NAT
一、NAT概述
NAT,全稱Network Address Translation,即網絡地址轉換。
作用:NAT就是進行內外網地址的轉換。
二、爲什麼學習NAT?
1.IPv4地址嚴重不夠用
x.x.x.x
x=0-255 如192.168.1.1
0.0.0.0 — 255.255.255.255
IPv6地址絕對夠用:號稱世界上每一粒沙塵都可以有IP地址。
2.ISO組織將IPv4地址進行了分類
1)私有IP地址
要求:私有IP地址只能在內網使用,禁止出現在公網上,且可以重複利用。
私有IP地址範圍:
10.0.0.0/8
172.16.0.0 – 172.31.0.0 /16
192.168.0.0/16
2)公網IP地址
除私有IP外,全是公網IP地址 。
要求:公網IP地址只能出現在公網
結果:如果某內網需要聯網(上網),則必須購買公網IP地址。
3. 內網轉換外網地址
內網需要上網時,網關需要進行內外網地址轉換,也就是NAT技術。
三、NAT類型
1)靜態NAT:1對1靜態轉換,手工配置;
2)動態NAT:多對一,但不能同時。動態生成轉換條目,動態刪除轉換條目,默認24小時;
3)PAT:實現同時多對一上網,端口地址轉換。
四、NAT的配置
1.模擬互聯網
模擬互聯網的一個功能:不允許轉發私有地址的數據。
方法:禁止在公網路由器上配置指向私網的路由。
2.PAT命令
網關路由器上配置PAT:
1)指定PAT內網端口
int f0/0
ip nat inside
exit
2)指定PAT外網端口
int f0/1
ip nat outside
exit
3)定義PAT的內部地址池:(匹配哪些內網的PC允許做地址轉換)
conf t
access-list 1 permit 192.168.1.0 0.0.0.255
如添加內部地址池內容:
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.3.0 0.0.0.255
3)定義PAT的內部地址池:(匹配哪些內網的PC允許做地址轉換)
conf t
access-list 1 permit 192.168.1.0 0.0.0.255
當添加內部地址池內容後,一定要再做PAT動態映射:
conf t
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.3.0 0.0.0.255
access-list 1 permit 172.16.1.0 0.0.0.255
access-list 1 permit 172.16.2.0 0.0.0.255
4)做PAT動態映射
conf t
ip nat inside source list 1 int f0/1 overload
3.配置靜態映射
作用:靜態映射的目的是將內網的服務器對外發布。也可以理解爲將私網服務器映射到公網上。
命令:
conf t
ip nat inside source static tcp 192.168.1.100 80 100.1.1.1 80
註釋:將192.168.1.100的web服務發佈到100.1.1.1的80上去,這樣,網友可以訪問100.1.1.1即可。
端口號範圍:0-65535共65536個。0和65535不能使用。
NAT配置實驗
要求:
1.配置好IP地址(所有的)
2.配置好路由(禁止公網路由器配置私網路由),此時互聯網模擬完畢!
3.驗證員工是否可以上網!結果是上不了網!
4.配置PAT
5.再次驗證,員工竟然神奇的可以同時上網了!
6.加2臺服務器,要求都發布web服務,並要求在外網的PC上可以訪問這2個web服務器
一、連線
按實驗拓撲圖連接設備,不同設備之間用直通線連接,路由器與電腦、路由器之間用交叉線連接。連接好後拓撲圖爲:
二、配置所有PC的IP及網關
1.PC0
第一臺PC配置如下:
2.PC1
第二臺PC配置如下:
3.PC2
PC配置如下:
三、給路由器配IP
1.R0
給R0配直連路由,如下:
給R0配置通往公網的默認路由,下一跳地址指向運營商,如下:
2.R1
給R1配直連路由,如下:
給R1配置去公網200.1.1.0的靜態路由,如下:
3.R2
給R2配直連路由,如下:
給R2配置去100.1.1.0的靜態路由,如下:
四、配置外網服務器(PC3設置爲服務器)
PC3配置如下:
五、驗證員工能否上網
PC0pingPC3,如圖:
PC1pingPC3,如圖:
PC2pingPC3,如圖:
綜上,此時員工無法訪問外網。
六、配置PAT
1.配置內網端口
將網關R0的f0/0配置爲內網端口,如圖:
2.配置外網端口
將R0的f0/1配置爲外網端口,如圖:
3.定義PAT的內部地址池
即匹配哪些內網的PC允許做地址轉換。做地址池1,允許爲公司的192.168.1.0網段做地址轉換。
4.做PAT動態映射
將內部源地址池1與外網端口動態映射,如圖:
七、再次驗證員工能否上網
PC0pingPC3,如圖:
PC1pingPC3,如圖:
PC2pingPC3,如圖:
當PC0、PC1、PC2同時使用ping -t 200.1.1.1與PC3通信時,仍然能ping通。如圖:
綜上,成功配置PAT後,此時內網員工可以同時訪問外網。
八、配置web服務器baidu
1.baidu
baidu服務器的IP,如圖:
啓用HTTP服務,點擊保存。
2.jd
jd服務器的IP,如圖:
啓用HTTP服務,點擊保存。
九、配置靜態映射(將內網web服務器與公網IP一對一映射)
把web服務器的私網地址映射到公網地址上去,然後把公網身份對外發布,即將192.168.1.100的web服務發佈到100.1.1.1的80上去,這樣,網友訪問100.1.1.1即可。如圖:
購買公網地址100.1.1.3,將192.168.1.200的web服務發佈到100.1.1.3的80上去,如圖:
十、驗證外網電腦能否訪問web服務器
PC3訪問服務器baidu對應的外網地址,如圖:
PC3訪問服務器jd對應的外網地址,如圖:
此時,外網的PC可以訪問兩個web服務器。