第十一章 網絡位址轉換

1、适用于使用NAT的各種情況：

1.需要連接配接到網際網路，但是主機沒有公網IP位址

2.更換了一個新的ISP，需要重新組織網絡

3.需要合并兩個具有相同網絡位址的内網

網絡位址類型轉換

2、靜态NAT：靜态NAT需要網絡中每台主機都擁有一個真實的網際網路IP位址，需要在路由器上靜态映射内部到外部的位址

3、動态NAT：實作映射一個未注冊IP位址到注冊IP位址池中的一個注冊IP位址，必須保證每個在網際網路中收發包的使用者都有真實的IP可用

4、複用：較為流行的NAT配置類型，是動态NAT的一種形式；通過映射多個未注冊的IP位址到單獨一個注冊的IP位址，多對一（使用不同的端口），也被稱為端口位址映射（PAT）

5、通過使用PAT，可實作上千使用者僅通過一個真實的全球IP位址連接配接到網際網路

6、全局位址：在NAT轉換後使用的位址叫做全局位址，通常是使用在網際網路上的公網位址

7、公網位址：如果不進入網際網路，就不需要公網位址

8、本地位址：NAT轉換之前的位址，即嘗試連接配接到網際網路的發送端主機的私有位址

9、外部本地位址：是目标主機位址，通常是一個公網位址

10、NAT術語：

内部本地：轉換之前内部源位址的名字

外部本地：轉換之前目标主機的名字

内部全局：轉換之後内部主機的名字

外部全局：轉換之後外部目标主機的名字

靜态NAT配置

11、配置示例輸出：ip nat inside source指令識别哪一個IP位址将被轉換；指令ip nat inside識别接口為内部接口；指令ip nat outside識别接口為外部接口

動态NAT配置

12、動态NAT意味着我們可以為内部的使用者組提供真實的IP位址池

13、動态NAT配置示例輸出：

ip nat pool todd 170.168.2.2 170.168.2.254

  netmask 255.255.255.0

ip nat inside source list 1 pool todd

!

interface Ethernet0

  ip address 10.1.1.10 255.255.255.0

  ip nat inside

!

interface Serial0

  ip address 170.168.2.1 255.255.255.0

  ip nat outside

!

access-list 1 permit 10.1.1.0 0.0.0255

!

14、指令ip nat inside source list 1 pool todd告訴路由器把比對access-list 1的IP位址轉換為名字叫todd的IP NAT位址池中的一個位址

15、在這裡，通路清單被用來選擇或指定觸發流量；當觸發流量與通路清單比對時，觸發流量被放入NAT過程進行轉換

16、指令ip nat pool todd 170.168.2.2 170.168.2.254建立了一個位址池，這個位址池為那些需要NAT的主機提供位址

PAT（複用）配置

17、PAT配置執行個體輸出：

ip nat pool globalnet 170.168.2.1 170.168.2.1

  natmask 255.255.255.0

ip nat inside source list 1 pool globalnet overload

!

interface Ethernet0/0

  ip address 10.1.1.10 255.255.255.0

  ip nat inside

!

interface Serial0/0

  ip address 170.168.2.1 255.255.255.0

  ip nat outside

!

access-list 1 permit 10.1.1.0 0.0.0.255

18、PAT與動态NAT的配置差異：IP位址池被縮減為一個IP位址，并且在ip nat inside source指令之後包含overload指令

NAT的簡單驗證

19、檢視基本IP位址轉換資訊：

Router#show ip nat translation

20、顯示NAT轉換表：

Router#debug ip nat

21、從轉換表中清除NAT條目：使用clear ip nat translation指令，清除所有條目，則在指令結尾使用 *（星） 号，僅動态條目被删除，不删除靜态條目

22、pool（refcout）指令檢查動态位址池

23、必須在NAT表中儲存初始化映射，這樣，從特定連接配接到達的資料包才能一直被轉換，這也将減少相同機器發送資料包到相同的外部目标時進行重複查找的次數

24、當一個條目首次被放入NAT表中，計時器開始計時，每次包經過路由器被特定條目轉換後，計時器被重置，如果計時器時期滿，條目将從NAT表中删除，并且動态配置設定的位址将回到位址池中等待再次配置設定

25、Cisco預設轉換逾時為86400秒（24小時），可使用ip nat translation timeout指令更改

26、每個NAT映射占用大約160位元組的記憶體

測試并診斷NAT故障

27、 檢查動态位址池中位址範圍是否正确

檢查動态位址是否重疊

檢查被映射位址與動态位址池中的位址是否重疊

确定通路清單指定正确的轉換位址

确信清單中位址無遺漏，無多餘

确信内部、外部接口都已經恰當地界定

28、使用ip nat translation max-entries指令來解除NAT表的條目限制

29、排除故障的指令是show ip nat statistics，可得到NAT配置彙總

使用SDM配置NAT