SAT和基于端口号NAPT（Cisco/eNSP）仿真实验

一、Cisco

 整体设计参数如上，参数配置比较简单就不写了。

只需要将基本参数配置好，保证相邻IP设备可以ping通。

实验结果：

1、外网主机可以访问内网服务器

2、内网主机可以访问外网主机进行通信

3、外网主机无法访问内网主机进行通信

配置SAT

Router 0是内网的边界路由，内网与外网通信都要经过Router 0，因此所有配置配置在Router 0上。

//server 0与外网建立映射关系：
//指定内部接口和外部接口
int fa0/0
ip nat inside
int fa0/1
ip nat inside
int fa1/0
ip nat outside
exit    //从接口模式退到全局模式
ip nat inside source static 192.168.20.20 1.1.1.3
ip route 0.0.0.0 0.0.0.0 1.1.1.2    //默认路由


//关键命令
ip nat inside source static 私有ip 共有ip

这样配置后就将1.1.1.3映射给服务器，外网访问服务器都通过1.1.1.3访问。

注意：外网使用192.168.20.20是无法访问的，因为外网无法识别私有IP地址。（若可以识别就不用配置SAT了，也不具备安全性了）

配置基于端口号的NAPT

在边界路由Router 0上配置

//私有地址与公有地址建立映射关系：
//因为前面配置SAT的时候已经指定了内部接口和外部接口，所有可以不用指定。
//若是单独的实验则需要指定
//建立私有IP段
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 1 permit 192.168.30.0 0.0.0.255
//私有地址段全属于access-list 1
//公有IP段  因为1.1.1.3映射给服务器了所有不能使用
ip nat pool pool01 1.1.1.4 1.1.1.14 netmask 255.255.255.240
//私有IP段与公有IP段建立映射
ip nat inside source list 1 pool pool01 overload
//因为前面配置SAT的时候已经配置默认网关了，所有可以不用再配置默认路由。
//若是单独的实验则需要配置


//关键命令
access-list n permit 私有地址子网 反掩码   //n：1~99
ip nat pool name 公有地址开始的IP地址  公有地址最后的IP地址 netmask 子网掩码
//name为公有地址的名字
ip nat inside source list n pool name overload  
//将对应的私有地址段和公有地址段对应

实验结果

1、外网主机可以访问内网服务器

外网主机可以通过SAT建立的公有IP地址访问，无法通过私有IP地址访问。因为网络只能识别共有IP地址，无法识别私有IP地址

2、内网主机可以访问外网主机进行通信

内网主机可以访问外网主机。因为配置NAPT后，私有地址与公有地址池建立映射关系，然后私有地址可以在共有地址池中选择一个公有IP访问外网

3、外网主机无法访问内网主机进行通信

外网主机主动访问内网私有IP地址主机无法通信。NAPT是内网的私有地址转换为外网地址公有IP地址，且是动态多对多，外网无法使用NAPT的地址映射关系

二、eNSP

实验结果：

1、外网主机可以访问内网服务器

2、内网主机可以访问外网主机进行通信

3、外网主机无法访问内网主机进行通信

配置SAT

在边界路由AR1上配置，因为内网与外网通信都需要经过AR1的g0/0/2接口，所有在g0/0/02接口配置命令

//华为不用指定内部接口还是外部接口，所以需要再接口视图下配置
//注意一定要在接口视图下，若实验失败请检查一下是否在接口视图下配置的
int g0/0/2  
nat static global 1.1.1.3 inside 192.168.20.20
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2  //默认路由

//关键命令
nat static global 公有地址 inside 私有地址

配置基于端口号的NAPT 

//建立私有地址
acl number 2000
rule 1 permit source 192.168.10.0 0.0.0.255
rule 2 permit source 172.16.10.8 0.0.0.3
rule 3 permit source 172.17.20.20 0.0.0.3
//代表rule 1 2 3 都属于acl 2000这个私有地址池
//建立公有地址池
nat address-group 1 1.1.1.4 1.1.1.254
int g0/0/2   //一定要进入接口视图
//私有地址池和共有地址池进行映射
nat outbound 2000 address-group 1


//关键命令
acl number n1  //n1:2000-2999
rule m1 permit source 私有地址子网 反掩码  //m1正整数
rule m2 permit source 私有地址子网 反掩码
nat address-group n2 公有地址开始IP 公有地址最后IP  //n2:0-7
nat outbound n1 address-group n2

 实验结果：

1、外网主机可以访问内网服务器

2、内网主机可以访问外网主机进行通信

3、外网主机无法访问内网主机进行通信

三、总结

如果使用动态路由和静态路由也能使主机之间通信，但是不安全（外网无法访问内网）

同时IP地址非常紧张，这样可以缓解IP地址紧张

私有地址：

A类：10.0.0.0~10.255.255.255

B类：172.16.0.0~172.31.255.255

C类：192.168.0.0~192.168.255.255

除此之外其他的全是公有地址