思科路由器NAT配置详解.doc

一、一、NAT 简介：简介：1. NAT（Network Address Translation）网络地址转换 2. 最早出现在思科 11.2 IOS 中，定义在 RFC1631 和 RFC3022 中 3. NAT 最主要的作用是为了缓解 IPv4 地址空间的不足 4. 同时也带来了一些问题，如每个数据包到达路由器后都要进行包头的转 换操作，所以增加了延迟；DNS 区域传送，BOOTP/DHCP 等协议不可 穿越 NAT 路由器； 5. 改动了源 IP，失去了跟踪到端 IP 流量的能力，所以使责任不明确了 6.但是利还是要大于弊的，不然也不会学习它了！最新的 CCNA640-802 学习指南中依然有专门的一章来讲解 NAT，它的重要性可见一斑 二、二、NAT 术语：比较难理解，所以这里用最明了的语言总结如下术语：比较难理解，所以这里用最明了的语言总结如下1.内部本地地址（ inside local address ）：局域网内部主机的地址，通常 是 RFC1918 地址空间中的地址，称为私有地址待转换的地址） 2. 内部全局地址（inside global address）：内部本地地址被 NAT 路由器转 换后的地址，通常是一个可路由的公网地址。

3.外部全局地址（outside global address）：是与内部主机通信的目标主机 的地址，通常是一个可路由的公网地址 4. 外部本地地址（outside local address）：是目标主机可路由的公网地址 被转换之后的地址，通常是 RFC1918 地址空间中的地址 三、三、NAT 配置详解：配置详解：1.静态静态 NAT：将一个私有地址和一个公网地址一对一映射的配置方法，这：将一个私有地址和一个公网地址一对一映射的配置方法，这 种方式不能节省种方式不能节省 IP，通常只为需要向外网提供服务的内网服务器配置通常只为需要向外网提供服务的内网服务器配置如图所示：如图所示： PC1 地址：地址：192.168.0.2/24PC2 地址：地址：192.168.0.3/24R1 E0/0 地址：地址：192.168.0.1/24 R1 S0/0 地址：地址：202.106.0.1/24R2 S0/0 地址：地址：202.106.0.2/24R2 E0/0 地址：地址：202.106.1.1/24PC3 地址：地址：202.106.1.2/24 (模拟公网服务器模拟公网服务器) 各接口地址按上面配置好之后，在各接口地址按上面配置好之后，在 R1 和和 R2 上配置路由（注意不要为上配置路由（注意不要为 192.1 68.0.0 网络增加路由项，因为私有网络不可以出现在公网路由表中，不然也网络增加路由项，因为私有网络不可以出现在公网路由表中，不然也 不叫私有地址了）不叫私有地址了） 路由配置好之后在路由配置好之后在 R1 上可以上可以 ping 通通 PC3，但是，但是 PC1 只能只能 ping 到到 R1 的的 S0/0，再向前就，再向前就 ping 不通了。

因为没有不通了因为没有 192.168.0.0 网络的路由表项，网络的路由表项， 所以被丢弃了！下面在所以被丢弃了！下面在 R1 上配置静态上配置静态 NAT 让让 PC1 可以和可以和 PC3 通信 Router(config)#int fa0/0 Router(config-if)#ip nat inside //将该接口标记为内部接口 Router(config-if)#int s0 Router(config-if)#ip nat outside //将该接口标记为外部接口 Router(config-if)#exit Router(config)#ip nat inside source static 192.168.0.2 202.106.0.3 //将来自标记 为内部接口的地址做为转换源，将 192.168.0.2 一对一的转换成 202.106.0.32、动态、动态 NAT：现在：现在 PC1 就可以和就可以和 PC3 通信了但是通信了但是 PC2 不能，因为不能，因为 R1 并没有为并没有为 PC2 提供地址转换当然我们可以在提供地址转换当然我们可以在 R1 上像给上像给 PC1 做静态转换一样做静态转换一样 也给也给 PC2 做一个，可如果我们有做一个，可如果我们有 100 台机器工作量就太大了。

下面在台机器工作量就太大了下面在 R1 上再上再 继续配置：继续配置： Router(config)#access-list 10 permit 192.168.0.0 0.0.0.255 //定义标准访问控制 列表 10 只允许定义的地址能够被转换 Router(config)#ip nat pool out 202.106.0.4 202.106.0.24 netmask 255.255.255.0 //定义名称为 out 的地址池 Router(config)#ip nat inside source list 10 pool out //将访问控制列表定义的地 址和地址池关联这样就有前 21 个内部主机能够得到公网地址 现在现在 PC2 也可以和也可以和 PC3 通信了这就是动态通信了这就是动态 NAT，这种方式也不能节约，这种方式也不能节约 IP 地址有一百台主机就要地址有一百台主机就要 100 个公网个公网 IP，不常用3、、PAT（（Port Address Translation）端口地址转换：）端口地址转换：用一个或多个公网 I P 为多个私有地址提供转换，能够节省大量 IP 地址，这种方式在现实网络环境 中最常用。

Router(config)#ip nat inside source list 10 pool out overload //只 需要在动态 NAT 的基础上多出一个“overload”就可以让上面的 21 个公网地址 反复使用如果我们只有一个公网地址且已经分配给了 R1 的 S0/0 口，可以使用下面的 命令来对这仅有的一个公网地址反复利用或叫超载 Router(config)#ip nat inside source list 10 interface serial 0 overload //就是在就是在 R1 上不设置地址池，因为只有一个公网地址，而只上不设置地址池，因为只有一个公网地址，而只 对对 S0/0 接口的地址超载接口的地址超载 注意：一条注意：一条 NAT 转换条目要占用转换条目要占用 160 字节内存，因此字节内存，因此 NAT 的转换数目受路的转换数目受路 由器的内存限制由器的内存限制4、配置端口映射：看配置就明白了、配置端口映射：看配置就明白了还是上面的图和还是上面的图和 IP，看下面的配置，看下面的配置Router(config)#int fa0/0 Router(config-if)#ip nat inside //将该接口标记为内部接口 Router(config-if)#int s0 Router(config-if)#ip nat outside //将该接口标记为外部接口 Router(config-if)#exit Router(config)#ip nat inside source static tcp 192.168.0.2 80 202.106.0.3 80 //将 192.168.0.2 的 80 端口一对一的转换成 202.106.0.3 的 80 端口，也就外网用户在 浏览器里输入 202.106.0.3 时，会打开 192.168.0.2 上的 WWW 服务。

这里公网 地址也可以改成 interface Serial1/0 80，如下： Router(config)#ip nat inside source static tcp 192.168.0.3 21 interface Serial1/0 21 //如果只有一个公网地址还可以这样来转换这样外网访问的不同服务就会 定向到不同的内网服务器5、配置、配置 TCP 负载平衡：还是上图负载平衡：还是上图 IP 也不变，假如也不变，假如 PC1 和和 PC2 提供的提供的 是相同的是相同的 WWW 服务，为了实现负载平衡可以做如下配置：服务，为了实现负载平衡可以做如下配置： Router(config)#ip nat pool www 192.168.0.2 192.168.0.3 netm ask 255.255.255.0 type rotary //配置地址池配置地址池 www 并设成旋转并设成旋转Router(config)#access-list 10 permit 202.106.0.3Router(config)#ip nat inside destination list 10 pool www / /这样当外网主机访问 202.106.0.3 的时候路由器会自动定向到 192.168.0.2 再有请求就定向到 192.168.0.3 如果地址池里还有别的地址会依次循环，实 现负载平衡的目的。

注意，地址有了，网络中还要有对应的主机存在，否则会 使对方第一次连接失败上面的内容已经包含了 NA 的所有内容和 NP 的大部分内容现实工作中 NAT ，PAT 还是很常用的！多学点，应该会有好处！愿我们共同进步^-^!。