1、NAT概述：NAT即網絡地址翻譯 為什么要使用NAT：          隨著Internet的飛速發展，網上豐富的資源產生著巨大的吸引力          接入Internet成為當今信息業最為迫切的需求          但這受到IP地址的許多限制          首先，許多局域網在未聯入Interne

2、t之前，就已經運行許多年了，局域網上有了許多現成的資源和應用程序，但它的IP地址分配不符合Internet的國際標準，因而需要重新分配局域網的IP地址，這無疑是 勞神費時的工作          其二，隨著Internet的膨脹式發展，其可用的IP地址越來越少，要想在ISP處申請一個新的IP地址已不是很容易的事了NAT是如何解決問題的：          它解決問題的辦法是：在內部網絡中使用內部地址，通過NAT把內部地址翻譯成合法的IP地址，在I

3、nternet上使用          其具體的做法是把IP包內的地址池（內部本地）用合法的IP地址段（內部全局）來替換NAT三種類型          NAT有三種類型：靜態NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。          其中靜態NAT設置起來最為簡單，內部網絡中的每個主機都被永久映射成 外部網絡中的某個合法的地址,多用

4、于服務器。          而NAT池則是在外部網絡中定義了一系列的合法地址，采用動態分配的方法映射到內部網絡,多用于網絡中的工作站。          PAT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。今天我們來配置靜態NAT和動態NAT首先從比較簡單的靜態NAT開始吧!試驗拓撲圖如下：拓撲介紹：R1 和 R2 分別是企業的邊界路由器。R1的外網接口S0/0的IP為192.168.2.1，內網接口F1/0的IP為192.168.1.2。R1

5、的內網計算機pc1的ip地址為192.168.1.1。R2的外網接口S0/0的IP為192.168.2.2，內網接口F1/0的IP為192.168.3.1。R2的內網計算機pc2的ip地址為192.168.3.2。試驗目的：通過配置靜態NAT，把R1內pc1的內網ip地址192.168.1.1轉換為公網ip 192.168.2.6。把R2內pc2的內網ip地址192.168.3.2轉換為公網ip 192.168.2.9。最終實現192.168.1.1 能ping通192.168.2.9   ping192.168.3.2 則失敗192.168.3.2能ping通192.16

6、8.2.6   ping192.168.1.1 則失敗。上述現象的原因是從外網到內網建立靜態映射后，外網能PING通內部全局地址,如果使用真實地址，則訪問失敗，這是因為從外網沒有到達內網的路由存在！試驗開始：R1Router>enRouter#conf tEnter configuration commands, one per line.  End with CNTL/Z.Router(config)#host r1r1(config)#int f1/0r1(config-if)#ip addr 192.168.1.2 255.255.255.0

7、r1(config-if)#no shutr1(config-if)#ip nat inside                             指定內部接口r1(config-if)#int s0/0r1(config-if)#ip addr 192.168.2.1 255.255.255.0r1(config-if)#ip nat outside    

8、                       指定外部接口r1(config-if)#exitr1(config)#ip nat inside source static 192.168.1.1 192.168.2.6建立兩個ip地址之間的靜態映射r1(config)#exitRouter>enRouter#conf tEnter configuration commands, one per line.  End wi

9、th CNTL/Z.Router(config)#host r2r2(config)#int f1/0r2(config-if)#ip addr 192.168.3.1 255.255.255.0r2(config-if)#no shutr2(config-if)#ip nat inside                             指定內部接口r2(config-if)#int s

10、0/0r2(config-if)#ip addr 192.168.2.2 255.255.255.0r2(config-if)#no shutr2(config-if)#ip nat outside                            指定外部接口r2(config-if)#exitr2(config)#ip nat inside source static 192.168.3.2 192.168.

11、2.9建立兩個ip地址之間的靜態映射r2(config)#exit配置完成，現在開始驗證：VPCS 1 >ping 192.168.2.9192.168.2.9 icmp_seq=1 time=345.000 ms192.168.2.9 icmp_seq=2 time=390.000 ms192.168.2.9 icmp_seq=3 time=208.000 ms192.168.2.9 icmp_seq=4 time=190.000 ms192.168.2.9 icmp_seq=5 time=234.000 msVPCS 1 >ping 192.168.3.2192.168.3.2

12、 icmp_seq=1 timeout192.168.3.2 icmp_seq=2 timeout192.168.3.2 icmp_seq=3 timeout192.168.3.2 icmp_seq=4 timeout192.168.3.2 icmp_seq=5 timeoutVPCS 2 >ping 192.168.2.6192.168.2.6 icmp_seq=1 time=613.000 ms192.168.2.6 icmp_seq=2 time=256.000 ms192.168.2.6 icmp_seq=3 time=412.000 ms192.168.2.6 icmp_seq

13、=4 time=216.000 ms192.168.2.6 icmp_seq=5 time=155.000 msVPCS 2 >ping 192.168.1.1192.168.1.1 icmp_seq=1 timeout192.168.1.1 icmp_seq=2 timeout192.168.1.1 icmp_seq=3 timeout192.168.1.1 icmp_seq=4 timeout192.168.1.1 icmp_seq=5 timeout192.168.1.1 能ping通192.168.2.9   ping192.168.3.2 則失敗192.16

14、8.3.2能ping通192.168.2.6   ping192.168.1.1 則失敗。驗證結果和試驗要求一致，試驗成功！接下來我們來配置動態NAT試驗拓撲圖如下拓撲介紹：R1 和 R2 分別是企業的邊界路由器。R1的外網接口S0/0的IP為192.168.2.1，內網接口F1/0的IP為192.168.1.2。R1的內網計算機pc1的ip地址為192.168.1.6。pc2的ip地址為192.168.1.7。pc3的ip地址為192.168.1.8。R2的外網接口S0/0的IP為192.168.2.2，內網接口F1/0的IP為192.168.3.1。R2的內網計算機pc

15、4的ip地址為192.168.3.6。pc5的ip地址為192.168.3.7。pc6的ip地址為192.168.3.8。兩個交換機都不做任何配置。試驗目的：通過完成動態NAT的配置，把R1內的內網ip地址轉換為公網ip。公網ip地址池為（192.168.2.11-192.168.2.14）把R2內的內網ip地址轉換為公網ip。公網ip地址池為（192.168.2.15-192.168.2.18）試驗開始：R1Router>enRouter#conf tRouter(config)#host r1mmands, one per line.  End with CNTL

16、/Z.r1(config)#int f1/0r1(config-if)#ip addr 192.168.1.2 255.255.255.0r1(config-if)#ip nat inside       指定內部接口r1(config-if)#no shutr1(config-if)#exitr1(config)#int s0/0r1(config-if)#ip addr 192.168.2.1 255.255.255.0r1(config-if)#ip nat outside     指定外部接口r1(conf

17、ig-if)#no shutr1(config-if)#exitr1(config)#ip nat pool name1 192.168.2.11 192.168.2.14 netmask 255.255.255.0定義全局地址池r1(config)#access-list 1 permit 192.168.1.0 0.0.0.255通過標準訪問控制列表定義內部網絡的上網條件r1(config)#ip nat inside source list 1 pool name1建立全局地址池和標準訪問控制列表之間的映射關系r1(config)#exitR2Router&

18、gt;enRouter#conf tEnter configuration commands, one per line.  End with CNTL/Z.Router(config)#host r2r2(config)#int f1/0r2(config-if)#ip addr 192.168.3.1 255.255.255.0r2(config-if)#ip nat inside      定義內部接口r2(config-if)#no shutr2(config-if)#exitr2(config)#int s0/0r2(con

19、fig-if)#ip addr 192.168.2.2 255.255.255.0r2(config-if)#ip nat outside     定義外部接口r2(config-if)#no shutr2(config-if)#exitr2(config)#ip nat pool name2 192.168.2.15 192.168.2.18 netmask 255.255.255.0定義全局地址池r2(config)#access-list 2 permit 192.168.3.0 0.0.0.255通過標準訪問控制列表定義內部網

20、絡的上網條件r2(config)#ip nat inside source list 2 pool name2建立全局地址池和標準訪問控制列表之間的映射關系r2(config)#exit配置完成，開始驗證。在R1 R2上show ip nat translations查看NAT地址轉換表R1r1#show ip nat translationsPro Inside global      Inside local       Outside local      O

21、utside global- 192.168.2.11       192.168.1.6        -                - 192.168.2.12       192.168.1.7        -         

22、       - 192.168.2.13       192.168.1.8        -                -R2r2#show ip nat translationsPro Inside global      Inside local       Outs

23、ide local      Outside global- 192.168.2.15       192.168.3.6        -                - 192.168.2.16       192.168.3.7        -

24、60;               - 192.168.2.17       192.168.3.8        -                -查看結果表明R1 R2的內部ip地址都轉換成了外網地址。以pc1為例，在pc1上ping R2內的內網地址都不能通訊。根據NAT地址轉換表，pc 1 

25、; ping R2內網地址相應的外網ip則能通訊。VPCS 1 >ping 192.168.3.6192.168.3.6 icmp_seq=1 timeout192.168.3.6 icmp_seq=2 timeout192.168.3.6 icmp_seq=3 timeout192.168.3.6 icmp_seq=4 timeout192.168.3.6 icmp_seq=5 timeoutVPCS 1 >ping 192.168.3.7192.168.3.7 icmp_seq=1 timeout192.168.3.7 icmp_seq=2 timeout192.168.3.7 icmp_seq=3 timeout192.168.3.7 icmp_seq=4 timeout192.168.3.7 icmp_seq=5 timeoutVPCS 1 >ping 1