NAT(网络地址转换)及配置实验
NAT
一、NAT概述
NAT,全称Network Address Translation,即网络地址转换。
作用:NAT就是进行内外网地址的转换。
二、为什么学习NAT?
1.IPv4地址严重不够用
x.x.x.x
x=0-255 如192.168.1.1
0.0.0.0 — 255.255.255.255
IPv6地址绝对够用:号称世界上每一粒沙尘都可以有IP地址。
2.ISO组织将IPv4地址进行了分类
1)私有IP地址
要求:私有IP地址只能在内网使用,禁止出现在公网上,且可以重复利用。
私有IP地址范围:
10.0.0.0/8
172.16.0.0 – 172.31.0.0 /16
192.168.0.0/16
2)公网IP地址
除私有IP外,全是公网IP地址 。
要求:公网IP地址只能出现在公网
结果:如果某内网需要联网(上网),则必须购买公网IP地址。
3. 内网转换外网地址
内网需要上网时,网关需要进行内外网地址转换,也就是NAT技术。
三、NAT类型
1)静态NAT:1对1静态转换,手工配置;
2)动态NAT:多对一,但不能同时。动态生成转换条目,动态删除转换条目,默认24小时;
3)PAT:实现同时多对一上网,端口地址转换。
四、NAT的配置
1.模拟互联网
模拟互联网的一个功能:不允许转发私有地址的数据。
方法:禁止在公网路由器上配置指向私网的路由。
2.PAT命令
网关路由器上配置PAT:
1)指定PAT内网端口
int f0/0
ip nat inside
exit
2)指定PAT外网端口
int f0/1
ip nat outside
exit
3)定义PAT的内部地址池:(匹配哪些内网的PC允许做地址转换)
conf t
access-list 1 permit 192.168.1.0 0.0.0.255
如添加内部地址池内容:
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.3.0 0.0.0.255
3)定义PAT的内部地址池:(匹配哪些内网的PC允许做地址转换)
conf t
access-list 1 permit 192.168.1.0 0.0.0.255
当添加内部地址池内容后,一定要再做PAT动态映射:
conf t
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.3.0 0.0.0.255
access-list 1 permit 172.16.1.0 0.0.0.255
access-list 1 permit 172.16.2.0 0.0.0.255
4)做PAT动态映射
conf t
ip nat inside source list 1 int f0/1 overload
3.配置静态映射
作用:静态映射的目的是将内网的服务器对外发布。也可以理解为将私网服务器映射到公网上。
命令:
conf t
ip nat inside source static tcp 192.168.1.100 80 100.1.1.1 80
注释:将192.168.1.100的web服务发布到100.1.1.1的80上去,这样,网友可以访问100.1.1.1即可。
端口号范围:0-65535共65536个。0和65535不能使用。
NAT配置实验
要求:
1.配置好IP地址(所有的)
2.配置好路由(禁止公网路由器配置私网路由),此时互联网模拟完毕!
3.验证员工是否可以上网!结果是上不了网!
4.配置PAT
5.再次验证,员工竟然神奇的可以同时上网了!
6.加2台服务器,要求都发布web服务,并要求在外网的PC上可以访问这2个web服务器
一、连线
按实验拓扑图连接设备,不同设备之间用直通线连接,路由器与电脑、路由器之间用交叉线连接。连接好后拓扑图为:
二、配置所有PC的IP及网关
1.PC0
第一台PC配置如下:
2.PC1
第二台PC配置如下:
3.PC2
PC配置如下:
三、给路由器配IP
1.R0
给R0配直连路由,如下:
给R0配置通往公网的默认路由,下一跳地址指向运营商,如下:
2.R1
给R1配直连路由,如下:
给R1配置去公网200.1.1.0的静态路由,如下:
3.R2
给R2配直连路由,如下:
给R2配置去100.1.1.0的静态路由,如下:
四、配置外网服务器(PC3设置为服务器)
PC3配置如下:
五、验证员工能否上网
PC0pingPC3,如图:
PC1pingPC3,如图:
PC2pingPC3,如图:
综上,此时员工无法访问外网。
六、配置PAT
1.配置内网端口
将网关R0的f0/0配置为内网端口,如图:
2.配置外网端口
将R0的f0/1配置为外网端口,如图:
3.定义PAT的内部地址池
即匹配哪些内网的PC允许做地址转换。做地址池1,允许为公司的192.168.1.0网段做地址转换。
4.做PAT动态映射
将内部源地址池1与外网端口动态映射,如图:
七、再次验证员工能否上网
PC0pingPC3,如图:
PC1pingPC3,如图:
PC2pingPC3,如图:
当PC0、PC1、PC2同时使用ping -t 200.1.1.1与PC3通信时,仍然能ping通。如图:
综上,成功配置PAT后,此时内网员工可以同时访问外网。
八、配置web服务器baidu
1.baidu
baidu服务器的IP,如图:
启用HTTP服务,点击保存。
2.jd
jd服务器的IP,如图:
启用HTTP服务,点击保存。
九、配置静态映射(将内网web服务器与公网IP一对一映射)
把web服务器的私网地址映射到公网地址上去,然后把公网身份对外发布,即将192.168.1.100的web服务发布到100.1.1.1的80上去,这样,网友访问100.1.1.1即可。如图:
购买公网地址100.1.1.3,将192.168.1.200的web服务发布到100.1.1.3的80上去,如图:
十、验证外网电脑能否访问web服务器
PC3访问服务器baidu对应的外网地址,如图:
PC3访问服务器jd对应的外网地址,如图:
此时,外网的PC可以访问两个web服务器。