TCPIP路由交換技術(shù)-私有局域網(wǎng)與Internet的互聯(lián)

私有局域網(wǎng)與Internet的互聯(lián)課程議題通過(guò)本次內(nèi)容的學(xué)習(xí)，希望您能夠： 掌握NAT概念及其特點(diǎn) 掌握NAT工作原理 掌握NAT工作原方式 學(xué)會(huì)靜態(tài)NAT配置、動(dòng)態(tài)NAT配置和PAT配置學(xué)習(xí)目標(biāo)１４.1

NAT概念和特點(diǎn)問(wèn)題提出隨著Internet技術(shù)的飛速發(fā)展，起來(lái)越多的用戶加入到Internet，無(wú)論在辦公室、賓館、學(xué)校、公司及家庭，人們都需要接入Internet進(jìn)行辦公、娛樂(lè)等，互聯(lián)網(wǎng)中任何兩臺(tái)主機(jī)間通信需要全球唯一的IP地址。目前，Internet的一個(gè)重要問(wèn)題是IP地址需求急劇膨脹，IP地址空間已近衰竭，而NAT的使用恰好緩解了這個(gè)問(wèn)題。解決辦法還可以通過(guò)其它的一些技術(shù)來(lái)節(jié)省IP地址的使用如：1.可變長(zhǎng)子網(wǎng)掩碼（VLSM）2.無(wú)類域間路由（CIDR）3.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）4.IPv6：為解決IP地址耗盡問(wèn)題，IPv6應(yīng)該是最終的解決手段，但是由于現(xiàn)有網(wǎng)絡(luò)都使用IPv4，絕大多數(shù)都不支持IPv6，要升級(jí)設(shè)備需要大量的資金，是一個(gè)長(zhǎng)期且浩大的工程。5什么是NATNAT（NetworkAddressTranslation）就是將網(wǎng)絡(luò)地址從一個(gè)地址空間轉(zhuǎn)換到另外一個(gè)地址空間的行為。它使得一個(gè)使用私有地址的網(wǎng)絡(luò)中的主機(jī)以合法地址出現(xiàn)在Internet上。Internet/24/24為什么需要NAT?IP地址危機(jī)

IPv4地址空間不足在為企業(yè)內(nèi)部網(wǎng)絡(luò)、測(cè)試實(shí)驗(yàn)室或家庭進(jìn)行網(wǎng)絡(luò)編址時(shí)，可以使用私有地址，而不必每臺(tái)設(shè)備都花錢從ISP或注冊(cè)中心哪里獲得全球唯一的地址。

—55（/8）

—55（/12）

—55（/16）

但是這些地址在Internet上是不可被路由的。為什么使用NAT？OutsideInsideInternetNAT

border

routerSASA

內(nèi)網(wǎng)對(duì)Internet的訪問(wèn)網(wǎng)絡(luò)安全保護(hù)技術(shù)節(jié)省IP地址在內(nèi)部局域網(wǎng)提供外部網(wǎng)絡(luò)服務(wù)使用NAT的優(yōu)缺點(diǎn)優(yōu)點(diǎn)缺點(diǎn)節(jié)省合法地址引入延遲減少地址沖突的機(jī)會(huì)喪失端到端的IP跟蹤能力靈活連接Internet一些特定應(yīng)用可能無(wú)法正常工作，如IPSEC，GRE，L2TP等維持局域網(wǎng)的私密性，因?yàn)閮?nèi)部IP地址是不公開(kāi)的NAT的種類NAT功能通常被集成到路由器、防火墻或單獨(dú)的NAT設(shè)備中。NAT路由器被置于內(nèi)部網(wǎng)和外網(wǎng)的邊界上，在數(shù)據(jù)包發(fā)送到外部網(wǎng)絡(luò)之前將數(shù)據(jù)包的內(nèi)部私有IP地址轉(zhuǎn)換為Internet上的合法地址。NAT也可以應(yīng)用到防火墻技術(shù)里，把個(gè)別IP地址隱藏起來(lái)不被外界發(fā)現(xiàn)，使外界無(wú)法直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)，從而對(duì)內(nèi)部網(wǎng)絡(luò)起到保護(hù)作用。NAT的類型NAT（NetworkAddressTranslation）：轉(zhuǎn)換后，一個(gè)內(nèi)部本地IP地址對(duì)應(yīng)一個(gè)全局IP地址。

NAT又分為：靜態(tài)NAT和動(dòng)態(tài)NAT。NAPT（NetworkAddressPortTranslation或NPAT）：轉(zhuǎn)換后，多個(gè)內(nèi)部本地地址對(duì)應(yīng)一個(gè)全局IP地址。NAT基本原理NAT:NetworkAddressTranslation網(wǎng)絡(luò)地址轉(zhuǎn)換NAT是一種地址映射技術(shù)，將主機(jī)的私有IP地址映射為一個(gè)外部唯一可識(shí)別的公用IP地址

Router(NAT)LAN(inside)WAN(outside)1源=目的=234源=目的=源=目的=源=目的=HOSTSERVER上行流下行流

內(nèi)網(wǎng)外網(wǎng)私有IP地址公用IP地址私有地址和公有地址私有地址是指內(nèi)部網(wǎng)絡(luò)(局域網(wǎng)內(nèi)部)的主機(jī)地址，而公有地址是局域網(wǎng)的外部地址(在因特網(wǎng)上的全球唯一的IP地址)。因特網(wǎng)地址分配組織規(guī)定以下的三個(gè)網(wǎng)絡(luò)地址保留用做私有地址：

-55-55-55NAT工作原理Internet內(nèi)網(wǎng)內(nèi)部本地地址網(wǎng)絡(luò)地址轉(zhuǎn)換表（簡(jiǎn)化）內(nèi)部全局地址HostBAASADDABBSACDANAT/NAPT的術(shù)語(yǔ)內(nèi)部本地地址－InsideLocalAddress

指分配給內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址，該地址可能是非法的未向相關(guān)機(jī)構(gòu)注冊(cè)的IP地址，也可能是合法的私有網(wǎng)絡(luò)地址。內(nèi)部全局地址－InsideGlobalAddress

合法的全局可路由地址，由網(wǎng)絡(luò)信息中心(NIC)或服務(wù)提供商提供的可在互聯(lián)網(wǎng)上傳輸?shù)牡刂?在外部網(wǎng)絡(luò)代表著一個(gè)或多個(gè)內(nèi)部本地地址。外部本地地址－OutsideLocalAddress

外部網(wǎng)絡(luò)的主機(jī)在內(nèi)部網(wǎng)絡(luò)中表現(xiàn)的IP地址,該地址不一定是合法的地址,也可能是內(nèi)部可路由地址。外部全局地址－OutsideGlobalAddress

外部網(wǎng)絡(luò)分配給外部主機(jī)的IP地址，該地址是合法的全局可路由地址。16

內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)Packet1源地址：00目標(biāo)地址:0Packet1源地址：目標(biāo)地址:0Packet2源地址：0目標(biāo)地址:00Packet2源地址：0目標(biāo)地址:00/240/24NAT路由器NAT/NAPT的術(shù)語(yǔ)內(nèi)部本地地址內(nèi)部全局地址PC1PC2雙向NATPC1外部網(wǎng)絡(luò)Packet1源地址：00目標(biāo)地址:Packet1源地址：目標(biāo)地址:0Packet2源地址：目標(biāo)地址:00Packet2源地址：0目標(biāo)地址:00/240/24NAT路由器內(nèi)部全局地址外部全局地址內(nèi)部本地地址外部本地地址PC2１４.２靜態(tài)ＮＡＴ配置課程議題靜態(tài)NAT靜態(tài)NAT:

建立內(nèi)部本地地址和內(nèi)部全局地址的一對(duì)一的永久映射.永久的一對(duì)一IP地址映射關(guān)系需要向外部網(wǎng)絡(luò)提供信息服務(wù)的主機(jī)的IP地址必采用靜態(tài)NAT.NAT轉(zhuǎn)換的過(guò)程可以是動(dòng)態(tài)或靜態(tài)NAT配置靜態(tài)NAT1.定義內(nèi)部源地址與全局地址的靜態(tài)轉(zhuǎn)換關(guān)系

Router(config)#ipnatinsidesourcestaticlocal-addressglobal-address說(shuō)明：local-address:內(nèi)部私有地址;global-address:內(nèi)部全局地址2.定義連接內(nèi)部網(wǎng)絡(luò)的接口Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside3.定義連接外部網(wǎng)絡(luò)的接口Router(config)#interfaceinterface-typeinterface-number

Router(config-if)#ipnatoutside工作任務(wù)1：靜態(tài)NAT配置背景描述：你是某公司的網(wǎng)絡(luò)管理員，內(nèi)部網(wǎng)絡(luò)有FTP服務(wù)器可以為外部用戶提供服務(wù)，服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。NAT/24R1R2F0/0F0/1F0/0/24/24內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)問(wèn)題：如果要外網(wǎng)的主機(jī)訪問(wèn)到內(nèi)網(wǎng)，路由器還需要配置什么？/24/24/24F0/1PC1/24工作要求①根據(jù)實(shí)際情況設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)②根據(jù)客戶需求制定配置方案和步驟，并以此為依據(jù)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配置和調(diào)試。③將配置方案及主要命令記錄在工作過(guò)程記錄單上。④每一配置步驟都要求進(jìn)行相應(yīng)的驗(yàn)證以保證當(dāng)前配置的可靠性，尤其驗(yàn)證NAT地址的轉(zhuǎn)換。⑤討論：如果要外網(wǎng)的主機(jī)訪問(wèn)到內(nèi)網(wǎng)，路由器還需要配置什么？配置步驟定義NAT轉(zhuǎn)換關(guān)系指定內(nèi)部網(wǎng)絡(luò)接口指定外部網(wǎng)絡(luò)接口配置默認(rèn)路由配置回程路由測(cè)試NAT轉(zhuǎn)換結(jié)果NAT的監(jiān)視和維護(hù)命令顯示命令showipnatstatistics

：顯示轉(zhuǎn)換的統(tǒng)計(jì)信息showipnattranslations：顯示激活的轉(zhuǎn)換清除狀態(tài)命令clearipnattranslation*

：從NAT轉(zhuǎn)換表中清除所有的動(dòng)態(tài)地址轉(zhuǎn)換條目總結(jié)：項(xiàng)目完成注意事項(xiàng)不要把inside和outside應(yīng)用的接口弄錯(cuò)。要加上能使數(shù)據(jù)包向外轉(zhuǎn)發(fā)的路由，比如默認(rèn)路由。１４.３動(dòng)態(tài)ＮＡＴ配置課程議題配置步驟定義NAT轉(zhuǎn)換關(guān)系指定內(nèi)部網(wǎng)絡(luò)接口指定外部網(wǎng)絡(luò)接口配置默認(rèn)路由案例分析某公司有員工60人，其中，市場(chǎng)部10人，產(chǎn)品銷售部20人，技術(shù)部20人，其他部門10人。一些員工因工作需要經(jīng)常出差，平均每天在公司辦公人員30人。公司網(wǎng)絡(luò)使用/24地址組網(wǎng)，為了訪問(wèn)Intenet，申請(qǐng)了30個(gè)公有IP地址，請(qǐng)你合理配置公司網(wǎng)絡(luò)，確保公司計(jì)算機(jī)能夠訪問(wèn)Internet。相關(guān)知識(shí)

動(dòng)態(tài)NAT簡(jiǎn)介動(dòng)態(tài)NAT在路由器中建立一個(gè)地址池，放置可用的內(nèi)部全局地址。當(dāng)有內(nèi)部本地地址需要轉(zhuǎn)換時(shí)，查詢地址池，取出內(nèi)部全局地址，實(shí)現(xiàn)地址轉(zhuǎn)換。當(dāng)使用完畢后，這個(gè)內(nèi)部全局地址返回地址池，供其他用戶使用。

動(dòng)態(tài)NAT動(dòng)態(tài)NAT:建立內(nèi)部本地地址和內(nèi)部全局地址池的臨時(shí)映射.臨時(shí)的一對(duì)一IP地址映射關(guān)系適用于只訪問(wèn)外網(wǎng)服務(wù)，不提供信息服務(wù)的主機(jī)內(nèi)部主機(jī)數(shù)可以大于全局IP地址數(shù)動(dòng)態(tài)NAT工作過(guò)程動(dòng)態(tài)NAT轉(zhuǎn)換（訪問(wèn)過(guò)程）動(dòng)態(tài)NAT轉(zhuǎn)換（響應(yīng)過(guò)程）動(dòng)態(tài)NAT工作過(guò)程配置動(dòng)態(tài)NAT（1）定義一個(gè)可以根據(jù)需要進(jìn)行分配的全局IP地址池1.Router(config)#ipnatpoolpool-namestart-addressend-address{netmask

mask}說(shuō)明：

address-pool：地址池的名稱（可任意設(shè)定）

start-address：在地址池中定義地址范圍的起始IP地址

end-address：在地址池中定義地址范圍的結(jié)束IP地址

netmaskmask：定義網(wǎng)絡(luò)掩碼

例：定義一個(gè)NAT地址池。Router(config)#ipnatpoolmynatpool00netmask配置動(dòng)態(tài)NAT（2）定義一個(gè)標(biāo)準(zhǔn)訪問(wèn)列表，只有匹配該列表的地址才可以進(jìn)行動(dòng)態(tài)地址轉(zhuǎn)換Router(config)#access-list<1-99>

permitIP地址反掩碼定義內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換關(guān)系：將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進(jìn)行地址轉(zhuǎn)換Router(config)#ipnatinsidesourcelist標(biāo)準(zhǔn)ACL號(hào)pool地址池的名稱例如：將訪問(wèn)控制列表用于NAT地址池。Router(config)#access-list20permit55Router(config)#ipnatinsidesourcelist20

pool

mynatpool配置動(dòng)態(tài)NAT（3）定義該接口連接內(nèi)部網(wǎng)絡(luò)Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside定義接口連接外部網(wǎng)絡(luò)Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatoutside例如：Router(config)#interfaces0/1/0Router(config-if)#ipnatoutsideRouter(config)#interfacef0/0Router(config-if)#ipnatinside工作任務(wù)1：動(dòng)態(tài)NAT配置背景描述：某公司局域網(wǎng)使用私有地址/24網(wǎng)段，通過(guò)路由器與Internet連接。公司申請(qǐng)公有地址為－0，在路由器上進(jìn)行動(dòng)態(tài)NAT轉(zhuǎn)換，實(shí)現(xiàn)局域網(wǎng)主機(jī)訪問(wèn)Internet.NAT/24R1R2F0/0F0/1F0/0/24/24內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)問(wèn)題：如果要外網(wǎng)的主機(jī)訪問(wèn)到內(nèi)網(wǎng)，外部路由器還需要配置什么？/24/24F0/1/24/24工作要求①根據(jù)實(shí)際情況設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)②根據(jù)客戶需求制定配置方案和步驟，并以此為依據(jù)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配置和調(diào)試。③將配置方案及主要命令記錄在工作過(guò)程記錄單上。④每一配置步驟都要求進(jìn)行相應(yīng)的驗(yàn)證以保證當(dāng)前配置的可靠性，尤其驗(yàn)證NAT地址的轉(zhuǎn)換。⑤討論：如果要外網(wǎng)的主機(jī)訪問(wèn)到內(nèi)網(wǎng)，路由器還需要配置什么？配置步驟定義地址池定義ACL關(guān)聯(lián)POOL與ACL定義內(nèi)部端口定義外部端口配置默認(rèn)路由配置回程路由測(cè)試NAT轉(zhuǎn)換結(jié)果總結(jié)：項(xiàng)目完成注意事項(xiàng)除了與靜態(tài)NAT配置相同的注意事項(xiàng)外，大家在配置ACL時(shí)，要注意網(wǎng)絡(luò)通配符是反掩碼１４.４NAPT的配置課程議題配置步驟定義地址池定義ACL關(guān)聯(lián)POOL與ACL定義內(nèi)部端口定義外部端口配置默認(rèn)路由NAT與NAPT的區(qū)別是什么NAT（NetworkAddressTranslation）：轉(zhuǎn)換后，一個(gè)內(nèi)部本地IP地址對(duì)應(yīng)一個(gè)全局IP地址。不能同時(shí)滿足所有的內(nèi)部網(wǎng)絡(luò)主機(jī)與外部網(wǎng)絡(luò)通信的需要。NAPT（NetworkAddressPortTranslation或NPAT）：轉(zhuǎn)換后，多個(gè)內(nèi)部本地地址對(duì)應(yīng)一個(gè)全局IP地址。NAPTNAPT只需要一個(gè)內(nèi)部全局地址就可以映射多個(gè)內(nèi)部本地地址，通過(guò)端口號(hào)來(lái)區(qū)分不同主機(jī)。

NAPT分為靜態(tài)NAPT及動(dòng)態(tài)NAPT。常見(jiàn)的端口號(hào)FTP TCP 20，21Telnet TCP 23HTTP TCP 80DNS TCP,UDP53TFTP UDP 69Well-known端口：0-1023注冊(cè)端口：1024-49151動(dòng)態(tài)或私有端口：49152-65535主機(jī)A102823…源端口目的端口主機(jī)B應(yīng)用客戶端使用的源端口號(hào)一般為系統(tǒng)中未使用的且大于1023目的端口號(hào)為所進(jìn)行的操作。如telnet為23。源/目的端口號(hào)102823SP.DP.102Seq.302Ack.102823DP.101Seq.301Ack.102823SP.DP.102Seq.301Ack.102823SP.DP.103Seq.302Ack.SP.TCP的工作過(guò)程hostAhostB靜態(tài)與動(dòng)態(tài)NAPT靜態(tài)NAPT適用于需要向外網(wǎng)絡(luò)提供信息服務(wù)的主機(jī)永久的一對(duì)一“IP地址+端口”映射關(guān)系動(dòng)態(tài)NAPT只訪問(wèn)外網(wǎng)服務(wù)，不提供信息服務(wù)的主機(jī)臨時(shí)的一對(duì)一“IP地址＋端口”映射關(guān)系靜態(tài)NAPT工作過(guò)程內(nèi)網(wǎng)中有一臺(tái)Web服務(wù)器和一臺(tái)FTP服務(wù)器，使用靜態(tài)NAPT可以將兩臺(tái)服務(wù)器都映射到一個(gè)公有地址（）上，并使用不同的端口號(hào)進(jìn)行區(qū)分。靜態(tài)NAPT工作過(guò)程靜態(tài)NAPT配置（1）定義靜態(tài)轉(zhuǎn)換關(guān)系

Router(config)#ipnatinsidesourcestaticprotocollocal-ip

local-port

global-ipglobal-port

其中：protocol為TCP或UDP；local-ip為本地地址；global-ip為全局地址；local-port為本地地址的服務(wù)端口號(hào)；global-port為全局地址的服務(wù)端口號(hào)。（2）定義端口類型

Router(config-if)#ipnat{inside|outside}其中：inside表示連接內(nèi)部網(wǎng)絡(luò)端口；outside表示連接外部網(wǎng)絡(luò)端口。

靜態(tài)NAPT配置顯示NAPT配置顯示轉(zhuǎn)換記錄Router#showipnattranslations工作任務(wù)－靜態(tài)NAPT配置案例背景：公司W(wǎng)eb服務(wù)器主機(jī)地址為，需要將網(wǎng)站私有地址映射成全局合法地址，以便網(wǎng)站對(duì)外發(fā)布，使外網(wǎng)用戶可以訪問(wèn)。NATR1R2F0/0F0/1S0/24/24/24Internet靜態(tài)NAPT配置Router(config)#ipnatinsidesourcestatictcp80Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddressRouter(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfaceFastEthernet0/1Router(config-if)#ipaddressRouter(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#iproutef0/1Router#showipnattranslations動(dòng)態(tài)NAPT工作過(guò)程動(dòng)態(tài)NAPT轉(zhuǎn)換（訪問(wèn)過(guò)程）

動(dòng)態(tài)NAPT工作過(guò)程動(dòng)態(tài)NAPT轉(zhuǎn)換（響應(yīng)過(guò)程）

案例引導(dǎo)背景描述：你是某公司的網(wǎng)絡(luò)管理員，公司只向ISP申請(qǐng)了一個(gè)合法的IP地址。假設(shè)你是該公司的網(wǎng)絡(luò)管理員，現(xiàn)要你在路由器上做適當(dāng)配置，使內(nèi)網(wǎng)的計(jì)算機(jī)都能訪問(wèn)互聯(lián)網(wǎng)。NATR1R2F0S0S0/24/24NAPT案例

例如：50個(gè)內(nèi)部節(jié)點(diǎn)可以用同一個(gè)全球地址5來(lái)瀏覽同一個(gè)網(wǎng)站（比如服務(wù)器63的80端口），但是每個(gè)節(jié)點(diǎn)都使用不同的源端口號(hào)。當(dāng)Web服務(wù)器應(yīng)答5時(shí)，NAT設(shè)備用應(yīng)答數(shù)據(jù)包中的目的端口來(lái)決定它們是去往哪個(gè)內(nèi)部用戶，并將該內(nèi)部主機(jī)的IP地址放到包頭中。

協(xié)議內(nèi)部本地IP地址：端口內(nèi)部全局IP地址：端口外部全局IP地址：端口TCPTCPTCP1:13272:11265:12705:13275:11265:127063:8063:802:80NAPT轉(zhuǎn)換過(guò)程配置動(dòng)態(tài)NAPT1.定義全局IP地址池，對(duì)于NAPT，一般就定義一個(gè)IP地址

Router(config)#ipnatpoolpool－namestart-addressend-address{netmask

mask|prefix-length

prefix-length}2.定義編號(hào)標(biāo)準(zhǔn)訪問(wèn)列表，只有匹配該列表的地址才轉(zhuǎn)換Routert(config)#access-listaccess-list-numberpermit

ip-addresswildcard

3.

定義內(nèi)部源地址動(dòng)態(tài)轉(zhuǎn)換關(guān)系Router(config)#ipnatinsidesourcelist

access-list-number

pool

pool-nameoverload4.定義該接口連接內(nèi)部網(wǎng)絡(luò)Router(config)#interfaceinterface-typeinterface-number

Routert(config-if)#ipnatinside5.定義接口連接外部網(wǎng)絡(luò)Routert(config)#interfaceinterface-typeinterface-number

Routert(config-if)#ipnatoutside工作任務(wù)：動(dòng)態(tài)NAPT的配置背景描述：某公司局域網(wǎng)使用私有地址為/24網(wǎng)段，通過(guò)路由器和Internet連接。公司申請(qǐng)公有地址為~，在路由器上進(jìn)行動(dòng)態(tài)NAPT轉(zhuǎn)換，實(shí)現(xiàn)局域網(wǎng)主機(jī)訪問(wèn)Internet.NATR1F0/0F0/1F0/0/24/24F0/10/24/24/24工作要求①根據(jù)實(shí)際情況設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)②根據(jù)客戶需求制定配置方案和步驟，并以此為依據(jù)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行配置和調(diào)試。③將配置方案及主要命令記錄在工作過(guò)程記錄單上。④每一配置步驟都要求進(jìn)行相應(yīng)的驗(yàn)證以保證當(dāng)前配置的可靠性，尤其驗(yàn)證NAT地址的轉(zhuǎn)換。⑤討論：如果要外網(wǎng)的主機(jī)訪問(wèn)到內(nèi)網(wǎng)，路由器還需要配置什么？配置步驟定義地址池定義ACL關(guān)聯(lián)POOL與ACL定義內(nèi)部端口定義外部端口配置默認(rèn)路由配置回程路由測(cè)試NAT轉(zhuǎn)換結(jié)果動(dòng)態(tài)NAPT配置Router(config)#ipnatpoolto_internetnetmaskRouter(config)#access-list10permit