NAT（網絡地址轉換）及配置實驗

NAT

一、NAT概述

NAT，全稱Network Address Translation，即網絡地址轉換。
作用：NAT就是進行內外網地址的轉換。

二、爲什麼學習NAT？

1.IPv4地址嚴重不夠用

x.x.x.x
x=0-255 如192.168.1.1
0.0.0.0 — 255.255.255.255
IPv6地址絕對夠用：號稱世界上每一粒沙塵都可以有IP地址。

2.ISO組織將IPv4地址進行了分類

1）私有IP地址
要求：私有IP地址只能在內網使用，禁止出現在公網上，且可以重複利用。
私有IP地址範圍：
10.0.0.0/8
172.16.0.0 – 172.31.0.0 /16
192.168.0.0/16
2）公網IP地址
除私有IP外，全是公網IP地址 。
要求：公網IP地址只能出現在公網
結果：如果某內網需要聯網（上網），則必須購買公網IP地址。

3. 內網轉換外網地址

內網需要上網時，網關需要進行內外網地址轉換，也就是NAT技術。

三、NAT類型

1）靜態NAT：1對1靜態轉換，手工配置；
2）動態NAT：多對一，但不能同時。動態生成轉換條目，動態刪除轉換條目，默認24小時；
3）PAT：實現同時多對一上網，端口地址轉換。

四、NAT的配置

1.模擬互聯網

模擬互聯網的一個功能：不允許轉發私有地址的數據。
方法：禁止在公網路由器上配置指向私網的路由。

2.PAT命令

網關路由器上配置PAT：

1）指定PAT內網端口

int f0/0
ip nat inside 
exit

2）指定PAT外網端口

int f0/1
ip nat outside 
exit

3）定義PAT的內部地址池：（匹配哪些內網的PC允許做地址轉換）

conf t
access-list 1 permit 192.168.1.0 0.0.0.255 

如添加內部地址池內容：
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.3.0 0.0.0.255

3）定義PAT的內部地址池：（匹配哪些內網的PC允許做地址轉換）

conf t
access-list 1 permit 192.168.1.0 0.0.0.255 

當添加內部地址池內容後，一定要再做PAT動態映射：

conf t
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.3.0 0.0.0.255
access-list 1 permit 172.16.1.0 0.0.0.255
access-list 1 permit 172.16.2.0 0.0.0.255

4）做PAT動態映射

conf t
ip nat inside source list 1 int f0/1 overload

3.配置靜態映射

作用：靜態映射的目的是將內網的服務器對外發布。也可以理解爲將私網服務器映射到公網上。
命令：

conf t
ip nat inside source static tcp 192.168.1.100 80 100.1.1.1 80

註釋：將192.168.1.100的web服務發佈到100.1.1.1的80上去，這樣，網友可以訪問100.1.1.1即可。
端口號範圍：0-65535共65536個。0和65535不能使用。

NAT配置實驗

要求：

1.配置好IP地址（所有的）
2.配置好路由（禁止公網路由器配置私網路由），此時互聯網模擬完畢！
3.驗證員工是否可以上網！結果是上不了網！
4.配置PAT
5.再次驗證，員工竟然神奇的可以同時上網了！
6.加2臺服務器，要求都發布web服務，並要求在外網的PC上可以訪問這2個web服務器

一、連線

按實驗拓撲圖連接設備，不同設備之間用直通線連接，路由器與電腦、路由器之間用交叉線連接。連接好後拓撲圖爲：

二、配置所有PC的IP及網關

1.PC0

第一臺PC配置如下：

2.PC1

第二臺PC配置如下：

3.PC2

PC配置如下：

三、給路由器配IP

1.R0

給R0配直連路由，如下：


給R0配置通往公網的默認路由，下一跳地址指向運營商，如下：

2.R1

給R1配直連路由，如下：


給R1配置去公網200.1.1.0的靜態路由，如下：

3.R2

給R2配直連路由，如下：


給R2配置去100.1.1.0的靜態路由，如下：

四、配置外網服務器（PC3設置爲服務器）

PC3配置如下：

五、驗證員工能否上網

PC0pingPC3，如圖：

PC1pingPC3，如圖：

PC2pingPC3，如圖：

綜上，此時員工無法訪問外網。

六、配置PAT

1.配置內網端口

將網關R0的f0/0配置爲內網端口，如圖：

2.配置外網端口

將R0的f0/1配置爲外網端口，如圖：

3.定義PAT的內部地址池

即匹配哪些內網的PC允許做地址轉換。做地址池1，允許爲公司的192.168.1.0網段做地址轉換。

4.做PAT動態映射

將內部源地址池1與外網端口動態映射，如圖：

七、再次驗證員工能否上網

PC0pingPC3，如圖：

PC1pingPC3，如圖：

PC2pingPC3，如圖：

當PC0、PC1、PC2同時使用ping -t 200.1.1.1與PC3通信時，仍然能ping通。如圖:

綜上，成功配置PAT後，此時內網員工可以同時訪問外網。

八、配置web服務器baidu

1.baidu

baidu服務器的IP，如圖：

啓用HTTP服務，點擊保存。

2.jd

jd服務器的IP，如圖：

啓用HTTP服務，點擊保存。

九、配置靜態映射（將內網web服務器與公網IP一對一映射）

把web服務器的私網地址映射到公網地址上去，然後把公網身份對外發布，即將192.168.1.100的web服務發佈到100.1.1.1的80上去，這樣，網友訪問100.1.1.1即可。如圖：

購買公網地址100.1.1.3，將192.168.1.200的web服務發佈到100.1.1.3的80上去，如圖：

十、驗證外網電腦能否訪問web服務器

PC3訪問服務器baidu對應的外網地址，如圖：

PC3訪問服務器jd對應的外網地址，如圖：

此時，外網的PC可以訪問兩個web服務器。