05网络协议配置 21.3NAT术语 如前所述,术语 inside是指某一组织机构所拥有的和必须进行转换的那些网络。在这个 域中,主机将会有一个地址空间中的地址,而在域外,配置NAT时,它们会在另一个地 址空间中拥有地址。第一个地址空间指的是局部地址空间,而第二个地址空间是全局地 址空间 类似地, outside是指单连接网络所连接的那些网络,一般不在一个组织的控制内。就像 在后面将要讨论的那样,外部网络中的主机地址也可以/需要翻译为某个地址并且可能有 局部地址和全局地址。 总之,NAT使用以下定义 内部局部地址——在内部网络上一个主机分配到的|P地址。这个地址可能不是网络信息 中心(NC或服务提供商所分配的合法P地址 内部全局地址一一个合法的|P地址(由NC或服务供应商分配),向外部网络描述一个 或多个本地P地址。 外部局部地址——出现在内部网络的一个外部主机的|P地址。不一定是合法地址,它可 以在内部网络中从可路由的地址空间进行分配 外部全局地址—一主机的拥有者在外部网络上分配给主机的IP地址。该地址可以从全局 可路由地址或网络空间进行分配。 214NAT规则匹配顺序 NAT在翻译报文时,首先要匹配已配置的NAT规则。NAT的规则主要有三大类型:内部 源地址映射、外部源地址映射和内部目的地址映射,每一个大类型下又有子类型。下面 以内部源地址映射为例,介绍NAT匹配规则子类型的顺序如下 (1)静态TCP心UDP端口映射规则。 (2)静态单个地址映射规则。 (3)静态网段映射规则。 (4)动态POOL地址映射规则 (5)PAT映射规则。 对于同一大类型下的相同子类的规则,对于三大规则类型之间,则按添加的先后顺序匹 配。在 show running时,NAT规则的显示顺序和实际匹配的顺序一样 22NAT配置任务表 在配置任何NAT翻译之前,必须知道内部局部地址范围和内部全局地址范围。下一节将 显示如何使用NAT执行以下可选任务05-网络协议配置 2.1.3 NAT 术语 如前所述，术语 inside 是指某一组织机构所拥有的和必须进行转换的那些网络。在这个 域中，主机将会有一个地址空间中的地址，而在域外，配置 NAT 时，它们会在另一个地 址空间中拥有地址。第一个地址空间指的是局部地址空间，而第二个地址空间是全局地 址空间。 类似地，outside 是指单连接网络所连接的那些网络，一般不在一个组织的控制内。就像 在后面将要讨论的那样，外部网络中的主机地址也可以/需要翻译为某个地址并且可能有 局部地址和全局地址。 总之，NAT 使用以下定义： 内部局部地址——在内部网络上一个主机分配到的 IP 地址。这个地址可能不是网络信息 中心(NIC)或服务提供商所分配的合法 IP 地址。 内部全局地址——一个合法的 IP 地址(由 NIC 或服务供应商分配)，向外部网络描述一个 或多个本地 IP 地址。 外部局部地址——出现在内部网络的一个外部主机的 IP 地址。不一定是合法地址，它可 以在内部网络中从可路由的地址空间进行分配。 外部全局地址——主机的拥有者在外部网络上分配给主机的 IP 地址。该地址可以从全局 可路由地址或网络空间进行分配。 2.1.4 NAT 规则匹配顺序 NAT 在翻译报文时，首先要匹配已配置的 NAT 规则。NAT 的规则主要有三大类型：内部 源地址映射、外部源地址映射和内部目的地址映射，每一个大类型下又有子类型。下面 以内部源地址映射为例，介绍 NAT 匹配规则子类型的顺序如下： (1) 静态 TCP/UDP 端口映射规则 。 (2) 静态单个地址映射规则 。 (3) 静态网段映射规则 。 (4) 动态 POOL 地址映射规则。 (5) PAT 映射规则。 对于同一大类型下的相同子类的规则，对于三大规则类型之间，则按添加的先后顺序匹 配。在 show running 时，NAT 规则的显示顺序和实际匹配的顺序一样。 2.2 NAT配置任务表 在配置任何 NAT 翻译之前，必须知道内部局部地址范围和内部全局地址范围。下一节将 显示如何使用 NAT 执行以下可选任务: - 9 -