CCNA网络工程师学习进程（10）NAT的配置

 NAT（Network Address Translation，网络地址转换）是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。

    (1)NAT简介:

    在实际应用中，NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，不仅完美地解决了公网lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

在学习配置NAT之前，需要明确两种概念:

内部本地地址：需要访问Internet网络的内网IP地址（私有IP地址），是计算机在内网中的身份标识。内网地址（池）往往使用ACL（Access List）技术指定。
内部全局地址：NAT转换中对应的公网IP地址，是内网中计算机在Internet环境中的外部身份标识。

由于内网中的计算机IP地址是私有IP地址，不能直接用于Internet，故NAT服务相当于给予内网计算机能用于Internet的公网IP地址身份，实现内网计算机与Internet的通信。

NAT类型:

静态NAT(Static Nat)

内部本地地址和内部全局地址是一对一的关系，公网可通过全局地址直接访问对应的内网主机，这种方式主要用于配置内网服务器。

动态NAT(Dynamic Nat)

内部本地地址池对应一个内部全局地址池，本地地址和全局地址之间是多对多的关系（微观上看是一对一的关系）。由于内网IP和公网IP之间的对应不固定，故外网不能访问内网主机。

端口多路复用（Port address Translation,PAT)

也称为NPAT（Network Port address Translation),所有内部本地地址共享同一个内部全局地址，即本地地址和全局地址之间是多对一的关系，内网主机依靠端口来区分，由于端口是随机的，故外网不能直接访问内网，这对内网起到一定保护作用，但可访问内网中绑定固定端口的某台主机或服务器。

(2)静态NAT的配置:

静态NAT将一个特定的内部本地地址(Inside Local Address)静态地映射到一个内部全局地址(Inside Global Address)，这意味着静态NAT中每一个被映射的内部本地地址，一定对应着一个固定而且唯一的内部全局地址。这种方式不但可以让内网设备访问外网，而且还可以让外网直接访问内网设备。

常用的静态NAT配置命令:

示例一:配置静态NAT

步骤一:配置各接口ip地址:

RA:

en
conf t
host RA
int f0/
ip add 192.168.0.254 255.255.255.0
no shut
int s0//
ip add 200.200.10.1 255.255.255.0
no shut
bandwidth
end

RB:

en
conf t
host RB
int s0//
clock rate
bandwidth
ip add 200.200.10.2 255.255.255.0
no shut
int s0//
ip add 200.200.20.2 255.255.255.0
bandwidth
no shut
end

RC:

en
conf t
host RC
int f0/
ip add 100.100.10.254 255.255.255.0
no shut
int s0//
ip add 200.200.20.1 255.255.255.0
clock rate
bandwidth
no shut

步骤二:配置静态路由:

RA:
ip route 200.200.10.0 255.255.255.0 200.200.20.2
ip route 100.100.10.0 255.255.255.0 200.200.10.2
RB:
ip route 100.100.10.0 255.255.255.0 200.200.20.1
ip route 192.168.0.0 255.255.255.0 200.200.10.1
RC:
ip route 200.200.20.0 255.255.255.0 200.200.10.2
ip route 192.168.0.0 255.255.255.0 200.200.10.2

步骤三:配置NAT:

RA:

en
conf t
ip nat inside source static 192.168.0.1 200.200.10.3
int f0/
ip nat inside
int s0//
ip nat outside
end

RC:

en
conf t
ip nat inside source static 100.100.10.1 200.200.20.3
int f0/
ip nat inside
int s0//
ip nat outside
end

测试:

    (3)动态NAT的配置:

动态NAT又称为动态地址翻译(Dynamic Address Translation)，它是将内部本地地址与内部全局地址作一对一的替换。

内部全局地址以地址池的形式供选择，内部本地地址只要符合访问外网的条件，在做地址转换时，就从地址池中动态地选取最小的还没分配的内部全局地址来替换，其转换步骤如下：

()根据可用的内部全局地址范围，建立地址池。
()利用ACL，定义允许访问外网的内部地址范围。
()定义内部地址与地址池之间的转换关系。
()定义内网端口和外网端口。

常用的动态NAT配置命令:

    示例二:配置动态NAT:

步骤一:配置ip地址和路由:

RA:

en
conf t
host RA
int f0/
ip add 192.168.1.254 255.255.255.0
no shut
int s0//
clock rate
bandwidth
ip add 220.220.10.1 255.255.255.0
no shut
exit
ip route 172.16.1.0 255.255.255.0 220.220.10.11
end

RB:

en
conf t
host RB
int f0/
ip add 172.16.1.254 255.255.255.0
no shut
int s0//
bandwidth
ip add 220.220.10.11 255.255.255.0
no shut
exit
ip route 192.168.1.0 255.255.255.0 220.220.10.11
end

步骤二:配置动态NAT:

RA:

en
conf t
ip nat pool p1 220.220.10.2 220.220.10.10 netmask 225.255.255.0
access-list  permit ip 192.168.1.0 0.0.0.255 any
int f0/
ip nat inside
int s0//
ip nat outside
end

RB:

en
conf t
ip nat pool p1 220.220.10.12 220.220.10.20 netmask 225.255.255.0
access-list  permit ip 172.16.1.0 0.0.0.255 any
int f0/
ip nat inside
int s0//
ip nat outside
end

  配置结果:

IP地址转换结果:

问题:如果路由器两边同时配置NAT网络地址转换会出现在串行链路一直循环寻路，找不到目标IP地址。

    (4)NPAT的配置:

NPAT可以用于地址伪装(Address Masquerading)，它可以让多个内网设备使用一个IP地址同时访问外网。

 NPAT的转换步骤如下:

()利用ACL，定义允许访问外网的内部IP地址范围。
()为外网IP地址定义一个地址池名。
()将地址池赋予在第()步中定义的内部IP地址范围，并标明为overload(超载，即PAT)方式。
()定义内网端口和外网端口。

常用的NPAT配置命令:

    示例三:配置NPAT超载:

  

步骤一:配置接口ip和路由(省略)

步骤二:配置NPAT

RA:(用地址池)

en
conf t
access-list  permit ip 192.168.1.0 0.0.0.255 any
ip nat pool p1 200.200.10.2 200.200.10.2 netmask 255.255.255.0
ip nat inside source list  pool p1 overload
int f0/
ip nat inside
int f0/
ip nat outside
end

RA:(用接口)

en
conf t
access-list  permit ip 192.168.1.0 0.0.0.255 any
ip nat inside source list  interface f0/ overload
int f0/
ip nat inside
int f0/
ip nat outside
end

配置结果:

NAT转换的详细信息:

  (5)验证NAT和NPAT的配置:

配置完NAT和NPAT后，可以使用表 8.4中的命令来测试它是否正常工作:

实验文档下载地址:http://files.cnblogs.com/files/MenAngel/NetBlog10.zip