思科模拟器配置-NAT 概念与实训

一. NAT概述

NAT（Network Address Translation，网络地址转换）
NAT将企业私网IP地址转换成全球唯一公网IP地址，使内部网络可以连接到Internet等外部网络上，不仅解决了公网IP地址的不足，而且还能够隐藏内部网络的细节，避免来自外部网络的攻击，起到一定的安全作用。

1. NAT相关术语

内部本地（Inside local）地址：分配给内部网络中主机的地址，通常是私有地址。
内部全局（Inside global）地址：对外代表一个或多个内部本地地址，通常是公有地址。
外部全局（Outside global）地址：外部网络中的主机的真实地址。
外部本地（Outside local）地址：在内部网络中看到的外部主机的地址。

2. NAT表

当内部网络有多台主机访问Internet上的多个目的主机时，NAT设备必须记住内部网络中的哪一台主机访问Internet上的哪一台主机，以防止在NAT时将不同的连接混淆，所以NAT设备会为NAT的众多连接建立一个表，即NAT表 。

3. NAT设备

路由器，防火墙，各种软件（proxy，ISA，ICS，sysgate等），操作系统（winserver，centos等）均支持NET，大部分三层交换机不具备NET功能。

4. NAT功能

• 转换内部地址
• 过载内部全局地址
• TCP负载均衡
• 处理重叠网络

二. NAT分类

1. 按ip地址转换类型分

SNAT：是改变内部网发出数据分组的源地址，对返回的数据分组则应改变其目的地址，以实现内网主机对Internet的访问。
DNAT：是改变从外网来的数据分组的目的地址，对于返回的数据分组则改变其源地址，以实现对内网主机的访问。
SNAT工作过程

2. 按实现方式分类

• 静态NAT
  是指将一个私网地址和一个公网地址做一对一映射；或将特定私网地址及TCP或UDP端口号和特定公网地址及TCP或UDP端口号做一对一映射:或定义整个网段的静态转换。
  静态NAT本质上是一对一的转换方式，对于内网的机器要被外网访问时是非常有用的，但是不能起到节省IP地址的作用。

• 动态NAT
  Pool NAT：执行本地地址与全局地址的一对一转换，但全局地址与本地地址的对应关系不是一成不变的，它是从内部全局地址池（Pool）中动态地选择一个未使用的地址对内部本地地址进行转换。

3. 动态NAT端口复用重载技术

Port NAT转换又称端口复用动态地址转换或NAT重载，是改变外出数据包的源IP地址和源端口并进行端口转换 。
通过NAT实现方式可以看出，动态NAT只能实现由内部网络终端发起和Internet中某个终端建立的单向会话，如果发起建立会话的终端来自于Internet，NAT设备无法获得内部网络中终端的合法公网IP地址，因而无法向内部网络中的终端发送IP分组。因此要实现双向会话，应使用静态NAT方式。

三. NAT优缺点

1. 优点

提供了节省注册IP地址的解决方案。
隐藏了内部网络的地址，提高了内部网络的安全性。
解决了地址重复使用的问题。

2. 缺点

增加了网络延时 。
与某些应用不兼容。
失去对端到端的全面支持。
虽然NAT技术得到了广泛应用，但它是一把双刃剑，在带来节省IP地址空间等好处的同时，破坏了Internet最基本的“端到端的透明性”设计理念，增加了网络的复杂性，也阻碍了某些业务的应用。长远看来，NAT仍是一种权宜之计，向IPv6迈进才是根本的解决之道，也是大势所趋。

四. NAT 配置思路

• 配置接口及路由
• 定义NAT设置内外口
• 定义NAT地址池
• 定义转换方法及转换关联
  NAT涉及三个转换：ip nat inside source（转换内部主机的源IP）、ip nat inside destination （转换内部主机的目标IP）、ip nat outside source（转换外部主机的源IP）。ip nat outside source一般和ip nat inside source 一同使用，主要解决地址重叠问题，即双向NAT。ip nat inside destination，是由外部流量发起，是一种实现内部全局向内部本地转换，只有TCP流量才会转换，ping 流量是不会触发NAT的Destination转换的，主要用于服务器负载均衡。

NAT 实训

配置要求：
1、设置好各路由器和主机的IP地址，并将三个路由器都启用RIP协议，
除192.168.0.0网段外，其他网络都加入RIP。
2、设置R0内网192.168.0.0网段的PORT NAT，并做静态地址端口转换，将服务器的80端口映射到路由器外部接口的80端口。
3、设置R0内网192.168.0.0网段的PORT NAT，
最后检测内网能否连通外网PC，外网是否只能访问内网服务器。

1 略

R0

R0(config)#interface gigabitEthernet 0/0/0
R0(config-if)#ip nat inside
R0(config-if)#exit
R0(config)#interface gigabitEthernet 0/0/1
R0(config-if)#ip nat outside 
R0(config-if)#exit
R0(config)#access-list 1 permit 192.168.0.0 0.0.0.255 
R0(config)#ip nat inside source list 1 interface gigabitEthernet 0/0/1
R0(config)#exit
R0(config)#ip nat inside source static tcp 192.168.0.8 80 172.0.0.1 80
R0(config)#ip nat pool abc 172.0.0.1 172.0.0.1 netmask 255.255.0.0