第10章

私有地址與公有地址間的轉(zhuǎn)換編著：

秦?zé)鰟诖浣?/p>

隨著網(wǎng)絡(luò)的發(fā)展，學(xué)校、公司內(nèi)部的IP地址需求量不斷增加，為緩解IPv4地址的不足，也為了保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，隱藏內(nèi)部網(wǎng)絡(luò)的地址，局域網(wǎng)內(nèi)部可采用私有地址，訪(fǎng)問(wèn)外網(wǎng)或?qū)ν饩W(wǎng)提供服務(wù)時(shí)，再通過(guò)NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)，將私有地址轉(zhuǎn)換為公有地址，實(shí)現(xiàn)外網(wǎng)訪(fǎng)問(wèn)和對(duì)外提供服務(wù)，同時(shí)從一定程度上避免網(wǎng)絡(luò)外部的攻擊。NAT的實(shí)現(xiàn)方式包括靜態(tài)轉(zhuǎn)換、動(dòng)態(tài)轉(zhuǎn)換和端口多路復(fù)用PAT等。10.1靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換和端口映射靜態(tài)NAT是將內(nèi)部網(wǎng)絡(luò)的私有IP地址一對(duì)一的轉(zhuǎn)換為公有IP地址，私有和公有地址的對(duì)應(yīng)關(guān)系固定，除了能實(shí)現(xiàn)內(nèi)網(wǎng)訪(fǎng)問(wèn)外網(wǎng)，還能實(shí)現(xiàn)外網(wǎng)對(duì)內(nèi)網(wǎng)服務(wù)器等的訪(fǎng)問(wèn)。10.1.1思科設(shè)備的靜態(tài)NAT和端口映射一、靜態(tài)NAT配置案例：公司從運(yùn)營(yíng)商獲得的公網(wǎng)地址是28~35，公司連接外網(wǎng)的路由器接口地址是30/29，對(duì)端是29。公司希望內(nèi)網(wǎng)中IP地址為0的服務(wù)器和0的電腦既能訪(fǎng)問(wèn)Internet又能被外網(wǎng)訪(fǎng)問(wèn)，外網(wǎng)訪(fǎng)問(wèn)它們的地址分別是31和32。搭建如圖10-1所示拓?fù)?，完成思科設(shè)備的靜態(tài)NAT配置，實(shí)現(xiàn)案例需求。圖10-1思科靜態(tài)NAT配置的拓?fù)?.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress3048R1(config-if)#noshutdownR2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#ipaddress2948R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfacegigabitEthernet0/0R2(config-if)#ipaddress52R2(config-if)#noshutdown2.在R1上配置內(nèi)網(wǎng)外出的默認(rèn)路由，命令如下：R1(config)#iproute293.在R1上配置在內(nèi)部局部地址和內(nèi)部全局地址之間建立靜態(tài)NAT，命令如下：R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipnatinside//將當(dāng)前接口設(shè)為inside口R1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipnatoutside//將當(dāng)前接口設(shè)為outside口R1(config)#ipnatinsidesourcestatic031命令中的“insidesourcestatic”表示從inside口進(jìn)入的流量將源地址（source）進(jìn)行靜態(tài)（static）轉(zhuǎn)換，NAT將私有地址0轉(zhuǎn)換為公有地址31。R1(config)#ipnatinsidesourcestatic032//本命令定義了NAT將私有地址0轉(zhuǎn)換為公有地址324.內(nèi)網(wǎng)ping外網(wǎng)測(cè)試，命令如下：C:\>ipconfigIPv4Address....................:0//查看本機(jī)IP地址C:\>pingReplyfrom:bytes=32time=21msTTL=126//內(nèi)網(wǎng)可以ping通外網(wǎng)5.外網(wǎng)ping內(nèi)網(wǎng)測(cè)試，命令如下：C:\>ipconfigIPv4Address........................://查看本機(jī)IP地址C:\>ping31Replyfrom31:bytes=32time=15msTTL=126

//外網(wǎng)可以ping通內(nèi)網(wǎng)二、NAT端口映射配置內(nèi)網(wǎng)的Server0服務(wù)器成為了公司的Web服務(wù)器（80端口），公司出于安全考慮，決定取消它訪(fǎng)問(wèn)Internet和被外網(wǎng)訪(fǎng)問(wèn)的權(quán)限，僅允許外網(wǎng)通過(guò)8080端口訪(fǎng)問(wèn)它。1.如圖10-2所示，為Server0搭建Web服務(wù)。如果點(diǎn)擊“index.html”文件的“(edit)”按鈕，可對(duì)網(wǎng)站首頁(yè)進(jìn)行編輯。圖10-2為Server0搭建Web服務(wù)2.先取消R1上原來(lái)的靜態(tài)NAT地址轉(zhuǎn)換，命令如下：R1(config)#noipnatinsidesourcestatic0313.在R1上配置NAT端口映射，命令如下：R1(config)#ipnatinsidesourcestatictcp080318080//將內(nèi)網(wǎng)的tcp80端口轉(zhuǎn)換為外網(wǎng)的TCP8080端口4.外網(wǎng)的電腦通過(guò)31:8080可以訪(fǎng)問(wèn)內(nèi)網(wǎng)Web服務(wù)器提供Web服務(wù)。10.1.2華為設(shè)備的靜態(tài)NAT和端口映射

一、靜態(tài)NAT配置

案例：公司從運(yùn)營(yíng)商獲得的公網(wǎng)地址是28~35，公司連接外網(wǎng)的路由器接口地址是30/29，對(duì)端是29。公司希望內(nèi)網(wǎng)中IP地址為0的服務(wù)器和0的電腦既能訪(fǎng)問(wèn)Internet又能被外網(wǎng)訪(fǎng)問(wèn)，外網(wǎng)訪(fǎng)問(wèn)它們的地址分別是31和32。

在eNSP中搭建如圖10-3所示拓?fù)?，通過(guò)配置靜態(tài)NAT，實(shí)現(xiàn)案例需求。步驟如下：圖10-3華為靜態(tài)NAT配置的拓?fù)?/p>

1.各路由器的基本配置，命令如下：[R1]interfaceGigabitEthernet0/0/0//R1的配置[R1-GigabitEthernet0/0/0]ipaddress24[R1-GigabitEthernet0/0/0]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress3029[R2]interfaceGigabitEthernet0/0/1//R2的配置[R2-GigabitEthernet0/0/1]ipaddress2929[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]ipaddress30

2.內(nèi)網(wǎng)Server0的配置如下：IP地址：0，子網(wǎng)掩碼：，網(wǎng)關(guān)：

3.內(nèi)網(wǎng)PC0的配置如下：IP地址：0，子網(wǎng)掩碼：，網(wǎng)關(guān)：

4.外網(wǎng)Server1的配置如下：

IP地址：，子網(wǎng)掩碼：52，網(wǎng)關(guān)：

5.配置內(nèi)網(wǎng)外出的默認(rèn)路由，命令如下：[R1]iproute-static029

6.在R1上配置在內(nèi)部局部地址和內(nèi)部全局地址之間建立靜態(tài)NAT，命令如下：[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natstaticglobal31inside0//將當(dāng)前接口作為outside接口，將公網(wǎng)地址31映射到私網(wǎng)地址0[R1-GigabitEthernet0/0/1]natstaticglobal32inside0//將當(dāng)前接口作為outside接口，將公網(wǎng)地址32映射到私網(wǎng)地址07.內(nèi)網(wǎng)PC0ping外網(wǎng)Server1測(cè)試，命令如下：C:\DocumentsandSettings\Administrator>ipconfig//查看本機(jī)地址IPAddress............:0C:\DocumentsandSettings\Administrator>ping//ping外網(wǎng)Server1Replyfrom:bytes=32time=44msTTL=126//可以ping通8.內(nèi)網(wǎng)Server0ping外網(wǎng)Server1測(cè)試，命令如下：C:\DocumentsandSettings\Administrator>ipconfig//查看本機(jī)地址IPAddress............:0C:\DocumentsandSettings\Administrator>ping//ping外網(wǎng)Server1Replyfrom:bytes=32time=36msTTL=126//可以ping通9.外網(wǎng)Server1ping內(nèi)網(wǎng)PC0，命令如下：C:\DocumentsandSettings\Administrator>ping32Replyfrom32:bytes=32time=53msTTL=126//可以ping通10.外網(wǎng)Server1ping內(nèi)網(wǎng)Server0，命令如下：C:\DocumentsandSettings\Administrator>ping31Replyfrom31:bytes=32time=67msTTL=126//可以ping通二、NAT端口映射配置內(nèi)網(wǎng)的Server0服務(wù)器成為了公司的Web服務(wù)器（80端口），公司出于安全考慮，決定取消它訪(fǎng)問(wèn)Internet和被外網(wǎng)訪(fǎng)問(wèn)的權(quán)限，僅允許外網(wǎng)通過(guò)8080端口訪(fǎng)問(wèn)它。1.取消原來(lái)R1上的靜態(tài)NAT地址轉(zhuǎn)換，命令如下：[R1-GigabitEthernet0/0/1]undonatstaticglobal31inside0[R1-GigabitEthernet0/0/1]undonatstaticglobal32inside02.在R1上配置NAT端口映射，命令如下：[R1-GigabitEthernet0/0/1]natstaticprotocoltcpglobal318080inside080//將當(dāng)前接口作為outside接口，將公網(wǎng)地址32的TCP8080端口映射到私網(wǎng)地址0的TCP80端口3.如圖10-4所示，外網(wǎng)服務(wù)器（或電腦）通過(guò)31:8080，可以訪(fǎng)問(wèn)內(nèi)網(wǎng)Web服務(wù)器提供的Web服務(wù)。圖10-4外網(wǎng)訪(fǎng)問(wèn)內(nèi)網(wǎng)的Web服務(wù)10.1.3華三設(shè)備的靜態(tài)NAT和NATServer一、靜態(tài)NAT配置案例：公司從運(yùn)營(yíng)商獲得的公網(wǎng)地址是28~35，公司連接外網(wǎng)的路由器接口地址是30/29，對(duì)端是29。公司希望內(nèi)網(wǎng)中IP地址為0的服務(wù)器和0的電腦既能訪(fǎng)問(wèn)Internet又能被外網(wǎng)訪(fǎng)問(wèn)，外網(wǎng)訪(fǎng)問(wèn)它們的地址分別是31和32。在HCL中搭建如圖10-5所示拓?fù)?，通過(guò)靜態(tài)NAT配置完成案例需求。圖10-5華三靜態(tài)NAT配置的拓?fù)?/p>

1.各路由器的基本配置，命令如下：[R1]interfaceGigabitEthernet0/0//R1的配置[R1-GigabitEthernet0/0]ipaddress24[R1-GigabitEthernet0/0]quit[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]ipaddress3029[R2]interfaceGigabitEthernet0/1//R2的配置[R2-GigabitEthernet0/1]ipaddress2929[R2-GigabitEthernet0/1]quit[R2]interfaceGigabitEthernet0/0[R2-GigabitEthernet0/0]ipaddress302.內(nèi)網(wǎng)Server0的配置如下：IP地址：0，子網(wǎng)掩碼：，網(wǎng)關(guān)：3.內(nèi)網(wǎng)PC0的配置如下：IP地址：0，子網(wǎng)掩碼：，網(wǎng)關(guān)：4.外網(wǎng)Server1的配置如下：IP地址：，子網(wǎng)掩碼：52，網(wǎng)關(guān)：

5.配置內(nèi)網(wǎng)外出的默認(rèn)路由，命令如下：[R1]iproute-static029

6.在R1上在內(nèi)部局部地址和內(nèi)部全局地址之間配置靜態(tài)NAT，命令如下：[R1]natstaticoutbound031//將公網(wǎng)地址31映射到私網(wǎng)地址0[R1]natstaticoutbound032//將公網(wǎng)地址32映射到私網(wǎng)地址0[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]natstaticenable//開(kāi)啟接口上的NAT靜態(tài)地址轉(zhuǎn)換功能

7.內(nèi)網(wǎng)PC0ping外網(wǎng)Server1測(cè)試，命令如下：C:\DocumentsandSettings\Administrator>ipconfig//查看本機(jī)地址IPAddress............:0C:\DocumentsandSettings\Administrator>ping//ping外網(wǎng)Server1Replyfrom:bytes=32time=44msTTL=126//可以ping通

8.內(nèi)網(wǎng)Server0ping外網(wǎng)Server1測(cè)試，命令如下：C:\DocumentsandSettings\Administrator>ipconfig//查看本機(jī)地址IPAddress............:0C:\DocumentsandSettings\Administrator>ping//ping外網(wǎng)Server1Replyfrom:bytes=32time=36msTTL=126//可以ping通

9.外網(wǎng)Server1ping內(nèi)網(wǎng)PC0測(cè)試，命令如下：C:\DocumentsandSettings\Administrator>ping32Replyfrom32:bytes=32time=53msTTL=126//可以ping通

10.外網(wǎng)Server1ping內(nèi)網(wǎng)Server0測(cè)試，命令如下：C:\DocumentsandSettings\Administrator>ping31Replyfrom31:bytes=32time=67msTTL=126//可以ping通二、NATServer配置

內(nèi)網(wǎng)的Server0服務(wù)器成為了公司的Web服務(wù)器（80端口），公司出于安全考慮，決定取消它訪(fǎng)問(wèn)Internet的權(quán)限，僅允許外網(wǎng)通過(guò)8080端口訪(fǎng)問(wèn)它。

1.取消原來(lái)R1上的靜態(tài)NAT地址轉(zhuǎn)換，命令如下：[R1]undonatstaticoutbound031[R1]undonatstaticoutbound032[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]undonatstaticenable

2.在R1上配置NATServer，命令如下：[R1-GigabitEthernet0/1]natserverprotocoltcpglobal318080inside080//將當(dāng)前接口作為outside接口，允許公網(wǎng)主機(jī)主動(dòng)向私網(wǎng)主機(jī)發(fā)起連接，將公網(wǎng)地址32的TCP8080端口映射到私網(wǎng)地址0的TCP80端口

3.外網(wǎng)服務(wù)器（或電腦）通過(guò)“31:8080”，可以訪(fǎng)問(wèn)內(nèi)網(wǎng)Web服務(wù)器提供Web服務(wù)。10.2動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換

動(dòng)態(tài)NAT也稱(chēng)為BasicNAT，是指內(nèi)部網(wǎng)絡(luò)的私有地址轉(zhuǎn)換為公有地址前，要先指定允許轉(zhuǎn)換的內(nèi)部私有地址范圍和可用的公有地址范圍，私有地址和公有地址間的對(duì)應(yīng)關(guān)系動(dòng)態(tài)建立、動(dòng)態(tài)釋放，釋放后，只要還有可用的公有地址就可以與之重新建立關(guān)聯(lián)。動(dòng)態(tài)NAT適用于內(nèi)部主機(jī)數(shù)大于可用的公有地址數(shù)，但內(nèi)部主機(jī)不要求同時(shí)全部上網(wǎng)的情況。內(nèi)部有同時(shí)上網(wǎng)需求的主機(jī)數(shù)超過(guò)可用的公有地址數(shù)時(shí)，超出的主機(jī)只能等待，直到有公有地址被釋放，才允許當(dāng)前未與公有地址建立關(guān)聯(lián)但又想上網(wǎng)的主機(jī)與其建立關(guān)聯(lián)并上網(wǎng)。

10.2.1思科設(shè)備的動(dòng)態(tài)NAT配置

案例：公司從運(yùn)營(yíng)商獲得的公網(wǎng)地址是28~91。其中，公司連接外網(wǎng)的路由器接口地址是30/26，對(duì)端是29/26，可用于地址轉(zhuǎn)換的公有地址范圍是31~90。公司內(nèi)網(wǎng)需要訪(fǎng)問(wèn)Internet的私有地址范圍是~54。

在PacketTracer中搭建如圖10-6所示拓?fù)?，通過(guò)配置思科設(shè)備的動(dòng)態(tài)NAT實(shí)現(xiàn)案例需求。圖10-6思科設(shè)備動(dòng)態(tài)NAT配置的拓?fù)?/p>

1.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress3092R1(config-if)#noshutdownR1(config-if)#exitR1(config)#iproute29R2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#ipaddress2992R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfacegigabitEthernet0/0R2(config-if)#ipaddress52R2(config-if)#noshutdown2.在R1上的動(dòng)態(tài)NAT配置，命令如下：R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipnatinside//將當(dāng)前接口設(shè)為inside口R1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipnatoutside//將當(dāng)前接口設(shè)為outside口R1(config-if)#exitR1(config)#access-list1permit55//通過(guò)ACL定義允許外出的私有地址范圍R1(config)#ipnatpoolpool13190netmask92//通過(guò)NAT地址池定義用于NAT地址轉(zhuǎn)換的公有地址范圍R1(config)#ipnatinsidesourcelist1poolpool1//定義NAT將ACL1中的私有地址將轉(zhuǎn)換為地址池pool1中的公有地址

3.內(nèi)網(wǎng)的電腦ping外網(wǎng)的服務(wù)器測(cè)試，命令如下：C:\>ipconfig//查看內(nèi)網(wǎng)電腦的IP地址IPv4Address....................:0C:\>ping//內(nèi)網(wǎng)的電腦ping外網(wǎng)的服務(wù)器Replyfrom:bytes=32time=1msTTL=126//可以ping通R1#showipnattranslations//ping完后在R1上查看網(wǎng)絡(luò)地址的轉(zhuǎn)換關(guān)系

可以看到，內(nèi)部私有地址0出到外網(wǎng)時(shí)轉(zhuǎn)換為對(duì)應(yīng)的公有地址31；外部的公有地址進(jìn)到內(nèi)網(wǎng)時(shí)仍然保留為。10.2.2華為設(shè)備的動(dòng)態(tài)NAT配置

案例：公司從運(yùn)營(yíng)商獲得的公網(wǎng)地址是28~35。其中，公司連接外網(wǎng)的路由器接口地址是30/29，對(duì)端是29/29，可用于地址轉(zhuǎn)換的公有地址范圍是31~34。公司內(nèi)網(wǎng)需要訪(fǎng)問(wèn)Internet的私有地址范圍是~54。如圖10-7所示，在華為“端口映射配置”案例的基礎(chǔ)上繼續(xù)學(xué)習(xí)華為設(shè)備的動(dòng)態(tài)NAT配置，完成案例需求。

圖10-7華為設(shè)備動(dòng)態(tài)NAT配置的拓?fù)?/p>

1.取消原來(lái)R1上的NAT端口映射，命令如下：[R1]intGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]undonatstaticprotocoltcpglobal318080inside080

2.R1上的動(dòng)態(tài)NAT配置，命令如下：[R1]acl2000[R1-acl-basic-2000]rulepermitsource55[R1-acl-basic-2000]quit[R1]nataddress-group13134[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000address-group1no-pat

3.在R1上查看NAT地址池配置信息，命令如下：[R1]displaynataddress-group1IndexStart-addressEnd-address13134

4.在R1上查看動(dòng)態(tài)NAT配置信息，命令如下:[R1]displaynatoutboundInterfaceAclAddress-group/IP/Interface

TypeGigabitEthernet0/0/120001 no-pat10.2.3華三設(shè)備的BasicNAT配置

案例：公司從運(yùn)營(yíng)商獲得的公網(wǎng)地址是28~35。其中，公司連接外網(wǎng)的路由器接口地址是30/29，對(duì)端是29/29，可用于地址轉(zhuǎn)換的公有地址范圍是31~34。公司內(nèi)網(wǎng)需要訪(fǎng)問(wèn)Internet的私有地址范圍是~54。

在華三“NATServer”案例的基礎(chǔ)上繼續(xù)學(xué)習(xí)華三設(shè)備的BaseicNAT配置，完成案例需求。

1.取消原來(lái)R1上的NATServer配置，命令如下：[R1]intGigabitEthernet0/0/1[R1-GigabitEthernet0/1]undonatserverprotocoltcpglobal318080

2.R1上的BasicNAT配置，命令如下：[R1]aclbasic2000[R1-acl-ipv4-basic-2000]rulepermitsource55//通過(guò)ACL定義允許外出的私有地址范圍[R1-acl-ipv4-basic-2000]quit[R1]nataddress-group1[R1-address-group-1]address3134//通過(guò)NAT地址池定義用于NAT地址轉(zhuǎn)換的公有地址范圍[R1-address-group-1]quit[R1]interfaceGigabitEthernet0/1[R1-GigabitEthernet0/1]natoutbound2000address-group1no-pat//定義NAT，將當(dāng)前接口作為outside接口，將ACL2000中的私有地址將轉(zhuǎn)換為地址池pool1中的公有地址

3.在R1上查看NAT地址池配置信息，命令如下：[R1]displaynataddress-group1AddressgroupID:1Portrange:1-65535Addressinformation:StartaddressEndaddress3134

4.在R1上查看動(dòng)態(tài)NAT配置信息，命令如下：[R1]displaynatoutboundNAToutboundinformation:Totally1NAToutboundrules.Interface:GigabitEthernet0/1ACL:2000AddressgroupID:1Port-preserved:NNO-PAT:YReversible:NNATcounting:0Configstatus:Active10.3基于端口的網(wǎng)絡(luò)地址轉(zhuǎn)換

PAT（PortAddressTranslation）也稱(chēng)為NAPT（NetworkAddressPortTranslation），該技術(shù)使內(nèi)網(wǎng)的不同主機(jī)可以共享同一個(gè)公有IP地址訪(fǎng)問(wèn)互連網(wǎng)，方法是給這些主機(jī)的外出數(shù)據(jù)包分配相同的公有地址和不同的端口號(hào)。以端口號(hào)而不是以IP地址來(lái)區(qū)分主機(jī)，這種網(wǎng)絡(luò)地址轉(zhuǎn)換方式不但最大程度的節(jié)約了IP地址資源，而且能有效的避免來(lái)自互聯(lián)網(wǎng)的攻擊，是目前最常用的NAT方式。10.3.1思科設(shè)備的PAT配置一、使用外部全局地址實(shí)現(xiàn)PAT轉(zhuǎn)換案例：公司從運(yùn)營(yíng)商獲得的公網(wǎng)地址是28~35，公司連接外網(wǎng)的路由器接口地址是30/29，對(duì)端是29/29，可用于地址轉(zhuǎn)換的公有地址是31/29。公司內(nèi)網(wǎng)需要訪(fǎng)問(wèn)Internet的私有地址范圍是~54。在PacketTracer中搭建如圖10-8所示拓?fù)洌瓿伤伎圃O(shè)備的PAT配置，實(shí)現(xiàn)案例需要。圖10-8思科設(shè)備的PAT配置的拓?fù)?/p>

1.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress3092R1(config-if)#noshutdownR1(config-if)#exitR1(config)#iproute29R2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#ipaddress2992R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfacegigabitEthernet0/0R2(config-if)#ipaddress52R2(config-if)#noshutdown

2.R1上的PAT配置，命令如下：R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipnatinside//將當(dāng)前接口設(shè)為inside口R1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipnatoutside//將當(dāng)前接口設(shè)為outside口R1(config-if)#exitR1(config)#access-list1permit55//通過(guò)ACL定義允許外出的私有地址范圍R1(config)#ipnatpoolpool13131netmask48//通過(guò)NAT地址池定義用于NAT地址轉(zhuǎn)換的公有地址范圍R1(config)#ipnatinsidesourcelist1poolpool1overload//定義NAT將ACL1中的私有地址將轉(zhuǎn)換為地址池pool1中的公有地址，overload表示可以通過(guò)分配不同的端口號(hào)復(fù)用相同的公有地址

3.在PC0和PC1上分別ping外網(wǎng)服務(wù)器后，在R1上進(jìn)行查看NAT轉(zhuǎn)換情況，命令如下：R1#showipnattranslations可以看到，0和0出到外網(wǎng)時(shí)都轉(zhuǎn)換成相同的公有地址31，PC0和PC1的外出數(shù)據(jù)包使用相同的公有地址和不同的端口號(hào)。二、復(fù)用路由器外部接口地址實(shí)現(xiàn)PAT轉(zhuǎn)換如果公司只有一個(gè)可用的公有地址，這個(gè)地址已經(jīng)被用在路由器的外部接口上，此時(shí)，這個(gè)地址也可作為內(nèi)網(wǎng)私有地址經(jīng)過(guò)NAT轉(zhuǎn)換后的公有地址。案例：公司從運(yùn)營(yíng)商獲得的公有地址是28~31，公司連接外網(wǎng)的路由器接口地址是30/30，對(duì)端是29/30。公司內(nèi)網(wǎng)需要訪(fǎng)問(wèn)Internet的私有地址范圍是~54，用于NAT地址轉(zhuǎn)換的地址是公司路由器連接外網(wǎng)的接口地址30/30。1.各路由器的基本配置，命令如下：R1(config)#interfacegigabitEthernet0/0//R1的配置R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipaddress3092R1(config-if)#noshutdownR1(config-if)#exitR1(config)#iproute29R2(config)#interfaceserial0/0/0//R2的配置R2(config-if)#ipaddress2992R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfacegigabitEthernet0/0R2(config-if)#ipaddress52R2(config-if)#noshutdown2.在R1上復(fù)用路由器外部接口的PAT配置，命令如下：R1(config)#interfacegigabitEthernet0/0R1(config-if)#ipnatinside//將當(dāng)前接口設(shè)為inside口R1(config-if)#exitR1(config)#interfaceserial0/0/0R1(config-if)#ipnatoutside//將當(dāng)前接口設(shè)為outside口R1(config-if)#exitR1(config)#access-list1permit55//通過(guò)ACL定義允許外出的私有地址范圍R1(config)#ipnatinsidesourcelist1interfaceserial0/0/0overload//定義NAT轉(zhuǎn)換時(shí)將ACL1中的私有地址轉(zhuǎn)換為接口s0/0/0的地址，overload表示可以通過(guò)分配不同的端口號(hào)復(fù)用接口s0/0/0的公有地址3.在PC0和PC1上分別ping外網(wǎng)服務(wù)器后，在R1上進(jìn)行查看NAT轉(zhuǎn)換情況，命令如下：R1#showipnattranslations可以看到，PC1和PC0的私有地址0和0出到外網(wǎng)時(shí)，都轉(zhuǎn)換成了相同的公有地址31（即接口s0/0/0的地址），并使用了不同的端口號(hào)加以區(qū)分。10.3.2華為設(shè)備的NAPT配置一、使用外部全局地址實(shí)現(xiàn)NAPT轉(zhuǎn)換案例：公司從運(yùn)營(yíng)商獲得的公網(wǎng)地址是28~35，公司連接外網(wǎng)的路由器接口地址是30/29，對(duì)端是29/29，可用于地址轉(zhuǎn)換的公有地址是31/29。公司內(nèi)網(wǎng)需要訪(fǎng)問(wèn)Internet的私有地址范圍是~54。如圖10-9所示，在華為設(shè)備“動(dòng)態(tài)NAT配置”的基礎(chǔ)上繼續(xù)NAPT配置，實(shí)現(xiàn)案例需求。圖10-9華為設(shè)備N(xiāo)APT配置的拓?fù)?.保留如下用于定義“需要訪(fǎng)問(wèn)Internet的私有地址范圍”的ACL命令：[R1]acl2000[R1-acl-basic-2000]rulepermitsource552.在R1上更改NAT地址池，命令如下：[R1]undonataddress-group1[R1]nataddress-group131313.在R1上取消原來(lái)的動(dòng)態(tài)NAT配置，改為NAPT，命令如下：[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]undonatoutbound2000address-group1no-pat[R1-GigabitEthernet0/0/1]natoutbound2000address-group14.在內(nèi)網(wǎng)Server0和PC0上ping外網(wǎng)Server1，測(cè)試內(nèi)網(wǎng)與外網(wǎng)的連通性，以Server0為例，命令如下：C:\DocumentsandSettings\Administrator>pingReplyfrom:bytes=32time=27msTTL=126可以看到，Server0能ping通外網(wǎng)Server1。同樣的PC0同樣也能ping通。5.在R1上查看NATP會(huì)話(huà)信息，命令如下：[R1]displaynatsessionall可以看到，私有地址0和0同時(shí)映射到了同一個(gè)公有地址31，只是映射到了不同的端口號(hào)。二、復(fù)用路由器外部接口地址的EasyIP配置示例在華為設(shè)備“使用外部全局地址實(shí)現(xiàn)NAPT轉(zhuǎn)換”案例的基礎(chǔ)上繼續(xù)配置：1.保留如下用于定義“需要訪(fǎng)問(wèn)Internet的私有地址范圍”的ACL命令：[R1]acl2000[R1-acl-basic-2000]rulepermitsource552.取消R1上原來(lái)的NAPT配置，改為EasyIP，命令如下：[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]undonatoutbound2000address-group1[R1-GigabitEthernet0/0/1]natoutbound20003.刪除R1上原來(lái)的NAT公有地址池，命令如下：[R1]undonataddress-group14.在R1上查看NATOutbound的配置結(jié)果，命令如下：[R1]displaynatoutbound可以看到，ACL2000所允許的私有地址網(wǎng)段與g0/0/1接口的公有地址30進(jìn)行了關(guān)聯(lián)，NAT類(lèi)型為easyip。10.3.3華三設(shè)備的NAPT配置一、使用外部全局地址實(shí)現(xiàn)NAPT轉(zhuǎn)換案例：公司從運(yùn)營(yíng)商獲得的公網(wǎng)地址是28~35，公司連接外網(wǎng)的路由器接口地址是30/29，對(duì)端是29/29，可用于地址轉(zhuǎn)換的公