网络地址转换（NAT）(三)

一.配置PAT

1.使用外部全局IP地址

下面通过例子来说明使用外部全局归地址配置PAT的方法。

   公司内部局域网使用的IP地址的范围为10.1.1.2-10.1.1.254

   路由器局域网端口（默认网关）的IP地址为10.1.1.1，子网掩码255.255.255.0

   网络分配的合法IP地址的范围为 61.159.62.128-61.159.62.135

   路由器在广域网的地址为61.159.62.130，子网掩码为255.255.255.248

   可以用于NAT的地址为1.159.62.131/29

PAT动态转换网络结构示意图

2.配置步骤

1.    设置外部端口的IP地址
2.    设置内部端口的IP地址
3.    定义访问控制列表
4.    定义合法IP地址池
5.    实现网络地址转换
6.    在内部和外部端口上启用NAT，以及配置默认路由
7.    与静态NAT配置相同
8. 

PAT工作流程示意图

   要求：公司希望将内部网络地址10.1.1.0/24 转换为合法的外部地址61.159.62.131/29。

   具体步骤如下。

（1）配置外部端口和内部接口的P地址（配置信息略）。

（2）内部访问列表，命令语法如下。

router（config）#access-list 1 permit 10.1.1.0 0.0.0.255

在这里，允许访问互联网的网段为10.1.1.0/24

（3）定义合法的IP地址池，命令语句如下：

Router(config)#ip nat po0l onlyone 61.159.62.131 61.159.62.131 netmask 255.255.255.248

合法地址池的名称是onlyone，合法地址的范围为61.159.62.131   掩码为255.255.255.248

由于只有一个地址，所以起始地址与终止地址相同。

（4)设置复用动态IP地址转换

在全局配置模式中，设置在内部局部IP地址与内部全局IP地址之间建立动态NAT。

Router(conftg)ip nat Inside source list access-list-number pool pool-name [overload]

(5）在内部和外部端口上启用NAT

Router(confiq)int f0/0

Router (config-1f)#1p nat out

Router(config)int f1/0

Rooter(config-if)#ip nat in

（6）配置默认路由，使数据包可以正常选路，配置信息如下

Aouter (config) ##ip route 0.0.0.0 0.0.0.0 61.159.62.129

至此，PNAT设置完毕

3.复用路由器外部接口地址

有时，只有一个外部IP地址，并且这个地址已经被路由器的外部接口使用。在这种情况下，在 地址转换的过程中，也可以直接使用接口的P地址作为转换后的源地址。

   公司内部局域网使用的IP地址的范围为10.1.1,1-10.1.1.254，

   路由器局域网端口（默认网关）的IP地址为10.1.1.1，子网掩码为255.255.255.0

   网络分配的合法IP地址的范围为61.159.62.128 - 61.159.62.131.

   路由器在广域网的地址为61.159.62.130.子网掩码为255.255.255.252，

   对端地址为61.159.62.129.子网掩码为255.255.255.252。

   可以用于地址转换的地址就是路由器的接口地址61.159.62.130

PAT动态转换网络结构示意图

   要求：公司希望将内部网络地址10.1.1.0/24转换为合法的外部地址61.159.62.130

   具体步骤如下。

（1）配置外部端口和内部端口的P地址。

（2）定义内部访问列表。

Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255

（3）定义合法的P地址池。

由于直接使用外部接口地址，因此不再定义P地址池。

（4）设置复用动态P地址转换。

在全局配置模式中，设置在内部的本地地址与内部合法地址之间建立动态地址转换，命令如下

Router(config)fip nat inside source list 1 interface FastEthernet 0/0 overload

上述命令表示，以端口复用方式，将ACL1中的私有地址转换为路由器外部接口的合法P地址。

（5）在内部和外部端口上启用NAT

Router(config)#int f0/0

Router(config-if)#ip nat out

Router(config)#int f1/0

Router (config-if)#ip nat in

（6）配置默认路由

使数据包可以正常选路，配置信息如下：

Router(config) #ip route 0.0.0.0 0.0.0.0 61.159.62.129

至此，端口复用动态地址转换完成。

4.验证NAT的配置

二.清除NAT转换条目

清除NAT转换表中的所有条目

Router#clear ip nat translation

清除包含内部转换的转换条目

Router#clear ip nat translation inside local-ip global-ip

清除包含外部转换的转换条目

Router#clear ip nat translation outside local-ip global-ip

三.NAT的故障处理

1.常见问题

   ACL阻止转换后的流量

   进行地址转换的ACL不全

   overload参数漏配

   不对称路由问题

   动态地址池IP地址范围配置错误

   动态地址池与静态转换地址重叠

   Inside和outside接口配置错误

2.NAT故障的排除

   检查物理设备和NAT配置

   通过show命令查看NAT的各种信息

   通过debug ip nat命令跟踪NAT操作

创作不易，求关注，点赞，收藏，谢谢~