地址转换技术.ppt

地址转换技术 地址转换技术概念 配置地址转换 地址转换技术概念 地址转换配置 地址转换配置 地址转换配置 地址转换配置 地址转换配置 AAA/RADIUS技术 AAA概述 RADIUS概述 AAA概述 RADIUS概述 * * 网络地址转换（NAT）技术提供了一种掩饰网络内部本质的方法，是一种把内部专用IP地址转换成合法IP地址的技术。 1．地址转换的提出背景 2．地址转换的术语 当在Cisco路由器上应用地址转换时，应理解下面的术语，如图所示。 这些术语是相对于网络企业网内部的一台主机来讲的，因为主机处在不同的网络中NAT可以解释为不同的地址。 （1）内部本地地址：分配给网络内部设备的IP地址，这个地址可能是非法的未向相关机构注册的IP地址，也可能是合法的私有网络地址。 （2）内部全局地址：合法的IP地址，是由网络信息中心（NIC）或者服务提供商提供的可在互联网传输的地址，在外部网络代表着一个或多个内部本地地址。 （3）外部本地地址：外部网络的主机在内部网络中表现的IP地址，该地址不一定是合法的地址，也可能是内部可路由地址。 （4）外部全局地址：外部网络分配给外部主机的IP地址，该地址是合法的全局可路由地址。 地址转换（NAT）有三种类型：静态NAT、动态NAT和超载NAT（PAT）。 1．静态NAT 静态NAT是建立内部本地地址和内部全局地址一对一的永久映射。这意味着对于每一个预设的内部本地地址，静态NAT都需要在查找表中建立一个内部全局地址。 为了配置静态内部源地址转换，执行如下步骤： （1）建立一个内部本地地址与一个内部本局地址间的静态转换 Router(config)#ip nat inside source static local-ip global-ip （2）指定内部接口 Router(config-if)#ip nat inside （3）指定外部接口 Router(config-if)#ip nat outside 实例9-5静态内部源地址转换NAT 某公司的内部网络有FTP服务器可以为外部用户提供的服务，服务器的IP地址必须采用静态地址转换，将内部网络与外部Internet隔离开，外部用户根本不知道通过NAT设置，便外部用户可以使用这些服务，如图所示。 （1）实验步骤 ①基本配置。 验证测试： R1#ping ②配置静态NAT映射。 验证测试 R1#show ip nat translations （2）注意事项 ① 不要把inside和outside应用的接口弄错； ② 要加上能使数据包向外转发的路由，比如默认路由； ③ 尽量不要用广域网接口地址作为映射的全局地址。 2．动态NAT 动态NAT是建立内部本地地址和内部全局地址的临时对应关系，在路由器收到需要转换的通信之前NAT表中不存在转换。动态转换要指定内部地址能被转换成全球地址池。 为了配置动态内部源地址转换，执行如下步骤： （1）定义一个供分配的全局地址池 Router(config)#ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} （2）创建一个访问控制列表来标识要转换的主机 Router(config)#access-list access-list-number permit source source-wildcard-mask （3）配置基于源地址的动态NAT Router(config)#ip nat inside source list access-list-number pool name （4）指定内部接口 Router(config-if)#ip nat inside （5）指定外部接口 Router(config-if)#ip nat outside 实例9-6动态内部源地址转换NAT 如图所示，路由器A将通过访问控制列表1（源地址来自/16）的所有源地址转换为地址池nat-pool中地址。地址池nat-tran所包含的地址范围从0/28到5/28。 路由器A的配置如下： ip nat pool nat-tran 0 5 netmask 255555540 ip nat inside source list 1 pool nat-tran ! interface Ethernet 0 ip address 10 25555.0.0 ip nat inside ! interface serial 0 ip addres