NAT（网络地址转换）及配置实验

NAT

一、NAT概述

NAT，全称Network Address Translation，即网络地址转换。
作用：NAT就是进行内外网地址的转换。

二、为什么学习NAT？

1.IPv4地址严重不够用

x.x.x.x
x=0-255 如192.168.1.1
0.0.0.0 — 255.255.255.255
IPv6地址绝对够用：号称世界上每一粒沙尘都可以有IP地址。

2.ISO组织将IPv4地址进行了分类

1）私有IP地址
要求：私有IP地址只能在内网使用，禁止出现在公网上，且可以重复利用。
私有IP地址范围：
10.0.0.0/8
172.16.0.0 – 172.31.0.0 /16
192.168.0.0/16
2）公网IP地址
除私有IP外，全是公网IP地址 。
要求：公网IP地址只能出现在公网
结果：如果某内网需要联网（上网），则必须购买公网IP地址。

3. 内网转换外网地址

内网需要上网时，网关需要进行内外网地址转换，也就是NAT技术。

三、NAT类型

1）静态NAT：1对1静态转换，手工配置；
2）动态NAT：多对一，但不能同时。动态生成转换条目，动态删除转换条目，默认24小时；
3）PAT：实现同时多对一上网，端口地址转换。

四、NAT的配置

1.模拟互联网

模拟互联网的一个功能：不允许转发私有地址的数据。
方法：禁止在公网路由器上配置指向私网的路由。

2.PAT命令

网关路由器上配置PAT：

1）指定PAT内网端口

int f0/0
ip nat inside 
exit

2）指定PAT外网端口

int f0/1
ip nat outside 
exit

3）定义PAT的内部地址池：（匹配哪些内网的PC允许做地址转换）

conf t
access-list 1 permit 192.168.1.0 0.0.0.255 

如添加内部地址池内容：
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.3.0 0.0.0.255

3）定义PAT的内部地址池：（匹配哪些内网的PC允许做地址转换）

conf t
access-list 1 permit 192.168.1.0 0.0.0.255 

当添加内部地址池内容后，一定要再做PAT动态映射：

conf t
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.3.0 0.0.0.255
access-list 1 permit 172.16.1.0 0.0.0.255
access-list 1 permit 172.16.2.0 0.0.0.255

4）做PAT动态映射

conf t
ip nat inside source list 1 int f0/1 overload

3.配置静态映射

作用：静态映射的目的是将内网的服务器对外发布。也可以理解为将私网服务器映射到公网上。
命令：

conf t
ip nat inside source static tcp 192.168.1.100 80 100.1.1.1 80

注释：将192.168.1.100的web服务发布到100.1.1.1的80上去，这样，网友可以访问100.1.1.1即可。
端口号范围：0-65535共65536个。0和65535不能使用。

NAT配置实验

要求：

1.配置好IP地址（所有的）
2.配置好路由（禁止公网路由器配置私网路由），此时互联网模拟完毕！
3.验证员工是否可以上网！结果是上不了网！
4.配置PAT
5.再次验证，员工竟然神奇的可以同时上网了！
6.加2台服务器，要求都发布web服务，并要求在外网的PC上可以访问这2个web服务器

一、连线

按实验拓扑图连接设备，不同设备之间用直通线连接，路由器与电脑、路由器之间用交叉线连接。连接好后拓扑图为：

二、配置所有PC的IP及网关

1.PC0

第一台PC配置如下：

2.PC1

第二台PC配置如下：

3.PC2

PC配置如下：

三、给路由器配IP

1.R0

给R0配直连路由，如下：


给R0配置通往公网的默认路由，下一跳地址指向运营商，如下：

2.R1

给R1配直连路由，如下：


给R1配置去公网200.1.1.0的静态路由，如下：

3.R2

给R2配直连路由，如下：


给R2配置去100.1.1.0的静态路由，如下：

四、配置外网服务器（PC3设置为服务器）

PC3配置如下：

五、验证员工能否上网

PC0pingPC3，如图：

PC1pingPC3，如图：

PC2pingPC3，如图：

综上，此时员工无法访问外网。

六、配置PAT

1.配置内网端口

将网关R0的f0/0配置为内网端口，如图：

2.配置外网端口

将R0的f0/1配置为外网端口，如图：

3.定义PAT的内部地址池

即匹配哪些内网的PC允许做地址转换。做地址池1，允许为公司的192.168.1.0网段做地址转换。

4.做PAT动态映射

将内部源地址池1与外网端口动态映射，如图：

七、再次验证员工能否上网

PC0pingPC3，如图：

PC1pingPC3，如图：

PC2pingPC3，如图：

当PC0、PC1、PC2同时使用ping -t 200.1.1.1与PC3通信时，仍然能ping通。如图:

综上，成功配置PAT后，此时内网员工可以同时访问外网。

八、配置web服务器baidu

1.baidu

baidu服务器的IP，如图：

启用HTTP服务，点击保存。

2.jd

jd服务器的IP，如图：

启用HTTP服务，点击保存。

九、配置静态映射（将内网web服务器与公网IP一对一映射）

把web服务器的私网地址映射到公网地址上去，然后把公网身份对外发布，即将192.168.1.100的web服务发布到100.1.1.1的80上去，这样，网友访问100.1.1.1即可。如图：

购买公网地址100.1.1.3，将192.168.1.200的web服务发布到100.1.1.3的80上去，如图：

十、验证外网电脑能否访问web服务器

PC3访问服务器baidu对应的外网地址，如图：

PC3访问服务器jd对应的外网地址，如图：

此时，外网的PC可以访问两个web服务器。