NAT:network address translation 网络地址转换

作用:将私网地址转换成公网地址,以缓解IP地址的不足

一般用在公司防火墙或者路由器上,本实验先以路由器为例


NAT实现方式有三种:

静态转换——将公司内部的私网IP地址转换成内部全局IP地址,一对一的关系,适合发布服务器(其中包含端口映射,将多台不同端口号协议的服务器同时与一个内部全局IP地址的对应端口号去转换)

动态转换——将公司内部的私网IP地址转换成公网IP地址,需要多个公网IP地址,多对多的关系,内网IP地址和公网IP地址的对应关系是不确定的,随机的,而且现在IPv4公有地址短缺,目前不在使用动态转换了

端口多路复用——也叫做PAT,将公司内部的私网地址映射到一个公网IP地址上,实现一对多的关系,即一个公网IP地址可以实现多台电脑同时连接互联网,只是使用不同的端口号,可以节省IP地址资源


NAT的相关术语

1.内部局部地址—指内部网络分配给主机的私有IP地址,NAT转换前的地址

2.内部全局地址—指从ISP那里租用的公网IP地址,这里就是指通过NAT转换后的地址,用于连接互联网

3.外部局部地址—与内部局部地址类似,是指访问的目的IP地址做NAT转换前的内部网络地址

4.外部全局地址—是外部局部地址做NAT转换后的IP地址,用在互联网上的地址


动态NAT配置命令:

1.定义内部全局IP地址池

Router(config)#ip nat pool pool-name star-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]

pool-name:放置转换后地址的地址池名称

star-ip end-ip:地址池内的起始和终止IP地址

netmasknetmask:子网掩码,第一个natmask后面加子网掩码(写法如natmask 255.255.255.0)

prefix-length prefix-length:子网掩码的另一种表示方式(写法如prefix-length 24)表示255.255.255.0

[type rotary]:(可选项),表示地址池中的地址为循环使用

2.配置ACL访问控制列表,定义内部局部IP地址哪些可以进行NAT转换

3.配置NAT地址转换

Router(config)#ip nat inside source list access-list-number poolpool-name [overload]

access-list-number:访问控制列表ACL的表号(第二步配置的ACL表号)

pool-name:要进行转换的地址池名称(第一步配置的pool地址池名称)


实验:配置动态NAT,实现网络地址转换并验证

wKiom1aSTFSwgoTJAADiU04XJMg443.jpg

实验步骤:

1.先按照图中要求,将各种设备对应的接口、vlan和IP地址配置好,路由器R1和三层交换上要配置静态路由,这里就不在对路由器其他配置进行讲解了,这步略过


2.配置R1上面的动态NAT

wKiom1aSTLegLOi0AAHv68dNgvA484.jpg


3.在路由器R1上查看nat转换表并对实验进行验证

wKiom1aSTeqjoqJsAAEf7JY0ZX0032.jpg

wKioL1aSTjOiyYinAAE9n1HOlxQ098.jpg


静态NAT配置命令:

Router(config)#ip nat inside source static local-ip global-ip [extendable]

local-ip:表示内部局部IP地址

global-ip:表示要转换成的内部全局IP地址

extendable:(可选项)表示允许同一个内部局部地址可以映射到多个内部全局IP地址

端口映射配置方法:

Router(config)#ip nat inside source static protocol local-ip UDP/TCP-port  global-ip UDP/TCP-port

protocol:对应的TCP或者UDP协议

UDP/TCP-port:UDP/TCP的协议端口号,如http协议端口号80 smtp协议端口号25等

举例说明:Router(config)#ip nat inside source static tcp 192.168.1.1 80 61.1.1.1 80

将192.168.1.1主机上面的http服务转换到61.1.1.1的80端口 这样如果公司内部还有一台邮件服务器,也可以同样适用61.1.1.1这个内部全局IP地址进行静态转换,只不过把端口映射为25就好


实验:按照要求完成配置,并验证

wKioL1aSTobAawNQAACvhf7L8uQ669.jpg

实验步骤:

1.配置各个设备的接口IP地址


2.配置静态NAT,并验证结果

wKiom1aSTn3RCiXmAAHGyQgeC2A065.jpg

wKioL1aSTqzwPx_GAAED0DemW_g258.jpg


实验完成

PAT的配置:

首先配置ACL访问控制列表,来规定哪些内部局部网络可以访问互联网

然后配置PAT转换,

Router(config)#ip nat inside source list access-list-number interfacefastethernet 外部接口 overload


实验要求:如图所示
wKiom1aSTraRCGA3AADH9M361Hs608.jpg
实验步骤:

1.配置IP地址这里就不说了


2.配置PAT,并验证转换过程

wKiom1aSTtiRZvzwAAHSUVnCUKc315.jpg

wKioL1aSTwazDYZNAAKVoAHx7eo909.jpg


实验完成