16.NAT

©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-1地址空间管理使用NAT和PAT扩展网络©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-2网络地址转换IP地址是本地地址或全局地址。本地IPv4地址在网络内部可见。全局IPv4地址在网络外部可见。©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-3端口地址转换©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-4转换内部源地址©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-5建立内部本地地址与内部全局地址间的静态转换RouterX(config)#ipnatinsidesourcestaticlocal-ipglobal-ip将该接口标记为连接内部网络的接口RouterX(config-if)#ipnatinside将该接口标记为连接外部网络的接口RouterX(config-if)#ipnatoutside显示活动的转换RouterX#showipnattranslations配置和检验静态转换©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-6启用静态NAT地址映射示例RouterX#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal---192.168.1.210.1.1.2------interfaces0ipaddress192.168.1.1255.255.255.0ipnatoutside!interfacee0ipaddress10.1.1.1255.255.255.0ipnatinside!ipnatinsidesourcestatic10.1.1.2192.168.1.2©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-7建立动态源转换，指定上一步定义的ACLRouterX(config)#ipnatinsidesourcelistaccess-list-numberpoolname定义可根据需要进行分配的全局地址池RouterX(config)#ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}定义允许那些要被转换的内部本地地址的标准IPACLRouterX(config)#access-listaccess-list-numberpermitsource[source-wildcard]显示活动的转换RouterX#showipnattranslations配置和检验动态转换©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-8动态地址转换示例RouterX#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal---172.19.233.209192.168.1.100---------172.19.233.210192.168.1.101------©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-9过载内部全局地址©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-10配置过载建立动态源转换，指定上一步定义的ACLRouterX(config)#ipnatinsidesourcelistaccess-list-numberinterfaceinterfaceoverload定义允许那些要被转换的内部本地地址的标准IPACLRouterX(config)#access-listaccess-list-numberpermitsourcesource-wildcard显示活动的转换RouterX#showipnattranslations©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-11过载内部全局地址示例RouterX#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalTCP172.17.38.1:1050192.168.3.7:105010.1.1.1:2310.1.1.1:23TCP172.17.38.1:1776192.168.4.12:177610.2.2.2:2510.2.2.2:25hostnameRouterX!interfaceEthernet0ipaddress192.168.3.1255.255.255.0ipnatinside!interfaceEthernet1ipaddress192.168.4.1255.255.255.0ipnatinside!interfaceSerial0descriptionToISPipaddress172.17.38.1255.255.255.0ipnatoutside!ipnatinsidesourcelist1interfaceSerial0overload!iproute0.0.0.00.0.0.0Serial0!access-list1permit192.168.3.00.0.0.255access-list1permit192.168.4.00.0.0.255!©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-12清除包含内部转换或同时包含内部转换与外部转换的简单动态转换条目RouterX#clearipnattranslationinsideglobal-iplocal-ip[outsidelocal-ipglobal-ip]清除所有动态地址转换条目RouterX#clearipnattranslation*清除包含外部转换的简单动态转换条目RouterX#clearipnattranslationoutsidelocal-ipglobal-ip清除扩展动态转换条目（PAT条目）RouterX#clearipnattranslationprotocolinsideglobal-ipglobal-portlocal-iplocal-port[outsidelocal-iplocal-portglobal-ipglobal-port]清除NAT转换表©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-13未执行转换：转换表中没有包含转换检验：不存在拒绝数据包进入NAT路由器的入站ACLNAT命令所引用的ACL是否允许所有必需的网络NAT池中是否有足够的地址路由器接口是否被正确定义为NAT内部接口或NAT外部接口©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-14RouterX#showipnatstatisticsTotalactivetranslations:1(1static,0dynamic;0extended)Outsideinterfaces:Ethernet0,Serial2Insideinterfaces:Ethernet1Hits:5Misses:0…用show和debug命令显示信息RouterX#debugipnatNAT:s=192.168.1.95-172.31.233.209,d=172.31.2.132[6825]NAT:s=172.31.2.132,d=172.31.233.209-192.168.1.95[21852]NAT:s=192.168.1.95-172.31.233.209,d=172.31.1.161[6826]NAT*:s=172.31.1.161,d=172.31.233.209-192.168.1.95[23311]NAT*:s=192.168.1.95-172.31.233.209,d=172.31.1.161[6827]NAT*:s=192.168.1.95-172.31.233.209,d=172.31.1.161[6828]NAT*:s=172.31.1.161,d=172.31.233.209-192.168.1.95[23312]NAT*:s=172.31.1.161,d=172.31.233.209-192.168.1.95[23313]©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-15检验：应该完成什么样的NAT配置NAT条目是否准确地存在于转换表中实际上是否由监控NAT过程或统计信息引起转换如果数据包从内部传向外部，那么NAT路由器的路由表中是否存在正确的路由所有必需的路由器是否有回到转换后地址的返回路由执行转换：已添加的未使用转换条目©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-16问题示例：无法Ping通远程主机©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-17问题示例：无法Ping通远程主机（续）转换表中无任何转换。RouterA#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal------------------©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-18问题示例：无法Ping通远程主机（续）路由器接口错误地定义成了NAT内部接口或NAT外部接口。RouterA#showipnatstatisticsTotalactivetranslations:0(0static,0dynamic;0extended)Outsideinterfaces:Ethernet0Insideinterfaces:Serial0Hits:0Misses:0…©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-19问题示例：无法Ping通远程主机（续）Ping仍然失败，转换表中仍没有转换。在要定义哪些地址要转换的ACL中包含错误的通配符位掩码。RouterA#showaccess-listStandardIPaccesslist2010permit0.0.0.0,wildcardbits255.255.255.0©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-20问题示例：无法Ping通远程主机（续）转换现在可以执行。Ping仍然失败。RouterA#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal---172.16.17.20192.168.1.2------©2008CiscoSystems,Inc.保留所有权利。ICND2v1.0—7-21问题示例：无法Ping通远程主机（续）路由器B上没有到转换后的网络地址172.16.0.0的路由。RouterB#shiprouteCodes:C-connected,S-static,R-RIP,M-mobile,B-BGPGatewayoflastresortisnotset10.0.0.0/24issubnetted,1subnetsC10.1.1.0/24isdirectlyconnected,Serial0192.168.2.0/24issubnetted,1subnetsR192.168.2.0/24isdirectlyconnected,Ethernet0192.168.1.0/24isv