網(wǎng)絡地址轉換Cisco路由器NAT配置

交換機交換機/路由器的配置與管理路由器的配置與管理（第（第2版）版）第第6章章 路由器配置基礎路由器配置基礎6.1 6.1 路由器概述路由器概述6.1.1 路由器簡介路由器簡介路由器是工作在網(wǎng)絡層的網(wǎng)絡設備，最主要的功能是提供路由和網(wǎng)絡地址轉換（NAT）的功能路由器常用于實現(xiàn)網(wǎng)絡的互聯(lián)，特別是異構網(wǎng)絡之間的互聯(lián)6.1 6.1 路由器概述路由器概述6.1.2 路由器的組成路由器的組成路由器由硬件和軟件兩部分組成硬件系統(tǒng)主要由CPU、存儲器和各種網(wǎng)絡接口組成軟件系統(tǒng)主是由自引導程序、IOS操作系統(tǒng)、啟動配置文件和路由器管理程序等組成1.CPU2.存儲器（只讀存儲器ROM、閃存Flash Memory、NVRAM、RAM）6.1 6.1 路由器概述路由器概述6.1.2 路由器的組成路由器的組成3.管理接口4.網(wǎng)絡接口5.自舉程序6.路由器操作系統(tǒng)7.配置文件8.實現(xiàn)管理程序6.2 6.2 路由協(xié)議簡介路由協(xié)議簡介6.2.1 可被路由協(xié)議與路由協(xié)議可被路由協(xié)議與路由協(xié)議1.可被路由協(xié)議屬于網(wǎng)絡層的協(xié)議，主要有IP、IPX、AppleTalk2.路由協(xié)議也稱為路由選擇協(xié)議，屬于應用層協(xié)議，主要有:RIP、IGRP、EIGRP、OSPF、BGP6.2 6.2 路由協(xié)議簡介路由協(xié)議簡介6.2.2 靜態(tài)路由與動態(tài)路由靜態(tài)路由與動態(tài)路由1.直連路由對在同一個網(wǎng)絡設備的不同接口的網(wǎng)絡地址，路由器會自動添加這些網(wǎng)絡地址之間的路由到路由表中，這種路由就屬于直連路由。

2.靜態(tài)路由由管理員手工配置和添加的路由6.2 6.2 路由協(xié)議簡介路由協(xié)議簡介6.2.2 靜態(tài)路由與動態(tài)路由靜態(tài)路由與動態(tài)路由3.動態(tài)路由又稱為自適應路由通過各路由器之間相互連接的網(wǎng)絡，利用路由協(xié)議，動態(tài)地相互交換路由信息，從而實現(xiàn)自動更新和維護路由表6.3 6.3 網(wǎng)絡地址轉換網(wǎng)絡地址轉換6.3.1 NAT概述概述1.NAT的概念為了解決IP地址緊缺的問題，將一部分IP地址劃分為私網(wǎng)地址為了解決使用私網(wǎng)地址的局域網(wǎng)用戶訪問因特網(wǎng)的問題，從而誕生了網(wǎng)絡地址轉換技術（NAT）代理服務器的實質就是網(wǎng)絡地址轉換6.3 6.3 網(wǎng)絡地址轉換網(wǎng)絡地址轉換6.3.1 NAT概述概述2.NAT的相關術語（1）內部網(wǎng)絡（2）外部網(wǎng)絡（3）內部本地地址（4）內部全局地址（5）外部本地地址（6）外部全局地址（7）地址池6.3 6.3 網(wǎng)絡地址轉換網(wǎng)絡地址轉換6.3.2 NAT的工作原理的工作原理報文出去時，替換修改源IP地址；報文回來時，替換修改目的IP地址6.3 6.3 網(wǎng)絡地址轉換網(wǎng)絡地址轉換6.3.3 NAT的分類的分類1.靜態(tài)地址轉換局域網(wǎng)內部的私網(wǎng)地址，一對一地映射為一個公網(wǎng)地址2.動態(tài)地址轉換有一個供轉換用的公網(wǎng)地址池，從地址池中選擇未用的公網(wǎng)地址，實現(xiàn)私網(wǎng)地址與公網(wǎng)地址間一對一對映射轉換。

可提供公網(wǎng)地址的利用率6.3 6.3 網(wǎng)絡地址轉換網(wǎng)絡地址轉換6.3.3 NAT的分類的分類3.網(wǎng)絡地址端口轉換用一個公網(wǎng)地址的一個端口來對應一個私網(wǎng)地址的某個端口，從而建立起基于IP地址和端口的一一對應關系對于一個公網(wǎng)IP地址，由于有6萬多個TCP端口，因此，理論上可代理6萬多臺使用私網(wǎng)地址的主機訪問因特網(wǎng)6.3 6.3 網(wǎng)絡地址轉換網(wǎng)絡地址轉換6.3.4 Cisco路由器路由器NAT配置配置1.配置地址端口轉換配置步驟和配置方法：（1）配置內部全局地址池 （可選配置）ip nat pool ip nat pool pool-name start-ip end-ip netmasknetmask netmaskip nat pool ip nat pool pool-name start-ip end-ip prefix-lengthprefix-length prefixlength（2）配置接口類型ip nat inside|outsideinside定義接口為內網(wǎng)接口，outside定義為外網(wǎng)口6.3 6.3 網(wǎng)絡地址轉換網(wǎng)絡地址轉換6.3.4 Cisco路由器路由器NAT配置配置（3）配置訪問列表access-list number permit network wildcard訪問列表用于配置允許哪些網(wǎng)絡可以進行NAT以訪問因特網(wǎng)。

Number取值范圍為1-99，wildcard為子網(wǎng)掩碼的反碼例如：若允許網(wǎng)絡進行NAT，則配置命令為：6.3 6.3 網(wǎng)絡地址轉換網(wǎng)絡地址轉換6.3.4 Cisco路由器路由器NAT配置配置（4）配置內部源地址的轉換ip nat inside source list acl-number pool pool-name overloadip nat inside source list acl-number interface int-type int-number overload 示例：ip nat inside source list 1 pool mypool overloadip nat inside source list 1 interface fa0/1 overload6.3 6.3 網(wǎng)絡地址轉換網(wǎng)絡地址轉換6.3.4 Cisco路由器路由器NAT配置配置配置示例參見教材第198頁的例6.1可在Cisco Packet Tracert軟件中進行模擬操作6.3.4 Cisco6.3.4 Cisco路由器路由器NATNAT配置配置2.配置靜態(tài)地址轉換配置靜態(tài)地址轉換配置命令：ip nat inside source static tcp|udp local-ip port global-ip port該命令的具體用法有兩種：（1）公網(wǎng)地址與私網(wǎng)地址建立一對一的映射ip nat inside source static local-ip global-ip示例：6.3.4 Cisco6.3.4 Cisco路由器路由器NATNAT配置配置2.配置靜態(tài)地址轉換配置靜態(tài)地址轉換（2）公網(wǎng)地址的某個端口與私網(wǎng)地址的某個端口間建立一一對應的映射關系ip nat inside source static tcp|udp local-ip port global-ip port 例如，若要將的TCP 80端口與主機的TCP 80端口建立一一對應關系。

ip nat inside source static tcp 192.168.2.2 80 61.186.202.34 806.3.4 Cisco6.3.4 Cisco路由器路由器NATNAT配置配置3.配置動態(tài)地址轉換配置動態(tài)地址轉換與使用地址池的地址端口轉換配置方法和配置步驟基本相同，只是在配置內部源地址轉換時，命令中不使用overload關鍵字6.3.4 Cisco6.3.4 Cisco路由器路由器NATNAT配置配置4.驗證驗證NAT配置配置show ip nat translations 顯示NAT轉換表show ip nat statistics 顯示NAT統(tǒng)計信息clear ip nat translations*清除NAT轉換表clear ip nat statistics 清除NAT統(tǒng)計信息以上命令在特權模式執(zhí)行6.3.4 Cisco6.3.4 Cisco路由器路由器NATNAT配置配置5.NAT配置的刪除配置的刪除使用帶no的相同命令來刪除刪除時，不能有內網(wǎng)用戶正在使用NAT轉換可斷開路由器與內網(wǎng)用戶的連接，并清除NAT轉換表，然后再刪除NAT的相關配置6.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置1.配置地址端口轉換配置地址端口轉換華為路由器不支持以外網(wǎng)口地址來作為NAT轉換的地址，必須使用NAT地址池的方式。

配置步驟如下：（1）配置內、外網(wǎng)接口的IP地址（2）配置NAT轉換用的地址池nat address-group group-name start-ip end-ip mask netmask示例：6.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置1.配置地址端口轉換配置地址端口轉換（3）配置訪問控制列表，指定允許進行NAT轉換的內網(wǎng)地址段acl number acl-numberrule rule-id permit source network wildcardAcl-number取值范圍為2000至2999示例：若允許網(wǎng)絡進行NAT轉換acl number 20006.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置1.配置地址端口轉換配置地址端口轉換（4）在外網(wǎng)口配置對匹配訪問列表的主機進行NAT轉換nat outbound acl-number address-group address-group-number示例：nat outbound 2000 address-group 1（5）配置路由配置默認路由指向路由器的網(wǎng)關地址。

若NAT地址池中的IP與外網(wǎng)接口不在同一網(wǎng)段，則還要配置空路由6.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置2.配置示例配置示例參見教材第202頁至第203頁6.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置3.靜態(tài)地址轉換靜態(tài)地址轉換配置步驟與配置方法與地址端口轉換基本相同1）配置內、外網(wǎng)接口的IP地址（2）配置靜態(tài)地址轉換用的地址池（3）配置訪問控制列表（4）在外網(wǎng)接口上配置NAT Server 將一個私網(wǎng)地址與一個公網(wǎng)地址建立一一對應nat server global global-ip inside local-ip acl-number address-group group-name6.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置3.靜態(tài)地址轉換靜態(tài)地址轉換示例：nat server global 61.186.202.37 inside 192.168.2.2 2001 address-group 2 將一個公網(wǎng)地址的某個端口與一個私網(wǎng)地址的某個端口，建立一一對應關系nat server protocol tcp|udp global global-ip port inside local-ip port acl-number address-group group-name6.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置3.靜態(tài)地址轉換靜態(tài)地址轉換示例：nat server protocol tcp global 61.186.202.37 80 inside 192.168.2.2 80 2001 address-group 2（5）配置空路由地址池掩碼為32位，與外網(wǎng)接口不相同，需要配置到地址池主機的路由為空路由，讓下一跳指向null 0ip route-static 61.186.202.37 255.255.255.255 null 06.3.5 6.3.5 華為華為NE20NE20路由器路由器NATNAT配置配置3.靜態(tài)地址轉換靜態(tài)地址轉換完整的配置示例參見教材第204頁的例6.3。

6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置1.配置案例配置案例配置案例參見教材第205頁的第例6.46.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置2.配置注意事項配置注意事項對于NE40，路由器與因特網(wǎng)的互聯(lián)接口地址最好與NAT地址池的地址，屬于不同的網(wǎng)段，以簡化配置若規(guī)劃為同一網(wǎng)段，則必須增加以下兩項配置：（1）nat enable address-group address-group-name為地址池中的地址自動添加空接口路由2）nat match-host address-group-name配置響應針對地址池中的地址的ARP請求6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置3.配置步驟與配置方法配置步驟與配置方法（1）配置地址池nat nat address-group address-group group-name start-ip end-ip maskmask netmask slotslot slot-id no-patno-patslot-id用于指定NAT板所在的槽位號。

no-pat為可選項若選用該參數(shù)項，則地址池中的地址僅用于靜態(tài)地址轉換；若不選用，則地址池中的地址用于地址端口轉換6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置3.配置步驟與配置方法配置步驟與配置方法對于本例6.4的要求，地址池的定義為：nat nat address-group address-group 1 1 61.186.202.36 61.186.202.36 61.186.202.39 61.186.202.39 mask mask 255.255.255.252 slot 2255.255.255.252 slot 2(2)配置流分類規(guī)則根據(jù)流的特征，對報文進行過濾，即進行流分類NE40利用流分類規(guī)則，來定義允許進行NAT轉換的內網(wǎng)地址段6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置3.配置步驟與配置方法配置步驟與配置方法(2)配置流分類規(guī)則配置命令：rule-map intervlan rule-name protocol src-addr wildcard|any dest-addr wildcard|any對于本例，允許的網(wǎng)絡進行NAT，則流分類規(guī)則定義為：rule-map intervlan r1 ip 192.168.0.0 0.0.255.255 anyrule-map intervlan r1 ip 192.168.0.0 0.0.255.255 any刪除流分類規(guī)則：undo rule-map rule-name例如：undo rule-map r16.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置3.配置步驟與配置方法配置步驟與配置方法（3）配置服務級別為4，連接數(shù)沒有限制配置命令：nat service-class 4 connections 0（4）配置NAT動作，指定NAT轉換所使用的地址池，服務級別設置為4flow-actionflow-action action-name nat nat address-group address-group group-name service-classservice-class class-level命令功能：定義流的動作為按指定的服務級別和地址轉換方式進行網(wǎng)絡地址轉換。

6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置3.配置步驟與配置方法配置步驟與配置方法對于本例，NAT轉換使用地址池1，若流動作名命名為to-internet，則配置命令為：flow-action to-internet nat address-group 1 service-class 4flow-action to-internet nat address-group 1 service-class 4刪除流動作：undo flow-action 刪除所有沒有被應用的動作undo flow-action action-name刪除名為action-name的動作，但不能刪除正在被應用的流動作6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置3.配置步驟與配置方法配置步驟與配置方法（5）配置EACL，將流分類規(guī)則與NAT動作關聯(lián)EACL（Enhanced Access List）是一種增強的訪問控制列表，用于關聯(lián)報文流和流動作配置命令：eacl eacl-name rule-name action-name對于本例，其配置命令應為：eacl out r1 to-internet6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置3.配置步驟與配置方法配置步驟與配置方法（6）配置內網(wǎng)接口地址，并在該接口（入口）上應用EACL配置命令：access-group router eacl eacl-name對于本例，其配置命令應為：access-group router eacl out（7）配置外網(wǎng)接口地址（8）配置路由6.3.6 6.3.6 華為華為NE40NE40路由器的路由器的NATNAT配置配置4.案例的配置實現(xiàn)案例的配置實現(xiàn)例6.4的完整配置步驟和配置命令，參見教材第209頁。

6.4 6.4 配置校園網(wǎng)華為配置校園網(wǎng)華為NE40NE40出口路由器出口路由器6.4.1 NE40路由器的配置需求分析路由器的配置需求分析1.訪問因特網(wǎng)的配置需求分析有電信公網(wǎng)和教育網(wǎng)兩條出口線路，訪問教育網(wǎng)時，優(yōu)先通過教育網(wǎng)出口訪問；訪問非教育網(wǎng)資源時，優(yōu)先通過電信線路出口進行訪問6.4 6.4 配置校園網(wǎng)華為配置校園網(wǎng)華為NE40NE40出口路由器出口路由器6.4.1 NE40路由器的配置需求分析路由器的配置需求分析2.NE40的接口規(guī)劃與網(wǎng)絡拓撲6.4 6.4 配置校園網(wǎng)華為配置校園網(wǎng)華為NE40NE40出口路由器出口路由器6.4.1 NE40路由器的配置需求分析路由器的配置需求分析3.路由配置分析4.NAT板在本網(wǎng)絡工程案例中，NAT板插在2號槽位上要求利用NAT板來提供基于硬件的NAT轉換5.靜態(tài)地址轉換配置校園網(wǎng)有少部分服務器使用內網(wǎng)地址，放置在校園網(wǎng)內部，并允許因特網(wǎng)用戶訪問，對這部分服務器，需要配置靜態(tài)地址轉換6.4 6.4 配置校園網(wǎng)華為配置校園網(wǎng)華為NE40NE40出口路由器出口路由器6.4.2 配置配置NE40互聯(lián)接口與路由互聯(lián)接口與路由配置步驟與方法參見教材第211頁至第212頁。

6.4 6.4 配置校園網(wǎng)華為配置校園網(wǎng)華為NE40NE40出口路由器出口路由器6.4.3 NE40的雙出口的雙出口NAT配置配置配置步驟與方法參見教材第213頁至第218頁6.4 6.4 配置校園網(wǎng)華為配置校園網(wǎng)華為NE40NE40出口路由器出口路由器6.4.4 NE40的靜態(tài)地址轉換配置的靜態(tài)地址轉換配置配置步驟與方法參見教材第218頁至第220頁。