NAT（Network Address Translation，网络地址转换）简介及实验

2023-09-02 01:00:16

一、什么是NAT

1、NAT简介

NAT（Network Address Translation，网络地址转换）是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。

这种方法需要在专用网（私网IP）连接到因特网（公网IP）的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址（公网IP地址）。这样，所有使用本地地址（私网IP地址）的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特网连接。

另外，这种通过使用少量的全球IP地址（公网IP地址）代表较多的私有IP地址的方式，将有助于减缓可用的IP地址空间的枯竭。再RFC 2663中有对NAT的说明。

2、NAT作用

将内部（私有）地址转换成外部（共有）地址

3、NAT内网地址的范围

A:10.0.0.0-10.255.255.255

B:172.16.0.0-172.31.255.255

C:192.168.0.0-192.168.255.255

4、主要应用方向:

1.没有足够的公网P连接到Internet

2.当更换ISP需要重新编址

3.合并两个使用重叠地址空间的内部网络

4.使用单个IP地址支持基本的负载分担

5、NAT的优点：

1.节省了公网IP地址

2.能够处理编址方案重叠的情况

3.网络发生改变时不需要重新编址

4.隐藏了真正的IP地址

二、NAT的几种类型

类型特指

静态NAT 一个内网地址对一个公网地址

动态NAT——PAT 多个内网地址对多个公网地址

easyip 多个内网地址对一个接口

静态PAT 一对一，但是外网映射内网的服务

三、NAT类型的对应实验

出口路由器上需要配置默认路由

iproute0.0.0.0 0.0.0.0指向运营商对接的路由器IP

1、静态NAT

代码

R1：

[001]int g0/0/0//进入接口

[001-GigabitEthernet0/0/0]ip add 192.168.1.1 24//配置ip和子网掩码长度

[001-GigabitEthernet0/0/0]un shu//开启接口

[001-GigabitEthernet0/0/0]int g0/0/1//进入接口

[001-GigabitEthernet0/0/1]ip add 202.10.100.1 24//配置ip和子网掩码长度

[001-GigabitEthernet0/0/1]un shu//开启接口

[001-GigabitEthernet0/0/1]q

[001]ip route-static 0.0.0.0 0 202.10.100.2//配置默认路由，下一跳入接口 202.10.100.2

[001]int g0/0/1 //进入接口

[001-GigabitEthernet0/0/1]nat static global 15.0.0.10 inside 192.168.1.10 netmask 255.255.255.255 //添加PC1到15.0.0.10的IP映射

ISP服务商：

[ISP]int g0/0/0//进入接口

[ISP-GigabitEthernet0/0/0]ip add 202.10.100.2 24//配置ip和子网掩码长度

[ISP-GigabitEthernet0/0/0]un shu//开启接口

[ISP-GigabitEthernet0/0/0]q

[ISP]ip route-static 15.0.0.10 32 202.10.100.1//配置默认路由，下一跳入接口 202.10.100.1

重点部分

进入出接口nat static global出口公网IP地址(此地址必须不是外网口IP，是另外的租用的公网地址)inside 私网的某台PC的IP地址 netmask 255.255.255. 255

查看静态NAT映射情况

display nat static

ISP段：

[]ip route-static 15.0.0.10 32 202.10.100.1//ISP回执一条路由指向公司出口网关IP

PC机设置

ping测试

pc1可以通，pc2是不通的。

2、动态NAT--PAT

代码

R1：

[001]int g0/0/0//进入接口

[001-GigabitEthernet0/0/0]ip add 192.168.1.1 24//配置ip和子网掩码长度

[001-GigabitEthernet0/0/0]un shu//开启接口

[001-GigabitEthernet0/0/0]int g0/0/1//进入接口

[001-GigabitEthernet0/0/1]ip add 202.10.100.1 24//配置ip和子网掩码长度

[001-GigabitEthernet0/0/1]un shu//开启接口

[001-GigabitEthernet0/0/1]q

[001]ip route-static 0.0.0.0 0 202.10.100.2//配置默认路由，下一跳入接口 202.10.100.2

[001]nat address-group 1 15.0.0.10 15.0.0.11//配置NAT外网地址池

[001]acl 2000//创建标准访问控制列表2000

[001-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255//配置ACL抓取内网地址段

[001]int g0/0/1//进入接口

[001-GigabitEthernet0/0/1]nat outbound 2000 address-group 1//在外网口调用acl2000

[001]dis nat outbound//查询出接口信息

NAT Outbound Information:

--------------------------------------------------------------------------

Interface Acl Address-group/IP/Interface Type

--------------------------------------------------------------------------

GigabitEthernet0/0/1 2000 1 pat

--------------------------------------------------------------------------

Total : 1

ISP服务商：

[ISP]int g0/0/0//进入接口

[ISP-GigabitEthernet0/0/0]ip add 202.10.100.2 24//配置ip和子网掩码长度

[ISP-GigabitEthernet0/0/0]un shu//开启接口

[ISP-GigabitEthernet0/0/0]q

[ISP]ip route-static 15.0.0.0 24 202.10.100.1//配置默认路由，下一跳入接口 202.10.100.1

重点部分

1.配置NAT地址池

全局下打nat address-group 1 15.0.0. 10 15.0.0. 11

2.配置ACL抓取内网地址段

acl 2000

rule permit source 192.168.10.0 0.0.0.255

3.外网口上调用

接口下打nat outbound 2000 address-group 1 (不加no-pat表示地址可重复使用，建议不加)

ISP[]ip route-static 15.0.0.0 32 202.10.100.1

[] display nat outbound

PC机设置

ping测试

两个都能测试成功

随便看看