NAT网络地址转换

作用：

将私有地址转化为公有地址，实现网络的访问

实现方式：

静态转换：Static Translation

动态转换：Dynamic Translation

端口多路复用：Port Address Translation（PAT）（端口号：0-65535）

优点：

节省公有合法IP地址

处理地址重叠

增强灵活性

安全性

缺点：

延迟增大

配置和维护的复杂性

不支持某些应用，可以通过静态NAT映射来避免

配置步骤：

决定采用什么公有地址，静态地址

-ip nat pool pool-name star-ip {natmask netmask | prefix-length prefix-length} type rotary

指定地址转换映射：

-ip nat inside source static local-ip global-ip extendable

-ip nat inside source list access-list-number pool pool-name overload

常用命令：

查看NAT转换条目

-show ip nat translations verbose

查看NAT统计信息

-show ip nat statistics

清除NAT转换列表中的所有条目（静态NAT条目不会被清除）

-clear ip nat translation*

实验一：将PC0、PC1转换成公有地址（静态转换），实现其与Server0的通讯

1. 配置PC机及服务器的IP地址

①PC0：

② PC1:

③Server0:

2.配置路由器接口IP（R0）

①内网：

Router>enable 
Router#configure terminal 
Router(config)#interface f0/0
Router(config-if)#ip address 192.168.100.1 255.255.255.0
Router(config-if)#no shutdown 

②外网：

Router(config-if)#exit 
Router(config)#interface f0/1
Router(config-if)#ip address 61.159.62.110 255.0.0.0
Router(config-if)#no shutdown 

3.配置NAT（静态转换）

Router(config)#ip nat inside source static 192.168.100.2 61.159.62.131   
Router(config)#ip nat inside source static 192.168.100.3 61.159.62.132

4.应用到接口

①内部：

Router(config)#interface f0/0                    切换到内网接口
Router(config-if)#ip nat inside                  将当前接口标记为内部接口       
Router(config-if)#exit                           退出到全局模式

②外部：

Router(config)#interface f0/1                    切换接口
Router(config-if)#ip nat outside                 将此接口标记为外部接口
Router(config-if)#exit                           退出到全局模式

5.查看NAT转换表

Router#show ip nat translations  查看NAT转换表

6.检查是否能够通讯

实验二：将PC0、PC1转换成公有地址（动态转换），实现其与Server1的通讯

1.配置PC机及服务器的IP地址

①PC0

②PC1

③Server1

2.配置路由器接口IP地址

①R1

Router>enable 
Router#configure terminal 
Router(config)#interface f0/0
Router(config-if)#ip address 192.168.100.1 255.255.255.0
Router(config-if)#no shutdown 
Router(config-if)#exit 
Router(config)#interface f0/1
Router(config-if)#ip address 61.159.62.110 255.0.0.0
Router(config-if)#no shutdown 
Router(config-if)#exit 

PS：也可以直接使用上个实验配置好的R0，删除已配置的静态NAT

Router(config)#no ip nat inside source static 192.168.100.2 61.159.62.131   
Router(config)#no ip nat inside source static 192.168.100.3 61.159.62.132

②R2

Router>enable                                                     进入全局模式
Router(config)#interface f0/0                                     切换接口
Router(config-if)#ip address 61.159.62.135 255.0.0.0              设置接口IP
Router(config-if)#no shutdown                                     开启接口
Router(config-if)#exit                                            退出到全局模式
Router(config)#interface f0/1                                     切换接口
Router(config-if)#ip address 10.0.0.1 255.0.0.0                   设置此接口IP
Router(config-if)#no shutdown                                     开启接口
Router(config-if)#exit                                            退出到全局模式
Router(config)#router rip                                         开启rip                
Router(config-router)#network 61.159.62.0                         公布网段
Router(config-router)#exit                                        退出

PS：RIP公布网段时只公布外网地址

3.配置NAT（动态转换）地址池

Router(config)#ip nat pool yxc 61.159.62.10 61.159.62.200 netmask 255.0.0.0

4.应用到接口

Router(config)#interface f0/0
Router(config-if)#ip nat inside 
Router(config-if)#exit
Router(config)#interface f0/1
Router(config-if)#ip nat outside 
Router(config-if)#exit

5.设置ACL并应用到内部接口

Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255
Router(config)#ip nat inside source list 1 pool yxc

6.测试

实验三：在实验二的top图中修改

1.将图中所有PC机转换成公有地址（PAT），实现其与Server1的通讯

（1）配置R1新增接口

Router(config)#interface f1/0
Router(config-if)#ip address 20.0.0.1 255.0.0.0
Router(config-if)#no shutdown 

（2）重新配置NAT（PAT）

①删除原有配置

Router(config)#no ip nat inside source list 1 pool yxc                          删除nat应用
Router(config)#no ip nat pool yxc 61.159.62.10 61.159.62.200 netmask 255.0.0.0   删除地址池

②检查是否删除

Router#show ip nat statistics 

③重新配置nat（PAT）地址池

Router(config)#ip nat pool yxc 61.159.62.110 61.159.62.110 netmask 255.0.0.0  配置地址池

④创建ACL并应用到inside接口

Router(config)#interface f1/0                                         切换端口
Router(config-if)#ip nat inside                                       设置为内网接口
Router(config-if)#exit                                                退出                     
Router(config)#access-list 1 permit 20.0.0.0 0.255.255.255            设置ACE

Router(config)#ip nat inside source list 1 pool yxc overload                  应用到内网
Router(config)#exit                                                           退出

PS：允许192.168.100.0网段通过的ACL已在实验2中配置过，不需要重复配置

⑤检查是否配置成功

Router#show ip nat statistics 

2.S2服务器使用DHCP自动分配20.0.0.0网段地址

①配置S2服务器

②验证是否生效

3.使用ACL要求只有192.168.100.2能远程登录路由器

（1）配置ACL

①标准ACL

Router(config)#access-list 2 permit 192.168.100.2            配置标准ACL只允许100.2通过
Router(config)#access-list 2 deny any                        拒绝所有

②拓展ACL

	access-list 101 permit tcp host 192.168.100.2 any eq 80

（2）路由器配置VTY（所有路由器都要配置）

Router(config)#line vty 0 4                    设置vty
Router(config-line)#password 123.com           设置登录密码
Router(config-line)#login                      启用
Router(config-line)#access-class 2 in          在in接口使用标准ACL2

（3）验证是否设置成功

①地址为192.168.100.2的PC机

②地址为其他的PC机

4.其他内网环境能访问FTP服务器（Sever2）

①配置S2服务器

②验证是否能使用FTP服务

C:\>ftp 20.0.0.4                 使用ftp访问20.0.0.4服务器
ftp>dir                          查看文件