实验视频简讲解链接
NAT协议概述
NAT 网络地址转换
NAT:把内网、外网的IP进行映射(转换)
NAT执行过程:1、定义NAT转换规则,使用ACL将内网网段归结起来;
2、运用到接口(inside & outside) 定义接口的朝向。
NAT协议种类归类:
1、1对1映射【静态映射】
ip nat inside source static A > B
特殊的静态映射:端口静态映射
将用于外网访问内网的设置表项映射
ip nat inside source static tcp 10.10.10.2 23 interface s2/0 2000
2、多对多映射【地址池pool映射】
定义内网归结地址:access-list 1 permit 10.10.10.0 0.0.0.255 定义外网的NAT地址池:ip nat pool Name X - Y netmask WWW 建立内网与外网的网络地址映射:ip nat inside source list 1 pool Nam
3、多对1映射【Port AT】
动态给每一个映射分配一个端口
1. ip nat inside source list 1 inerface s2/0 overload 2. access-list 1 permit X
show ip nat translation
debug ip nat
clear ip nat translation *
ping 目标 source 源
NAT实验练习
使用GNS3模拟器验证:静态NAT;动态NAT(多对多); PAT(多对一); 内网与外网之间的通信的实现过程。
实验拓扑
实验设备准备设置
路由器模拟PC机:
no ip routing int fa0/0 ip add ...... no shut ip default-gateway .....
以PC1为例,其它主机设备同PC1的相同配置操作
PC1(config-if)#no ip routing //关闭路由功能 PC1(config)#int f0/0 PC1(config-if)#ip add 10.10.10.1 255.255.255.0 //为接口配置IP地址 PC1(config-if)#no sh PC1(config)#ip default-gateway 10.10.10.254 //为主机添加网
实验验证过程
第一部分: 验证静态NAT
R1(config)#ip nat inside source static 10.10.10.1 14.14.14.1 R1(config)#int f 0/0 R1(config-if)#ip nat inside R1(config-if)#int s 1/0 R1(config-if)#ip nat outside
PC1成功Ping通网关
PC1成功Ping通外网
检查R1上的NAT映射表
查看NAT映射表命令
R1#show ip nat translations
PC2的私有IP地址无法与公网IP地址建立映射,因为静态NAT采用的是一对一的映射模式,PC1与R1的外网地址已建立映射占用了公有IP地址。
第二部分:验证多对多的动态NAT
R2(config)#access-list 1 permit 172.16.1.0 0.0.0.255 R2(config)#ip nat pool netbox 24.24.24.0 24.24.24.200 netmask 255.255.255.0 R2(config)#ip nat inside source list 1 pool netbox R2(config)#int f 0/0 R2(config-if)#ip nat inside R2(config-if)#int s 1/0 R2(config-if)#ip nat outside
查看地址映射表
从映射表中可以看出:
PC3的主机地址 172.16.1.1 映射的公网IP地址为 24.24.24.1
PC4的主机地址 172.16.1.2 映射的公网IP地址为 24.24.24.2
验证PC3和PC4可以成功访问外网
第三部分:验证PAT 多对一的NAT地址映射
R3(config)#access-list 1 permit 192.168.1.0 0.0.0.255 R3(config)#ip nat inside source list 1 interface s1/0 overload R3(config)#int f 0/0 R3(config-if)#ip nat inside R3(config-if)#int s 1/0 R3(config-if)#ip nat outside
查看地址映射表
可以看出:
PC5 的私有地址 192.168.1.1 转换为了公有IP地址 34.34.34.3:5(用端口号5标记区分)
PC5 的私有地址 192.168.1.2 转换为了公有IP地址 34.34.34.3:1(用端口号1标记区分)
验证PC5和PC6可以成功访问外网
第四部分: 实现外网IP访问内部网络
因为配置NAT协议后内网的私有地址与外网的公有地址是根据在边界路由器(R1 R2 R3)中的NAT映射表实现公私网络地址的映射转换访问。
具体过程为:公私网络地址的映射表存在于边界路由器上,主机通过访问网关在边界路由器上找到了自身网络与外网的映射关系,从而可以确定路径成功访问外网。
相反的,外网想要访问内网,会通过IP信息传递依次查看R4(自身)R1(边界路由器)上是否有对应的IP地址映射表项(如下图没有表项),所以外网IP无法直接 访问PC2内网地址。
解决办法: 配置端口静态映射
ip nat inside source static tcp 10.10.10.2 23 interface s0/0 2000
注意到是,R4在访问PC2的过程中,是通过访问边界路由器上的公网IP地址再通过映射的表项实现对PC2的访问。
R4访问PC2成功
【检测方法】
R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 15.15.15.1:5 10.10.10.254:5 15.15.15.5:5 15.15.15.5:5