對(duì)外提供Internet網(wǎng)絡(luò)服務(wù)，必須采用靜態(tài)配置方式。靜態(tài)方式并沒有起到節(jié)約公網(wǎng)地址的作用。

動(dòng)態(tài)配置方式由路由器自動(dòng)建立轉(zhuǎn)換關(guān)系，需要使用訪問控制列表來決定哪些主機(jī)地址可以被轉(zhuǎn)換，哪些不能被轉(zhuǎn)換。需要在路由器上定義公網(wǎng)地址池與ACL。33.1NAT的配置方法在動(dòng)態(tài)配置方式中還有一種overload方式，即多個(gè)內(nèi)部地址映射到一個(gè)外部地址上去，這是通過建立內(nèi)部地址、內(nèi)部地址的端口號(hào)和外部地址、外部地址的端口號(hào)，建立一一映射來實(shí)現(xiàn)的。33.1.1靜態(tài)NAT的配置方法

假設(shè)在路由器上要配置靜態(tài)NAT，將內(nèi)部地址10.1.1.1轉(zhuǎn)換成外部地址179.16.2.2。接口fei_1/1是連接內(nèi)部網(wǎng)絡(luò)的接口，地址是10.1.1.10；接口Serial_2/1是連接外部網(wǎng)絡(luò)的接口，地址是179.16.2.1。配置步驟如下：

(1)在全局配置模式下配置ipnatstart，啟動(dòng)NAT功能。

(2)配置靜態(tài)NAT轉(zhuǎn)換規(guī)則，將內(nèi)部主機(jī)10.1.1.1發(fā)出的數(shù)據(jù)包中的源地址轉(zhuǎn)換為179.16.2.2發(fā)送到外部網(wǎng)絡(luò)。

ipnatinsidesourcestatic10.1.1.1179.16.2.2

(3)進(jìn)入接口配置模式，配置IP地址，指定此接口為NAT的內(nèi)部接口。

interfacefei_1/1

ipaddress10.1.1.10255.255.255.0

ipnatinside

(4)進(jìn)入另一個(gè)接口的配置模式，配置IP地址，指定此接口為NAT的外部接口。

interfaceSerial_2/1

ipaddress179.16.2.1255.255.255.0

ipnatoutside33.1.2動(dòng)態(tài)NAT的配置方法

假設(shè)我們需要將從10.0.0.0/8網(wǎng)段發(fā)出的數(shù)據(jù)包動(dòng)態(tài)映射到外部地址段199.168.2.2-199.168.2.254/24。接口fei_1/1是連接內(nèi)部網(wǎng)絡(luò)的接口，地址是10.1.1.10；接口Serial_2/1是連接外部網(wǎng)絡(luò)的接口，地址是179.16.2.1。配置步驟如下：

(1)在全局配置模式下配置ipnatstart，啟動(dòng)NAT功能。

(2)配置名為dyn-nat的地址池，將合法外部地址段199.168.2.2～199.168.2.254加入地址池。

ipnatpooldyn-nat199.168.2.2199.168.2.254prefix-length24

(3)配置標(biāo)準(zhǔn)ACL，列表號(hào)為1，匹配從源地址網(wǎng)段10.0.0.0/8發(fā)出的數(shù)據(jù)包。

access-list1permit10.1.1.00.0.0.255

(4)配置NAT轉(zhuǎn)換語(yǔ)句，將內(nèi)網(wǎng)的符合ACL1的數(shù)據(jù)包的源地址轉(zhuǎn)換為地址池dyn-nat中的地址。

ipnatinsidesourcelist1pooldyn-nat

(5)進(jìn)入接口配置模式，配置IP地址，指定此接口為NAT的內(nèi)部接口。

interfacefei_1/1

ipaddress10.1.1.10255.255.255.0

ipnatinside

(6)進(jìn)入另一個(gè)接口的配置模式，配置IP地址，指定此接口為NAT的外部接口。

interfaceSerial_2/1

ipaddress199.168.2.1255.255.255.0

ipnatoutside33.1.3動(dòng)態(tài)NAT(overload)的配置方法

動(dòng)態(tài)NAT(overload)的配置不再是一個(gè)內(nèi)部IP地址動(dòng)態(tài)地對(duì)應(yīng)一個(gè)外部地址，而是多個(gè)內(nèi)部地址可以同時(shí)對(duì)應(yīng)一個(gè)外部地址，通過端口號(hào)區(qū)分不同的內(nèi)部地址。配置步驟與前述動(dòng)態(tài)NAT的配置過程一致，只是在NAT轉(zhuǎn)換規(guī)則語(yǔ)句上加上參數(shù)overload，啟動(dòng)一對(duì)多的轉(zhuǎn)換方式。即在下面這條語(yǔ)句后面加上overload這個(gè)關(guān)鍵字。啟用overload的動(dòng)態(tài)NAT，是我們平時(shí)使用比較廣泛的地址轉(zhuǎn)換方式。33.1.4PAT的配置方法

當(dāng)一個(gè)公司或組織沒有獲得合法外部地址段時(shí)，可使用PAT(端口地址轉(zhuǎn)換)將內(nèi)部主機(jī)地址轉(zhuǎn)換為路由器WAN接口上的合法外部地址，對(duì)外進(jìn)行訪問。

PAT可使沒有分配合法外部地址的網(wǎng)絡(luò)中的內(nèi)部主機(jī)利用一個(gè)路由器外連接口上的合法外部IP地址進(jìn)行地址轉(zhuǎn)換，提供內(nèi)部主機(jī)對(duì)Internet的訪問能力，最大限度節(jié)省IP地址資源。假設(shè)我們要將內(nèi)部地址10.0.0.0/8映射到路由器的外連接口地址199.168.2.2上面去，其配置步驟如下：

(1)在全局配置模式下配置ipnatstart，啟動(dòng)NAT功能。

(2)配置只包含一個(gè)地址(路由器外連接口的地址)的地址池，地址池的名字為test-pool。

(zxr10-config)#ipnatpooltest-pool199.168.2.2199.168.2.2prefix-length24

(3)配置NAT轉(zhuǎn)換語(yǔ)句，將內(nèi)網(wǎng)的符合ACL1的數(shù)據(jù)包的源地址轉(zhuǎn)換為地址池test-pool中的地址。注意由于是一對(duì)多的對(duì)應(yīng)關(guān)系，必須使用參數(shù)overload。

(zxr10-config)#ipnatinsidesourcelist1pooltest-pooloverload

(4)配置標(biāo)準(zhǔn)ACL，列表號(hào)為1，匹配從源地址網(wǎng)段10.0.0.0/8發(fā)出的數(shù)據(jù)包：

(zxr10-config)#access-list1permit10.0.0.00.0.0.255

(5)需要在接口配置模式下配置NAT的內(nèi)部及外部接口，分別對(duì)應(yīng)內(nèi)網(wǎng)與外網(wǎng)。

使用以下命令來顯示NAT的配置信息：

(1)顯示地址轉(zhuǎn)換配置：

showipnattranslations

(2)設(shè)置地址轉(zhuǎn)換連接有效時(shí)間：

ipnattranslationtimeoutclassatime-value33.2NAT的監(jiān)控和維護(hù)

(3)顯示NAT的統(tǒng)計(jì)數(shù)據(jù)：

showipnatstatistics

(4)

NAT的診斷和調(diào)試：

Debugipnat其中對(duì)NAT地址轉(zhuǎn)換連接有效時(shí)間進(jìn)行設(shè)定時(shí)要注意：如果此時(shí)間設(shè)置過大，則可能導(dǎo)致通信結(jié)束后很長(zhǎng)時(shí)間還占用著合法IP地址或端口號(hào)，當(dāng)有其他內(nèi)部主機(jī)試圖對(duì)外訪問時(shí)可能沒有可用的合法IP地址或端口號(hào)資源而無法與外界通信；而如果