CCNA--LAB-10:配置NAT（网络地址转换）-阿里云开发者社区

CCNA--LAB-10:配置NAT（网络地址转换）

2017-11-07 1143

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

公网NAT网关，每月750个小时 15CU

简介：

一、 NAT简介

NAT(Network Address Translation) 的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。在网络内部，

各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。

二、关于NAT的几个概念：

1 、内部本地地址（Inside Local Address）

分配给内部网络中的PC机的私有IP地址，一般都是我们常见的10.0.0.0/172.16.0.0/192.168.0.0

2 、内部全局地址（Inside Global Address）

对外进行IP通信时，代表一个或多个内部本地地址的合法IP地址

3 、外部本地地址（Outside Local Address）

由主机的拥有者分配给在外部网上的主机的IP地址.该地址不一定是属于合法的IP地址,但一定是可以路由的IP地址.

4 、外部全局地址 (outside global address)

外部网络使用的地址.它是一个公有的IP地址

三、优点与缺点

1 、节省IP。有了NAT技术，我们可以让一个企业内部的PC机共用少量的公网IP来连上Internet，而不需要为每一台PC都申请一个IP。这样做太浪费了，大家都知道，私有地址是不能在公网上路由的，如果要想拿到公网IP，有一个办法就是花钱申请,对外部网络屏蔽了内部的网络拓扑。

2 、内部网络中的PC机和外部通信的时候，在边缘经过NAT转换才把数据包交出去，速度上会稍微慢一些

实验一：配置静态NAT

用途：可以把企业内某一台服务器或计算机内部IP地址单独映射到外网地址，

使其可以对外提供服务。

拓扑如下：

具体配置：

R1 ：

Router>en

Router#conf t

Router(config)#hostname R1

R1(config)#interface f0/0

R1(config-if)#ip address 192.168.1.254 255.255.255.0

R1(config-if)#no sh

R1(config-if)#exit

R1(config)#interface f0/1

R1(config-if)#ip address 218.87.18.23 255.255.255.0

R1(config-if)#no sh

R1(config-if)#exit

R1(config)#ip nat inside source static 192.168.1.1 218.87.18.23

-- 这条语句说明把内部本地地址192.168.1.1静态映射内部全局地址218.87.18.23 （也就是下面那台PC的地址）

R1(config)#interface f0/0

R1(config-if)#ip nat inside -- 使用NAT标识内部接口

R1(config-if)#interface f0/1

R1(config-if)#ip nat outside -- 使用NAT标识外部接口

R1(config-if)#end

R1#

ISP ：

Router>en

Router#conf t

Router(config)#hostname ISP

ISP(config)#interface f0/1

ISP(config-if)#ip address 218.87.18.24 255.255.255.0

ISP(config-if)#no sh

ISP(config-if)#end

ISP#

验证在PC拼ISP：

PC>ping 218.87.18.24

Pinging 218.87.18.24 with 32 bytes of data:

Reply from 218.87.18.24: bytes=32 time=73ms TTL=254

Reply from 218.87.18.24: bytes=32 time=41ms TTL=254

Reply from 218.87.18.24: bytes=32 time=36ms TTL=254

Reply from 218.87.18.24: bytes=32 time=39ms TTL=254

Ping statistics for 218.87.18.24:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 36ms, Maximum = 73ms, Average = 47ms

PC>

查看NAT转换表：

R1#show ip nat translations

/ 协议 /内部全局地址 /内部本地地址 /外部全局地址

Pro Inside global Inside local Outside local Outside global

icmp 218.87.18.23:3 192.168.1.1:3 218.87.18.24:3 218.87.18.24:3

icmp 218.87.18.23:4 192.168.1.1:4 218.87.18.24:4 218.87.18.24:4

icmp 218.87.18.23:5 192.168.1.1:5 218.87.18.24:5 218.87.18.24:5

icmp 218.87.18.23:6 192.168.1.1:6 218.87.18.24:6 218.87.18.24:6

--- 218.87.18.23 192.168.1.1 --- ---

R1#

实验二：配置动态NAT

用途：如果企业当中向服务提供商申请了多个或者一串公网地址，使企业内成员都能访问因特网或者提供服务

拓扑如下：

具体配置：

R1 ：

Router>

Router>en

Router#conf t

Router(config)#hostname R1

R1(config)#interface f0/0

R1(config-if)#ip address 192.168.1.254 255.255.255.0

R1(config-if)#no sh

R1(config-if)#int f0/1

R1(config-if)#ip address 218.87.18.23 255.255.255.0

R1(config-if)#no sh

R1(config-if)#exit

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255 -- 定义允许的流量

R1(config)#ip nat pool lab 218.87.18.21 218.87.18.23 netmask 255.255.255.0

-- 定义名为lab的公网IP地址池，范围为：218.87.18.21 – 218.87.18.23

R1(config)#ip nat inside source list 1 pool lab overload

-- 定义允许访问控制列表1的流量从lab地址池中转发出去，overload表示多路复用

R1(config)#interface f0/0

R1(config-if)#ip nat inside -- 使用NAT标识内部接口

R1(config-if)#interface f0/1 -- 使用NAT标识外部接口

R1(config-if)#ip nat outside

R1(config-if)#end

R1#

ISP ：

Router>en

Router#conf t

Router(config)#hostname ISP

ISP(config)#interface f0/1

ISP(config-if)#ip address 218.87.18.24 255.255.255.0

ISP(config-if)#no sh

ISP(config-if)#end

ISP#

验证在PC拼ISP：

PC>ping 218.87.18.24

Pinging 218.87.18.24 with 32 bytes of data:

Reply from 218.87.18.24: bytes=32 time=53ms TTL=254

Reply from 218.87.18.24: bytes=32 time=21ms TTL=254

Reply from 218.87.18.24: bytes=32 time=36ms TTL=254

Reply from 218.87.18.24: bytes=32 time=39ms TTL=254

Ping statistics for 218.87.18.24:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 36ms, Maximum = 73ms, Average = 47ms

PC>

查看NAT转换表：

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

icmp 218.87.18.21:30 192.168.1.1:30 218.87.18.24:30 218.87.18.24:30

icmp 218.87.18.21:31 192.168.1.1:31 218.87.18.24:31 218.87.18.24:31

icmp 218.87.18.21:32 192.168.1.1:32 218.87.18.24:32 218.87.18.24:32

icmp 218.87.18.21:33 192.168.1.1:33 218.87.18.24:33 218.87.18.24:33

icmp 218.87.18.21:34 192.168.1.1:34 218.87.18.24:34 218.87.18.24:34

icmp 218.87.18.21:35 192.168.1.1:35 218.87.18.24:35 218.87.18.24:35

icmp 218.87.18.21:36 192.168.1.1:36 218.87.18.24:36 218.87.18.24:36

R1#

注：由于下面只有一台PC，从以上表中不能看出所有的公网IP都被使用，大家用实验时可以下面挂两台或多台计算机.

实验三：配置PAT（端口地址转换） ---- 拓扑为实验一拓扑

用途：这种方式是最普遍，也是最常用的方法，当企业仅只有申请了一个公网IP地址的情况下，我们可以使用PAT方式来实现企业内部能够访问因特网.

具体配置：

R1 ：

Router>

Router>en

Router#conf t

Router(config)#hostname R1

R1(config)#interface f0/0

R1(config-if)#ip address 192.168.1.254 255.255.255.0

R1(config-if)#no sh

R1(config-if)#int f0/1

R1(config-if)#ip address 218.87.18.23 255.255.255.0

R1(config-if)#no sh

R1(config-if)#exit

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255 -- 定义允许的流量

R1(config)#ip nat inside source list 1 interface f0/1 overload

-- 定义所有符合访问控制列表1的流量，全部从F0/1接口转发出去.

R1(config)#interface f0/0

R1(config-if)#ip nat inside

R1(config-if)#interface f0/1

R1(config-if)#ip nat outside

R1(config-if)#end

R1#

ISP ：

Router>en

Router#conf t

Router(config)#hostname ISP

ISP(config)#interface f0/1

ISP(config-if)#ip address 218.87.18.24 255.255.255.0

ISP(config-if)#no sh

ISP(config-if)#end

ISP#

验证在PC拼ISP：

PC>ping 218.87.18.24

Pinging 218.87.18.24 with 32 bytes of data:

Reply from 218.87.18.24: bytes=32 time=86ms TTL=254

Reply from 218.87.18.24: bytes=32 time=45ms TTL=254

Reply from 218.87.18.24: bytes=32 time=49ms TTL=254

Reply from 218.87.18.24: bytes=32 time=35ms TTL=254

Ping statistics for 218.87.18.24:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 35ms, Maximum = 86ms, Average = 53ms

查看NAT转换表：

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

icmp 218.87.18.23:43 192.168.1.1:43 218.87.18.24:43 218.87.18.24:43

icmp 218.87.18.23:44 192.168.1.1:44 218.87.18.24:44 218.87.18.24:44

icmp 218.87.18.23:45 192.168.1.1:45 218.87.18.24:45 218.87.18.24:45

icmp 218.87.18.23:46 192.168.1.1:46 218.87.18.24:46 218.87.18.24:46

R1#

总结：

网络地址转换就是将一个IP地址用另一个IP地址代替。尽管最初设计网络地址转换的目的是为了增加在专用网络中可使用的IP地址数，但是它有一个隐蔽的安全特性，如内部主机隐蔽等，保证了网络的一定安全。网络地址转换主要用在两个方面：
（1）网络管理员希望隐藏内部网络的IP地址。这样，互联网上的主机无法判断内部网络的情况；
（2内部网络的IP地址是无效的。这种情况主要是因为现在的IP地址不够用，要申请到足够多的合法IP地址很难办到，因此需要转换IP地址。
在上面两种情况下，内部网对外面是不可见的，互联网不能访问内部网，但是内部网主机之间可以相互访问。

本文转自 meiyanaa 51CTO博客，原文链接：http://blog.51cto.com/justim/240713，如需转载请自行联系原作者

CCNA--LAB-10:配置NAT（网络地址转换）

热门文章

最新文章

相关课程

相关电子书

相关实验场景

探索云世界

热门

云计算

大数据

云原生

人工智能

数据库

开发与运维

活动广场

任务中心

训练营

直播

乘风者计划

下载

镜像站

技术资料

CCNA--LAB-10:配置NAT（网络地址转换）

热门文章

最新文章

相关课程

相关电子书

相关实验场景