一、NAT網絡地址轉換
1、作用:通過將內部網絡的私有IP地址翻譯成全球唯一的公網IP地址,是內部網絡可以連接到互聯網等外部網絡上。
2、優點:節省公共合法IP地址;處理地址重疊;增強靈活性;安全性;
3、缺點:延遲增大;配置和維護的複雜性;不支持某些應用,可以通過靜態NAT映射來避免;
4、NAT實現方式:靜態轉換:IP地址的對應關係是一對一,而且是不變的,藉助靜態轉換能實現外部網絡對內部網絡中某些設定服務器的訪問。
靜態NAT配置:全局:ip nat inside source static 192.168.100.1 61.159.62.131
在內外接口上啓用NAT:進入出口配置ip nat outside;進入入口配置ip nat inside
動態轉化配置:IP地址的對應關係是不確定的,二十隨機的,所有被授權訪問互聯網的私有地址可隨機轉換爲任何指定的合法的外部IP地址。(內部網絡 同時訪問INTERNET的主機數少於配置的合法地址中的IP個數時使用)
全局:access-list 1 permit 192.168.100 0 0.0.0.255
全局:ip nat pool nsd 61.159.62.131 61.159.62.132 netmask 255.255.255.248(定義地址池名稱爲nsd,地址池IP範圍61.159.62.131到 61.159.62.132)
全局:ip nat inside source list 1 pool nsd
show ip nat translations
端口多路複用PAT
通過改變外出數據包的源IP地址和源端口並進行端口轉換,內部網絡的所有主機均可共享一個合法IP地址實現互聯網的訪問,節約IP。
PAT的配置:全局:ip nat inside source list 1 interface f0/1 overload
查看NAT轉換條目:特權:show ip nat translations 顯示當前存在的轉換
三、清除NAT轉換條目:
1、特權:clear ip nat translation * 清除NAT轉換條目中的所有條目。注意:靜態NAT條目不會被清除。
四、NAT常見問題:ACL阻止轉換後的流量;進行地質轉換的ACL不全;overload 參數漏配;不對稱路由問題;動態地址池IP地質範圍配置錯誤;動態地址 池與靜態轉換地址重疊;inside和outside接口配置錯誤。
五、顯示每個轉換的數據包:特權:debug ip nat ;s表示源,d表示目的地址。
實驗名稱:NAT網絡地址轉換
實驗過程:
步驟1:靜態NAT配置
首先搭建基本環境,如下圖
目前情況,192.168.1.1主機是無法ping通192.168.2.1的,
我們通過今天的NAT配置學習,就可以達到訪問外網,打開route1輸入
Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int f0/1
Router(config-if)#ip add 192.168.1.254 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
Router(config-if)#
Router(config-if)#int f0/0
Router(config-if)#ip add 61.159.62.129 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
Router(config-if)#ip add 61.159.62.129 255.255.255.248
Router(config-if)#no shutdown
Router(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
Router(config-if)#
Router(config-if)#exit
Router(config)#
Router(config)#
Router(config)#ip route 0.0.0.0 0.0.0.0 f0/0
Router(config)#ip nat inside source static 192.168.1.1 61.159.62.131
Router(config)#int f0/1
Router(config-if)#ip nat inside
Router(config-if)#int f0/0
Router(config-if)#ip nat outside
這樣就搭建好了靜態的NAT,通過192.168.1.1ping 192.168.2.2我們發現,是可以通的,
步驟2:動態NAT配置
基本環境與步驟1相同,打開router1,輸入
Router>
Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int f0/1
Router(config-if)#ip add 192.168.1.254 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
Router(config-if)#
Router(config-if)#int f0/0
Router(config-if)#ip add 61.159.62.129 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
Router(config-if)#
Router(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
Router(config-if)#
Router(config-if)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat pool nsd 61.159.62.131 61.159.62.134 netmask 255.255.255.248
Router(config)#ip nat inside source list 1 pool nsd
Router(config)#int f0/1
Router(config-if)#ip nat inside
Router(config-if)#int f0/0
Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 f0/0
Router(config)#
用兩臺主機分別ping 外網的192.168.2.1,發現時可以通的,另外,在路由器界面可以查看具體情況
這樣就實現了節約IP 的想法。
步驟2:端口多路複用
基本環境如步驟2
打開router1 輸入:
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat inside source list 1 interface f0/0 overload
Router(config)#int f0/1
Router(config-if)#ip nat inside
Router(config-if)#int f0/0
Router(config-if)#ip nat outside
Router(config-if)#
可以ping通,可見端口多路複用是很不錯的,
至此實驗完成
實驗結果:本次實驗總的來說不難,重在靈活運用。