NAT介紹:
早在20世紀90年代初,有關RFC文檔就提出了IP地址耗盡的可能性。IPv6技術的提出雖然可以從根本上解決地址短缺的問題,但是也無法立刻替換現有成熟且廣泛應用的IPv4網絡。既然不能
立即過渡到IPv6網絡,那么必須使用一些技術手段來延長IPv4的壽命,其中廣泛使用的技術之一就是網絡地址轉換(Network Address Translation,NAT)。
NAT是將IP數據報文報頭中的IP地址轉換為另一個IP地址的過程,主要用於實現內部網絡(私有IP地址)訪問外部網絡(公有IP地址)的功能。NAT有3 種類型:靜態NAT、動態地址NAT以及網絡
地址端口轉換NAPT。
NAT轉換設備(實現NAT功能的網絡設備)維護着地址轉換表,所有經過NAT轉換設備並且需要進行地址轉換的報文,都會通過該表做相應轉換。NAT轉換設備處於內部網絡和外部網絡的連接處,
常見的有路由器.防火牆等。
下面我用實驗來介紹一下NAT的相關配置:
實驗目的:
1.理解NAT的應用場景
2.掌握靜態NAT的配置
3.掌握NAT Outbound的配置
4.掌握NAT Easy-IP的配置
5.掌握NAT Server的配:
實驗場景模擬:
本實驗模擬企業網絡場景。R1是公司的出口網關路由器,公司內員工和服務器都通過交換機S1或 S2連接到R1上,R2模擬外網設備與R1直連。由於公司內網都使用私網IP地址,為了實現公司內部分
員工可以訪問外網,服務器可以供外網用戶訪問,網絡管理員需要在路由器R1上配置NAT:使用靜態NAT和 NAT Outbound技術使部分員工可以訪問外網,使用NAT Server技術使服務器可以供外網用戶訪問。
實驗拓撲:
實驗編址:
| 設備 | 接口 | IP地址 | 子網掩碼 | 默認網關 |
| R1(AR2200) | GE0/0/0 | 202.169.10.1 | 255.255.255.0 | N/A |
| GE0/0/1 | 192.168.1.254 | 255.255.255.0 | N/A | |
| GE0/0/2 | 192.168.2.254 | 255.255.255.0 | N/A | |
| R2(AR2200) | GE0/0/0 | 202.169.10.2 | 255.255.255.0 | N/A |
| Loopback0 | 202.169.20.1 | 255.255.255.0 | N/A | |
| PC-1 | Ethernet0/0/1 | 192.168.1.1 | 255.255.255.0 | 192.168.1.254 |
| PC-2 | Ethernet0/0/1 | 192.168.2.2 | 255.255.255.0 | 192.168.2.254 |
| PC-3 | Ethernet0/0/1 | 192.168.2.3 | 255.255.255.0 | 192.168.2.254 |
| Server | Ethernet0/0/0 | 192.168.1.2 | 255.255.255.0 | 192.168.1.254 |
實驗步驟:
1. 基本配置
根據實驗編址表進行相應的基木配置,並使用ping命令檢測各直連鏈路的連通性。
2. 配置靜態NAT
在網關路由器R1上配置訪問外網的默認路由。
由於內網使用的都是私有IP地址,無法直接訪問公網。現需要在網關路由器
R1上配置NAT地址轉換,將私網地址轉換為公網地址。
PC-1不僅需要自身能訪問外網,還需要外網用戶也能夠直
接訪問他,分配了一個公網IP地址202.169.10.5給 PC-1做靜態NAT地址轉
換。在 R1的GE 0/0/0接口下使用nat static命令配置內部地址到外部地址的一對一轉換。
配置完成后,在 R1上查看NAT靜態配置信息,並在PC-1上使用ping命令測試與 外網的連通性。
可以觀察到,PC-1通過靜態N AT地址轉換己經可以成功訪問外網。在路由器R1
的GE 0/0/0接口上抓包査看NAT地址轉換是否成功
可以觀察到R1已經成功把來自PC-1的ICMP報文的源地址192.168.1.1轉換成公網地
址202.169.10.5.在R2上使用環回口 Loopback 0 模擬外網用戶訪問PC-1,並在PC-1的E 0/0/1
接口上抓包觀察
可以觀察到由於PC-1的私網地址被轉換為唯一的公網地址,外網用戶也能主動訪
問 PC -1,且數據包在經過R1進入內網的時候,R1把目的 IP 轉換為與公網地址
202.169.10.5對應的私網地址172.16.1.1發給PC-1。
3. 配置 NAT Outbound
PC-2,PC-3也需要訪問外網它們使用私網IP地址192.168.2.0/24 網
段,網絡管理員使用公網地址池202.169.10.50〜202.169.10.60為市場部員工做NAT轉換。
在 R1上使用nat addres-group命令配置NAT地址池,設置起始和結束地址分別為
202.169.10.50 和 202.169.10.60.
創建基本ACL2000,匹配20.1.1.0,掩碼為24位的地址段。
在 GE 0/0/0 接口下使用nat outbound命令將ACL 2001與地址池相關聯,使得ACL
中規定的地址可以使用地址池進行地址轉換。
配置完成后,在 R1上查看NAT Outbound信息。
可以觀察到R1上的NAT Outbound配置信息。使用PC-2測試與外網的連通性,並在R1的接口 GE 0/0/0上抓包觀察地址轉換情況。
可以觀察到PC-2可以成功訪問外網,且通過抓包分析,來自PC-2的1CMP數據包
在 R1的GE 0/0/0接口上源地址192.168.2.2被替換為地址池中第一個地址202.169.10.50。
4 . 配置 NAT Easy-IP
由於公司發展人員擴招,若繼續使用多對多的NAT轉換方式,就必須增加公網地址 池的地址數。為了節約公網地址,網絡管理員使用多對一的Easy-IP轉換方式實現市場部員工訪問外網的需求
Easy-IP是NAPT的一種方式,直接借用路由器出接口 IP 地址作為公網地址,將不同的內部地址映射到同一公有地址的不同端口號上,實現多對一地址轉換。網絡管理員 配置路由器R 1的GE 0/0/0接口為Easy-IP接口。
在 R 1的GE 0/0/0接口上刪除NAT Outbound配置,並使用nat outbound命令配置
Easy-IP特性,直接使用接口 IP地址作為NAT轉換后的地址。
配置完成后,在 PC-2和 PC-3上使用UDP發包工具發送UDP數據包到公網地址
202.169.20.1,配置好目的IP 和UDP源、目的端口號后,輸入字符串數據后單擊“發送”
按鈕。
在 PC-2和 PC-3發送UDP數據包后,在 R1上査看NAT Session的詳細信息。
可以觀察到,源地址為192.168.2.2的UDP數據包被新源地址202.169.10.1和新源端口號10240替換,,源地址為192.168.2.3
的UDP數據包被新源地址202.169.10.1和新源端口號10241替換。R1借用自身GE 0/0/0接口的公網IP地址為所有私網地址做NAT轉換,
使用不同的端口號區分不同私網數據。此方式不需要創建地址池,大大節省了地址空間。
5 . 配置 NAT Server
公司內Server提供FTP服務供外網用戶訪問,配置NAT Server並使用公網IP地址 202.169.10.6對外公布服務器地址,然后開啟NAT ALG功能。因為對於封裝在IP數據
報文中的應用層協議報文,正常的NAT轉換會導致錯誤,在開啟某應用協議的NATALG功能后,該應用協議報文可以正常進行NAT轉換,否則該應用協議不能正常工作。
在R1的GE 0/0/0接口上,使用nat server命令定義內部服務器的映射表,指定服 務器通信協議類型為T C P,配置服務器使用的公網IP地址為202.169.10.6,服務器內網
地址為172.16.1.3,指定端口號為2 1 ,該常用端口號可以直接使用關鍵字“ftp"代替。
配置完成后,在R l上査看NAT Server信息。
可以觀察到,配置已經生效,並開啟服務器的FTP功能,如圖14・19所示。
設置完服務器后,在 R2上模擬公網用戶訪問該私網服務器。
可以觀察到,公網用戶可以成功登錄公司內的私網FTP服務器。
做完實驗后save命令保存配置
