目录
一、NAT概述
1.1概述
NAT(网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。这种方法需要在专用网(私网IP)连接到因特网(公网IP)的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址(公网IP地址)。这样,所有使用本地地址(私网IP地址)的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。
1.2 作用及范围
NAT作用:将内部(私有)地址转换成外部(公有)地址,NAT不仅能解决IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机,1.宽带分享。2.安全防护。
NAT转换内网地址范围 | |
10.0.0.0 | 10.255.255.255 |
172.16.0.0 | 172.31.255.255 |
192.168.0.0 | 192.168.255.25 |
随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。事实上,除了中国教育和科研计算机网(CERNET)外,一般用户几乎申请不到整段的C类IP地址。在其他ISP那里,即使是拥有几百台计算机的大型局域网用户,当他们申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求,于是也就产生了NAT技术。虽然NAT可以借助于某些代理服务器来实现,但考虑到运算成本和网络性能,很多时候都是在路由器上来实现的
1.3 应用方向
1.没有足够的公网IP连续到Internet
2.当更换ISP需要重新编地址
3.合并两个使用重堆叠地址空间的内部网络
4.使用单个IP地址支持基本的负载分担
1.4 优点
1.节省了公网地址
2.能够处理编址方案的堆叠的情况
3.网络发生改变时不要重新编址
4.隐藏了真正的IP地址
二、模拟配置实验
2.1 静态NAT
配置所需设备:两台pc和两台路由器和一台二层交换机,其中一台路由器模拟做ISP
路由器1的配置
[R1]int g0/0/0 //进入接口g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 配置IP地址及子网掩码长度
[R1-GigabitEthernet0/0/0]undo shut//开启物理接口
[R1-GigabitEthernet0/0/0]int g0/0/1 进入接口g0/0/1
[R1-GigabitEthernet0/0/1]ip add 202.10.100.1 24 配置IP地址及子网掩码长度
[R1-GigabitEthernet0/0/1]undo shut 开启物理接口
[R1-GigabitEthernet0/0/1]nat static global 15.0.0.10 inside 192.168.1.10 netmask 255.255.255.255 添加PC1到15.0.0.10的IP映射
[R2]ip route-static 0.0.0.0 32 202.10.100.2 配置默认路由,下一跳入接口 202.10.100.2
[R1-GigabitEthernet0/0/1]display nat static 查看NAT映射情况
进入路由器模拟ISP配置
[R2]int g0/0/0 进入接口g0/0/0
[R2-GigabitEthernet0/0/0]undo shut 开启物理接口
[R2-GigabitEthernet0/0/0]ip add 202.10.100.2 24 配置IP地址及子网掩码长度
[R2]ip route-static 15.0.0.10 32 202.10.100.1 NAT指一条指向公司出口网关
此时 主机pc1上可以ping202.10.100.2可以通讯,主机pc2上可以ping202.10.100.2不可以通讯。
2.2 动态NAT
配置所需设备:两台pc和两台路由器和一台二层交换机,其中一台路由器模拟做ISP
路由器1的配置
[R1]int g0/0/0 //进入接口g0/0/0
[R1-GigabitEthernet0/0/0]undo shutdown 开启物理接口
[R1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 配置IP地址及子网掩码长度
[R1-GigabitEthernet0/0/0]int g0/0/1 进入接口
[R1-GigabitEthernet0/0/1]undo shutdown 开启物理接口
[R1-GigabitEthernet0/0/1]ip add 202.10.100.1 24 配置IP地址及子网掩码长度
[R1]nat address-group 1 15.0.0.10 15.0.0.11 配置NAT外网地址池
[R1]acl 2000 创建标准访问控制列表2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 ACL抓取内网地址段
[R1-acl-basic-2000]int g0/0/1 进入接口g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 在外网口调用acl2000
[R1]ip route-static 0.0.0.0 32 202.10.100.2 配置默认路由,下一跳入接口 202.10.100.2
[R1-GigabitEthernet0/0/1]display nat outbound 查看是否成功
ISP配置
[R2]int g0/0/0 进入接口g0/0/0
[R2-GigabitEthernet0/0/0]undo shutdown 开启物理接口
[R2-GigabitEthernet0/0/0]ip add 202.10.100.2 24 配置IP地址及子网掩码长度
[R2]ip route-static 15.0.0.10 32 202.10.100.1 NAT指一条指向公司出口网关
此时 主机pc1上可以ping202.10.100.2可以通讯,主机pc2上可以ping202.10.100.2也可以通讯。
2.3 Easpip
配置所需设备:两台pc和两台路由器和一台二层交换机,其中一台路由器模拟做ISP
[R1]int g0/0/0 进入接口g0/0/0
[R1-GigabitEthernet0/0/0]undo shut undo shut 开启物理接口
[R1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 配置IP地址及子网掩码长度
[R1-GigabitEthernet0/0/0]int g0/0/1 进入接口g0/0/1
[R1-GigabitEthernet0/0/1]undo shutdown 开启物理接口
[R1-GigabitEthernet0/0/1]ip add 202.10.100.1 24 配置IP地址及子网掩码长度
[R1]nat address-group 1 15.0.0.10 15.0.0.11 配置NAT外网地址池
[R1]acl 2000 创建标准访问控制列表2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 配置ACL抓取内网地址段
[R1-acl-basic-2000]int g0/0/1 进入接口g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 在外网口调用acl2000
[R1]ip route-static 0.0.0.0 32 202.10.10.2 配置默认路由,下一跳入接口 202.10.100.2
[R1-GigabitEthernet0/0/1]display nat outbound 查看是否成功
路由器模拟ISP设置
[R2]int g0/0/0 进入接口g0/0/0
[R2-GigabitEthernet0/0/0]undo shut 开启物理接口
[R2-GigabitEthernet0/0/0]ip add 202.10.100.2 24 配置IP地址及子网掩码长度
此时 主机pc1上可以ping202.10.100.2可以通讯,主机pc2上可以ping202.10.100.2也可以通讯。
2.4 静态PAT
配置所需设备:一台pc和两台路由器和一台二层交换机和一台sever服务器,其中一台路由器模拟做ISP
路由器配置
[R1]int g0/0/0 //进入接口g0/0/0
[R1-GigabitEthernet0/0/0]undo shut 开启物理接口
[R1-GigabitEthernet0/0/0]ip add 192.168.1.1 24 配置IP地址及子网掩码长度
[R1-GigabitEthernet0/0/0]int g0/0/1 进入接口g0/0/1
[R1-GigabitEthernet0/0/1]undo shut 开启物理接口
[R1-GigabitEthernet0/0/1]ip add 202.10.100.1 24 配置IP地址及子网掩码长度
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 15.0.0.10 21 inside 192.168.1.10 21
//在外网接口下打nat server 协议为tcp,global 自己设定公网地址 ftp21 inside 目的IP地址192.168.1.10 ftp21
[R1]ip route-static 0.0.0.0 0 202.10.100.2 配置默认路由,下一跳入接口 202.10.100.2
[R1]display nat server 查看地址映射是否成功
路由器模拟ISP上配置
[ISP]int g0/0/0 //进入接口g0/0/0
[ISP-GigabitEthernet0/0/0]undo shutdown 开启物理接口
[ISP-GigabitEthernet0/0/0]ip add 202.10.100.2 24 配置IP地址及子网掩码长度
[ISP]ip route-static 15.0.0.10 32 202.10.100.1 配置静态路由,目的网段15.0.0.10,掩码长度32,下一跳入接口202.10.100.1
[ISP]nat alg ftp enable 开启ftp服务器功能
<ISP>ftp 15.0.0.10 访问ftp服务器
[ISP-ftp]ls 列出文件夹
[ISP-ftp]get test.txt 下载文件
只要ISP上可以登录并下载就成功
三、总结
当内部网络需要与外部网络通讯时,需要配置NAT,将内部私有IP地址转换成全局IP地址。您可以配置静态或动态的NAT来实现互联互通的目的,或者需要同时配置静态和动态的NAT。