您的位置: 首页  >  文章  >  NAT 配置

NAT 配置

分类: 文章 2024-12-17 12:29:52

网络地址转换(Network Address Translation,NAT)NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能。NAT有3种类型:静态NAT、动态地址NAT以及网络地址端口转换NAPT。

NAT转换设备(实现NAT功能的网络设备)维护着地址转换表,所有经过NAT转换设备并且需要进行地址转换的报文,都会通过该表做相应转换。NAT转换设备处于内部网络和外部网络的连接处,常见的有路由器、防火墙…

R1为出口网关路由器,PC和服务器都通过交换机S1\S2连接到R1上,R2模拟外网设备与R1直连。由于公司内网都使用私网IP地址,为了实现公司内部员工可以访问外网,服务器可以供外网用户访问,网络管理员需要在路由器R1上配置NAT技术:使用静态NAT和NAT Outbound 技术使部分员工可以访问外网,使用NAT Server 技术使服务器可以提供外网用户访问。

NAT 配置
//在网关路由器R1上配置访问外网的默认路由。
//由于内网使用的都是私有IP地址,PC不能直接访问公网,需要在R1上配置NAT地址转换,将私网地址转换为公网地址。
//PC1为公司客户经理使用的终端,不仅需要自身能访问外网,还需要外网用户也能够直接访问他,因此分配一个公网IP地址202.169.10.5 给PC1做静态NAT地址转换,在R1的GE0/0/0接口下使用 nat static 命令配置内部地址到外部地址的一对一转换。
NAT 配置

//查看R1上的NAT静态配置信息。
NAT 配置

//PC1 ping R2,通过静态NAT地址转换已经可以成功访问外网。
NAT 配置

**//在R1的GE0/0/0接口抓包查看NAT地址转换是否成功。可以看到R1已经成功把来自PC1的ICMP报文的源地址172.16.1.1转换成公网地址202.169.10.5 **
NAT 配置

//在R2上使用环回口Loopback 0 模拟外网用户访问PC1,并在PC1的E0/0/1接口上抓包
NAT 配置
NAT 配置
//可以观察到PC1的私网地址被转换为唯一的公网地址,外网用户能主动访问PC1,且数据包经过R1进入内网的时候,R1把目的IP转换为与公网地址202.169.10.5对应的私网地址172.16.1.1转发给PC1。



//PC2\PC3都需要能够访问外网,使用私网地址172.17.1.0/24网段,使用公网地址池202.169.10.50~202.169.10.60做NAT转换。
//在R1上使用 nat address-group 命令配置NAT地址池,设置起始和结束地址分别为202.169.10.50和202.169.10.60。
//创建基本ACL2000,匹配172.17.1.0,掩码为24位的地址段。
//在GE0/0/0接口下使用 nat outbound 命令将ACL 2001 与 地址池关联,使得ACL中规定的地址可以使用地址池进行地址转换。
//查看NAT Outbound 信息。
NAT 配置

//PC2测试与外网的连通性,并在R1的GE0/0/0接口上抓包观察地址转换情况。
NAT 配置
NAT 配置
//PC2可以成功访问外网,且通过抓包分析,来自PC2的ICMP数据包在R1的GE0/0/0接口上源地址172.17.1.2被替换为地址池中第一个地址202.169.10.50。



//配置NAT Easy-IP,若继续使用多对多的NAT转换方式,就必须增加公网地址池的地址数。为了节约公网地址,网络管理员使用多对一的Easy-IP转换方式实现PC访问外网的需求。
//Easy-IP是NAPT的一种方式,直接借用路由器出接口IP地址作为公网地址,将不同的内部地址映射到同一公有地址的不同端口号上,实现多对一地址转换。
//在R1的GE0/0/0接口上删除NAT Outbound 配置,并使用nat outbound 命令配置Easy-IP 特性,直接使用接口IP地址作为NAT转换后的地址。
NAT 配置

//在PC2\PC3上使用UDP发包工具发送UDP数据到公网地址202.169.20.1,配置好目的IP和UDP端口号后,输入字符串数据单击“发送”按钮。
NAT 配置
NAT 配置

//发送UDP数据包后,在R1上查看 NAT Session 详细信息。
NAT 配置
// 可与看到源地址为172.17.1.2的UDP数据包被新源地址202.169.10.1和新源端口号10243替换,源地址为172.16.1.3的UDP数据包被新源地址202.169.10.1和新源端口号10244替换。R1借用自身GE0/0/0接口低公网IP地址为为所有私网地址做NAT转换,使不同的端口号区分不同私网数据。此方法不需要创建地址池,节省地址空间。



//配置NAT Server,公司内Server提供FTP服务供外网用户访问,配置NAT Server并使用公网IP地址202.169.10.6对外公布服务器地址,然后开启NAT ALG 功能。
//在R1的GE0/0/0接口上,使用 nat server 命令定义内部服务器的映射表,指定服务器通信协议类型为TCP,配置服务器使用的公网IP地址为202.169.10.6,服务器内网地址为172.16.1.3,指定端口号为21,该常用端口号可以直接使用关键字"ftp"代替。
NAT 配置


//开启服务器的FTP服务,创建一个文件。启动
NAT 配置
//R2模拟公网用户访问私网服务器。
NAT 配置

//可以看到公网用户成功访问私网FTP服务器。

相关推荐