12.1工作任务12.2相关知识12.2.1NAT技术的产生原理12.2.2NAT的功能与作用如图12.1所示，设置NAT功能的路由器至少要有一个Inside（内部）端口及至少一个Outside（外部）端口。当内部网络上的一台主机访问因特网上的一台主机时，内部网络主机所发出的数据包的源IP地址是私有地址，这个数据包到达路由器后，路由器使用事先设置好的公用地址替换掉私有地址，这样这个数据包的源IP地址就变成了因特网上唯一的公用地址了，然后此数据包被发送到因特网上的目的主机处。源地址私转公12.2.3NAT技术的术语由图12.2可以看出，NAT在做地址转换时，依靠在NAT表中记录内部私有地址和外部公有地址的映射关系来保存地址转换的依据。当执行NAT操作时，路由器在做某一数据连接操作时只需要查询该表，就可以得知应该如何转换地址，而不会发生数据连接的混淆。 NAT表中每一个连接条目，都有一个计时器。当有数据在这两台主机之间传递时,数据包不断刷新NAT表中的相应条目,则该条目将处于不断被激活的状态,该条目不会被NAT表清除。但是，如果两台主机长时间没有数据交互，则在计时器倒数到零时，NAT表将把这一条目清除。2.内部地址和全局地址 如图12.2所示，我们看到在NAT表中有四种地址，它们分别是：Insidelocaladdress（内部本地地址）、insideglobaladdress（内部全局地址）、outsidelocaladdress（外部本地地址）、outsideglobaladdress（外部全局地址）。 如图12.3所示表示了这些地址之间的关系，在图12.3中，我们可以看到，网络被分成内部网络和外部网络两部分。 Inside:表示内部网络，这些网络的地址需要被转换。在内部网络，每台主机都分配一个内部IP地址，但与外部网络通讯时，又表现为另外一个地址。 Outside:是指内部网络需要连接的网络，一般指互联网，也可以是另外一个机构的网络。图12.3内部地址和外部地址Local图12.3内部地址和外部地址InternetGlobalInsideOutside主机位置IP地址的逻辑位置 Insidelocaladdress 内部本地地址，是指在一个企业或机构内部网络内分配给一台主机的IP地址。这个地址通常是私有地址。 insideglobaladdress 内部全局地址，是指设置在路由器等因特网接口设备上，用来代替一个或多个私有IP地址的公有地址，在因特网上应该是唯一的。 outsidelocaladdress 外部本地地址，是指因特网上的一个公有地址，该地址可能是因特网上的一台主机。 outsideglobaladdress 外部全局地址，是指因特网上另一端网络内部的地址，该地址可能是私有的。 一般情况下，outsidelocaladdress和outsideglobaladdress是同一个公有地址，它们就是内部网络主机所访问的因特网上的主机，只有当特殊情况的时候，两个地址才不一样。12.2.4NAT类型2.动态地址转换12.2.5NAT配置2）配置连接Internet的接口 在路由器连接Internet的接口（一般是以太网接口或快速以太网接口）上首先要配置IP地址，这个地址为公用地址，并且要启动该接口。 然后声明该接口是NAT转换的外部网络接口，命令格式如下： router（config-if）#Ipnatoutside （3）配置连接企业内部网络的接口 在路由器连接企业内部网络的接口（一般是路由器的另一个以太网接口或快速以太网接口）上也要配置IP地址，这个地址应该是私有地址，并且要启动该接口。 然后声明该接口是NAT转换的内部网络接口，命令格式如下： router（config-if）#ipnatinside2.动态NAT配置基本过程（2）在路由器的全局模式下配置访问控制列表 在全局设置模式下，定义一个标准访问控制列表，该列表的作用是用来筛选允许上网企业内部主机，通过在该列表中使用“允许”语句，能够指定哪些人可以上网。命令如下： router（config）#Access-listaccess-list-numberpermitsource[source-wildcard] 其中各参数的含义见项目六访问控制列表。 （3）定义内部网络私有地址与外部网络公用地址之间的映射在全局配置模式下，将由access-list指定的内部私有地址与指定的公用地址池相映射，从而提供内网私有地址和外网公用地址之间的NAT转换。其命令如下： router（config）#ipnatinsidesource｛list{access-list-number|name}poolpool-name[overload]|staticlocal-ipgloba