20.网络地址转换（NAT）

网络地址转换（NAT）

说明：在实验前请安装Cisco Packet Tracer 7.0（不是必须使用该版本）
rip是内网使用的协议，外部不能采用rip协议
给R0、R1、R2配置RIP协议

给R2外部网络配置静态路由：
R2#ip route 0.0.0.0 0.0.0.0 13.1.1.2
保证内网能使用外网(R3)上网

一、NAT的作用

1.节约IP地址
2.宽带共享（所有的都转换成一个接口上网）
3.安全防护（外部的因特网只知道它的转换接口地址）
IPV4地址总数40多亿个，为避免IPv4地址耗尽，使用了NAT技术。
IPv4地址分为公有地址和私有地址
公有地址：全球唯一
私有地址：同一局域网内唯一
A类：10.0.0.0–10.255.255.255（大公司采用）
B类：172.16.0.0–172.31.255.255（一般采用这种）
C类：192.168.0.0–192.168.255.255
私有地址是不能在公网上路由的，要上网就必须将私有地址转换成公有地址。
私有地址通过转换过后是通过公有地址与外网用户通信，很好的保护了内网的安全。

二、NAT的分类

1.静态NAT：1对1转换，常用于发布企业内部服务器
2.动态NAT：多对多转换，内部网络可以通过多个公网地址上网
3.PAT（复载）：多对一，内部网络通过一个公网地址上网（只有一个公网地址，而且内部要上网）

三、NAT的配置

案例1：A公司内部员工需要通过12.1.1.1这个公网地址上网
使用PAT技术
配置步骤：
1、做ACL，指定需要进行转换的地址范围
2、使用ip nat命令将内部地址转换到12.1.1.1
3、指定inside（内部全局地址）端口
4、指定outside（外部全局地址）端口
5、进行NAT测试

Router>用户模式
Router>en
Router# 特权模式
Router#config t
Router(config)# 全局模式
第一步：设置ACL允许转换的内网地址
Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 10 permit 192.168.3.0 0.0.0.255
第二步：将内部网络地址转换成公网地址
Router(config)#ip nat inside source list 10 interface f1/0
第三步：指定inside端口
Router(config)#int f0/1 进入f0/1端口
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#int f0/0
Router(config-if)#ip nat inside
第四步：批定outside端口
Router(config-if)#exit
Router(config)#int f1/0
Router(config-if)#ip nat outside
第五步：进行NAT测试
1：查看内网用户是否可以上网
2：查看NAT的转换
Router(config-if)#end 退出到特权模式
Router#debug ip nat 开启NAT状态跟踪

B公司上网的配置：
Router>en
Router#config t
Router(config)#access-list 10 permit 192.168.2.0 0.0.0.255
Router(config)#ip nat inside source list 10 interface f0/0
Router(config)#int f0/1
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#int f0/0
Router(config-if)#ip nat outside
Router(config-if)#end
Router#debug ip nat

查看路由器配置：
Router#show running-config
如果命令输入有误，可以进行输入命令的对应模式，
然后在命令前加上no就可以删除错误的命令。

案例2：B公司发布WEB服务器
使用静态NAT技术
Router(config)#ip nat inside source static 192.168.2.2 23.1.1.2
我们只想发布WEB服务器，不允许外网用户访问其他服务
Router(config)#ip nat inside source（内部源地址） static tcp 192.168.2.2（内部地址） 80 23.1.1.2 80
Router(config)#ip nat inside source static udp 192.168.2.2 53 23.1.1.2 53
1.发布内网服务的配置
R2(config)#ip nat inside source（内部源地址） static 192.168.100.1（内部地址） 13.1.1.1要转换的全局地址（最终是以13.1.1.1的全局地址去上网）
R2#int f1/1
#ip nat outside（指定outside接口）
#int f0/1
#ip nat inside（指定inside接口）
此时内部的服务器能ping PC3，而PC3不能ping通服务器（nat转换做了一个保护）
此时PC3能访问服务器的协议(ftp、www)
此时将服务器的所有端口都对应转换到了13.1.1.1所对应的端口
如果只想对外发布Web服务（其他端口关闭），如何配置？
R2(config)#no ip nat inside source static 192.168.100.1 13.1.1.1 关闭这条配置，再重新配置
R2(config)#ip nat inside source static tcp 192.168.100.1 80 13.1.1.1 80（只转换80端口）
此时PC3可以访问服务器网址192.168.100.1，服务器不能访问DNS
R2(config)#ip nat inside source static udp 192.168.100.1 53 13.1.1.1 53（转换53端口）设置允许访问DNS

2.PAT（多对一）
R2(config)#access-list 10 permit 192.168.10.0 0.0.0.255
R2(config)#access-list 10 permit 192.168.20.0 0.0.0.255
R2(config)#access-list 10 permit 192.168.30.0 0.0.0.255
设置inside
R2#int f0/0
ip nat inside
R2#int f1/0
ip nat inside
此时Pc2机能上网
R2(config)#ip nat inside source list 10 interface f1/1 overload（扩展）
R2#router rip
#default-information originate

Router#debug ip nat 开启NAT状态跟踪

案例3：Ａ公司申请了多个公网地址，想使用动态NAT让内部员工上网
12.1.1.10 12.1.1.20
删除多对一转换的配置：
Router#config t
Router(config)#no ip nat inside source list 10 interface FastEthernet0/1 overload
设置公网地址池：
Router(config)#ip nat pool zlt 12.1.1.10 12.1.1.20 netmask 255.255.255.0
设置多对多转换：
Router(config)#ip nat inside source list 10 pool zlt overload

3.动态NAT的配置：
R2(config)#ip nat pool NAT 13.1.1.1 13.1.1.10 netmask 255.255.255.0
R2(config)#access-list 10 permit 192.168.10.0 0.0.0.255
R2(config)#access-list 10 permit 192.168.20.0 0.0.0.255
R2(config)#access-list 10 permit 192.168.30.0 0.0.0.255
R2(config)#ip nat inside source list 10 pool NAT overload
R2#int f0/0
ip nat inside
R2#int f1/0
ip nat inside

R3#int f0/0
ip add 13.1.1.100 255.255.255.0（转换的地址范围不能包含该地址）
此时PC机都能ping 通100.1.1.1