目录
前言
●随着Internet的发展和网络应用的增多,IPv4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足的问题,但目前众多的网络设备和网络应用仍是基于IPv4的,因此在IPv6广泛应用之前,一些过渡技术的使用是解决这个问题的主要技术手段。
●网络地址转换技术NAT (Network Address Translation)主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地址,并且多个私网用户可以共用一个公网地址,这样既可保证网络互通,又节省了公网地址。
一、NAT概述
1.1 NAT工作原理
为了实现私网地址和公网地址通信,NAT工作原理如下
●NAT路由器将私网地址转化成公网地址,出去和其他公网地址通信。
●NAT路由器将公网地址转换回私网地址,回到私网地址主机。
1.2 NAT应用场景
●企业或者家庭所使用的网络为私有网络,实验的是私有地址;运营商维护的网络为公共网络,使用的是公有地址。私有地址不能再公网中路由。
●NAT一般部署在连接内网和外网的网关设备上。
1.3 NAT分类
1.3.1 静态NAT
●静态NAT实现了私有地址和公有地址的一对一映射。
●一个公网IP只会分配给唯一且固定的内网主机。
1.3.2 动态NAT
●动态NAT基于地址池来实现私有地址和公有地址的转换。
1.3.3 NAPT
●网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。
1.3.4 Easy IP
●Easy IP允许多个内部地址映射到网关出接口地址上的不同端口。
1.3.5 NAT服务器
●通过配置NAT服务器,可以使外网用户访问内网服务器。
1.4 NAT特性
1.4.1 优点
●节省公有合法IP地址
●处理地址重叠
●增强灵活性
●安全性
1.4.2 缺点
●延迟增大
●配置和维护的复杂性
●不支持某些应用,可以通过静态NAT映射来避免
二、NAT配置实验
2.1 实验环境
●ensp、VMware虚拟机 Win 7
实验拓扑图如下:
2.2 实验目的
●通过配置NAT路由器,实现私网地址与外网地址的联通。
2.3 实验过程
2.3.1 配置SW1
先树立旗帜,创建vlan 10 20 30 40
将6个接口全都配成access口(特备注意,这里g0/0/5不是trunk口)
SW1是三层交换机,需要配置虚拟接口
配置默认路由(向上指默认)
2.3.2 配置AR1:
(地址-路由-各个关系:静态映射、动态映射、easyip-进入接口映射)
先把两个接口的IP地址配好
然后配路由,有一个默认路由和四个静态路由
配置静态NAT:一个私网IP地址对应一个公网IP地址(有2种配置方法)
第一种:全局模式下 nat static enble 功能
int g0/0/1
Nat static enable
第二种:直接在接口上声明nat static
Int g0/0/1
Nat static global 8.8.8.8 inside 192.168.10.10
动态NAT:多个私网IP地址对应多个公网IP地址
nat address-group 1 212.0.0.100 212.0.0.200 (新建为1的nat地址池)
acl 2000 (acl编号)
rule permit source 192.168.20.0 0.0.0.255
rule permit source 11.0.0.0 0.0.0.255
int g0/0/1 (外网口)
nat outbound 2000 address-group 1 no-pat (声明一下)
EasyIP:多个私网IP地址对应外网口公网IP地址(12.0.0.1)
acl 3000(acl编号)
rule permit ip source 192.168.30.0 0.0.0.255
int g0/0/1(外网口)
nat outbound 3000 (声明一下)
映射出去:
Int g0/0/1
nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www (在出接口上将私网服务器地址和公网地址做一对NAT映射绑定)
2.3.3 配置AR2:
先将两个物理接口和一个环回地址配置好
配置静态路由:8.8.8.8 212.0.0.100 9.9.9.9 (easyip的回程路由不要配,因为是直连路由)
2.3.4 配置云终端
添加cloud1,按照下列步骤设置好,连接到R1
2.4 实验验证
将PC1、PC2、PC3、PC4四个主机的IP地址,子网掩码,网关配置好,
用PC1 ping114.114.114.114,可以ping通
然后我们一直ping,用display nat session all ,来查看NAT的流表信息
下面用PC2 ping114.114.114.114,可以ping通
再深入研究下,再AR1的g0/0/0口抓包:
都是成对出现
PC3可以ping通114.114.114.114
PC4可以ping通114.114.114.114
2.5 外网绑定内网
找一个VM虚拟机中的win7,设置为VM2网卡,进入win7,配置本地连接网络的IP地址,子网掩码,网关。
下面,打开cmd命令,ping 13.0.0.1,可以ping通
配置server1
然后,打开浏览器,输入9.9.9.9回车,就可以连通了
实验完成。
三、实验总结
●设置完NAT,需要做返程路由
●查看nat表信息命令:
display nat session all
3.1 静态NAT
●一个私网IP地址对应一个公网IP地址,有2中配置方法(单对单)。
●第一种:全局模式下
nat static global 8.8.8.8 inside 192.168.10.10
在接口上启动nat static enable 功能
int g0/0/1
nat static enable
●第二种:直接在接口上声明nat static
int g0/0/1
nat static global 8.8.8.8 inside 192.168.10.10
3.2 动态NAT
●多个私网IP地址对应多个公网IP地址(多对多)。
nat address-group 1 212.0.0.100 212.0.0.200 '//新建为1的nat地址池 ,用于地址准换的地址池中的地址从212.0.0.100到212.0.0.200'
acl 2000 '//acl编号(acl:访问控制列表)'
rule permit source 192.168.20.0 0.0.0.255 '//设置规则,匹配源地址属于192.168.20.0/24网段的数据'
rule permit source 11.0.0.0 0.0.0.255
int g0/0/1 '//进入接口'
nat outbound 2000 address-group 1 no-pat '//配置地址池转换,将地址池1与acl 2000关联,并在接口除方向上应用NAT'
3.3 EasyIP
●多个私网IP地址对应外网口公网IP地址(12.0.0.1)(多对一)。
acl 3000 '//acl编号'
rule permit ip source 192.168.30.0 0.0.0.255 '//允许源地址为192.168.30.0~192.168.30.244的数据包通过'
int g0/0/1
nat outbound 3000 '//对访问控制列表3000上的进行地址转换,并转发出去'
3.4 端口映射
[R1]int g0/0/0
nat server protocol tcp global current-interface www inside 192.168.50.10 www '//在出接口上将私网服务器地址和公网地址做一对NAT映射绑定'