NAT:network address translation 网络地址转换
作用:将私网地址转换成公网地址,以缓解IP地址的不足
一般用在公司防火墙或者路由器上,本实验先以路由器为例
NAT实现方式有三种:
静态转换——将公司内部的私网IP地址转换成内部全局IP地址,一对一的关系,适合发布服务器(其中包含端口映射,将多台不同端口号协议的服务器同时与一个内部全局IP地址的对应端口号去转换)
动态转换——将公司内部的私网IP地址转换成公网IP地址,需要多个公网IP地址,多对多的关系,内网IP地址和公网IP地址的对应关系是不确定的,随机的,而且现在IPv4公有地址短缺,目前不在使用动态转换了
端口多路复用——也叫做PAT,将公司内部的私网地址映射到一个公网IP地址上,实现一对多的关系,即一个公网IP地址可以实现多台电脑同时连接互联网,只是使用不同的端口号,可以节省IP地址资源
NAT的相关术语
1.内部局部地址—指内部网络分配给主机的私有IP地址,NAT转换前的地址
2.内部全局地址—指从ISP那里租用的公网IP地址,这里就是指通过NAT转换后的地址,用于连接互联网
3.外部局部地址—与内部局部地址类似,是指访问的目的IP地址做NAT转换前的内部网络地址
4.外部全局地址—是外部局部地址做NAT转换后的IP地址,用在互联网上的地址
动态NAT配置命令:
1.定义内部全局IP地址池
Router(config)#ip nat pool pool-name star-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]
pool-name:放置转换后地址的地址池名称
star-ip end-ip:地址池内的起始和终止IP地址
netmasknetmask:子网掩码,第一个natmask后面加子网掩码(写法如natmask 255.255.255.0)
prefix-length prefix-length:子网掩码的另一种表示方式(写法如prefix-length 24)表示255.255.255.0
[type rotary]:(可选项),表示地址池中的地址为循环使用
2.配置ACL访问控制列表,定义内部局部IP地址哪些可以进行NAT转换
3.配置NAT地址转换
Router(config)#ip nat inside source list access-list-number poolpool-name [overload]
access-list-number:访问控制列表ACL的表号(第二步配置的ACL表号)
pool-name:要进行转换的地址池名称(第一步配置的pool地址池名称)
实验:配置动态NAT,实现网络地址转换并验证
实验步骤:
1.先按照图中要求,将各种设备对应的接口、vlan和IP地址配置好,路由器R1和三层交换上要配置静态路由,这里就不在对路由器其他配置进行讲解了,这步略过
2.配置R1上面的动态NAT
3.在路由器R1上查看nat转换表并对实验进行验证
静态NAT配置命令:
Router(config)#ip nat inside source static local-ip global-ip [extendable]
local-ip:表示内部局部IP地址
global-ip:表示要转换成的内部全局IP地址
extendable:(可选项)表示允许同一个内部局部地址可以映射到多个内部全局IP地址
端口映射配置方法:
Router(config)#ip nat inside source static protocol local-ip UDP/TCP-port global-ip UDP/TCP-port
protocol:对应的TCP或者UDP协议
UDP/TCP-port:UDP/TCP的协议端口号,如http协议端口号80 smtp协议端口号25等
举例说明:Router(config)#ip nat inside source static tcp 192.168.1.1 80 61.1.1.1 80
将192.168.1.1主机上面的http服务转换到61.1.1.1的80端口 这样如果公司内部还有一台邮件服务器,也可以同样适用61.1.1.1这个内部全局IP地址进行静态转换,只不过把端口映射为25就好
实验:按照要求完成配置,并验证
实验步骤:
1.配置各个设备的接口IP地址
2.配置静态NAT,并验证结果
实验完成
PAT的配置:
首先配置ACL访问控制列表,来规定哪些内部局部网络可以访问互联网
然后配置PAT转换,
Router(config)#ip nat inside source list access-list-number interfacefastethernet 外部接口 overload
1.配置IP地址这里就不说了
2.配置PAT,并验证转换过程
实验完成
转载于:https://blog.51cto.com/928004321/1729734