NAT的作用:缓解IP地址耗尽的速度NAT操作过程:1、接受数据2、根据转换关系表转换IP,并将转换关系保存到内存3、转发数据4、返回数据NAT基本术语内部局部地址:被转换得内部地址(一般是企业内部的私有IP)内部全局地址:被转换后的外部地址(一般是企业所拥有的公网IP)外部局部地址:外部主机被转换的内部地址(相当于内部局部地址)外部全局地址:外部主机转换后的地址(相当于内部全局地址)NAT分类:大类是分静态和动态两种。1、静态NAT,即一对一的地址映射。通常用在企业需要向外提供服务的服务器,如WebServer和FTPServer向外的转换。2、网段对网段的映射,即一个网段整体影射成另一个网段。通常用在通信双方地址发生冲突的情况,或者需要隐藏真实地址的情况。3、动态端口映射(PAT),多个地址对应一个地址的动态映射。最常见的是企业访问Internet时,整个公司共用同一个公网IP地址的场合。4、静态端口映射(PAR),多个地址静态映射为同一个地址,端口固定。最常见的是同一个公网IP地址不同的端口提供不同服务,对应企业内部不同的服务器,如Web、Mail、FTP等可以使用同一个公网IP地址,80对应Web,8000(举例)对应Mail,20、21对应FTP。一.NA简介NAT(NetworkAddressTranslation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。二、关于NAT的几个概念:1、内部本地地址(InsideLocalAddress)分配给内部网络中的PC机的私有IP地址,一般都是我们常见的10.0.0.0/172.16.0.0/192.168.0.02、内部全局地址(InsideGlobalAddress)对外进行IP通信时,代表一个或多个内部本地地址的合法IP地址3、外部本地地址(OutsideLocalAddress)由主机的拥有者分配给在外部网上的主机的IP地址.该地址不一定是属于合法的IP地址,但一定是可以路由的IP地址.4、外部全局地址(outsideglobaladdress)外部网络使用的地址.它是一个公有的IP地址三、优点与缺点1、节省IP。有了NAT技术,我们可以让一个企业内部的PC机共用少量的公网IP来连上Internet,而不需要为每一台PC都申请一个IP。这样做太浪费了,大家都知道,私有地址是不能在公网上路由的,如果要想拿到公网IP,有一个办法就是花钱申请,对外部网络屏蔽了内部的网络拓扑。2、内部网络中的PC机和外部通信的时候,在边缘经过NAT转换才把数据包交出去,速度上会稍微慢一些实验一:配置静态NAT用途:可以把企业内某一台服务器或计算机内部IP地址单独映射到外网地址,使其可以对外提供服务。拓扑如下:具体配置:R1:RouterenRouter#conftRouter(config)#hostnameR1R1(config)#interfacef0/0R1(config-if)#ipaddress192.168.1.254255.255.255.0R1(config-if)#noshR1(config-if)#exitR1(config)#interfacef0/1R1(config-if)#ipaddress218.87.18.23255.255.255.0R1(config-if)#noshR1(config-if)#exitR1(config)#ipnatinsidesourcestatic192.168.1.1218.87.18.23--这条语句说明把内部本地地址192.168.1.1静态映射内部全局地址218.87.18.23(也就是下面那台PC的地址)R1(config)#interfacef0/0R1(config-if)#ipnatinside--使用NAT标识内部接口R1(config-if)#interfacef0/1R1(config-if)#ipnatoutside--使用NAT标识外部接口R1(config-if)#endR1#ISP:RouterenRouter#conftRouter(config)#hostnameISPISP(config)#interfacef0/1ISP(config-if)#ipaddress218.87.18.24255.255.255.0ISP(config-if)#noshISP(config-if)#endISP#验证在PC拼ISP:PCping218.87.18.24Pinging218.87.18.24with32bytesofdata:Replyfrom218.87.18.24:bytes=32time=73msTTL=254Replyfrom218.87.18.24:bytes=32time=41msTTL=254Replyfrom218.87.18.24:bytes=32time=36msTTL=254Replyfrom218.87.18.24:bytes=32time=39msTTL=254Pingstatisticsfor218.87.18.24:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=36ms,Maximum=73ms,Average=47msPC查看NAT转换表:R1#showipnattranslations/协议/内部全局地址/内部本地地址/外部全局地址ProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp218.87.18.23:3192.168.1.1:3218.87.18.24:3218.87.18.24:3icmp218.87.18.23:4192.168.1.1:4218.87.18.24:4218.87.18.24:4icmp218.87.18.23:5192.168.1.1:5218.87.18.24:5218.87.18.24:5icmp218.87.18.23:6192.168.1.1:6218.87.18.24:6218.87.18.24:6---218.87.18.23192.168.1.1------R1#实验二:配置动态NAT用途:如果企业当中向服务提供商申请了多个或者一串公网地址,使企业内成员都能访问因特网或者提供服务拓扑如下:具体配置:R1:RouterRouterenRouter#conftRouter(config)#hostnameR1R1(config)#interfacef0/0R1(config-if)#ipaddress192.168.1.254255.255.255.0R1(config-if)#noshR1(config-if)#intf0/1R1(config-if)#ipaddress218.87.18.23255.255.255.0R1(config-if)#noshR1(config-if)#exitR1(config)#access-list1permit192.168.1.00.0.0.255--定义允许的流量R1(config)#ipnatpoollab218.87.18.21218.87.18.23netmask255.255.255.0--定义名为lab的公网IP地址池,范围为:218.87.18.21–218.87.18.23R1(config)#ipnatinsidesourcelist1poollaboverload--定义允许访问控制列表1的流量从lab地址池中转发出去,overload表示多路复用R1(config)#interfacef0/0R1(config-if)#ipnatinside--使用NAT标识内部接口R1(config-if)#interfacef0/1--使用NAT标识外部接口R1(config-if)#ipnatoutsideR1(config-if)#endR1#ISP:RouterenRouter#conftRouter(config)#hostnameISPISP(config)#interfacef0/1ISP(config-if)#ipaddress218.87.18.24255.255.255.0ISP(config-if)#noshISP(config-if)#endISP#验证在PC拼ISP:PCping218.87.18.24Pinging218.87.18.24with32bytesofdata:Replyfrom218.87.18.24:bytes=32time=53msTTL=254Replyfrom218.87.18.24:bytes=32time=21msTTL=254Replyfrom218.87.18.24:bytes=32time=36msTTL=254Replyfrom218.87.18.24:bytes=32time=39msTTL=254Pingstatisticsfor218.87.18.24:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=36ms,Maximum=73ms,Average=47msPC查看NAT转换表:R1#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp218.87.18.21:30192.168.1.1:30218.87.18.24:30218.87.18.24:30icmp218.87.18.21:31192.168.1.1:31218.87.18.24:31218.87.18.24:31icmp218.87.18.21:32192.168.1.1:32218.87.18.24:32218.87.18.24:32icmp218.87.18.21:33192.168.1.1:33218.87.18.24:33218.87.18.24:33icmp218.87.18.21:34192.168.1.1:34218.87.18.24:34218.87.18.24:34icmp218.87.18.21:35192.168.1.1:35218.87.18.24:35218.87.18.24:35icmp218.87.18.21:36192.168.1.1:36218.87.18.24:36218.87.18.24:36R1#注:由于下面只有一台PC,从以上表中不能看出所有的公网IP都被使用,大家用实验时可以下面挂两台或多台计算机.实验三:配置PAT(端口地址转换)----拓扑为实验一拓扑用途:这种方式是最普遍,也是最常用的方法,当企业仅只有申请了一个公网IP地址的情况下,我们可以使用PAT方式来实现企业内部能够访问因特网.具体配置:R1:RouterRouterenRouter#conftRouter(config)#hostnameR1R1(config)#interfacef0/0R1(config-if)#ipaddress192.168.1.254255.255.255.0R1(config-if)#noshR1(config-if)#intf0/1R1(config-if)#ipaddress218.87.18.23255.255.255.0R1(config-if)#noshR1(config-if)#exitR1(c