NAT是將IP數據報文報頭中的IP地址轉換為另一個IP地址的過程,主要用於實現內部網絡(私有IP地址)訪問外部網絡(公有IP地址)的功能。
1.實驗拓撲
地址表:
1.完成各個接口基本配置之后使用ping命令檢測各直連鏈路的連通性:
2.配置靜態NAT
在 網關路由器AR1上配置訪問外網的默認路由:
由於內網使用的都是私有地址,PC機無法直接訪問公網。需要在網關路由器上配置NAT地址轉換。
給PC1 做靜態NAT地址轉換,即在AR1的g0/0/0 接口下使用nat static命令配置內部地址到外部地址的一對一轉換。配置如下:
在AR1上使用display nat static命令查看NAT靜態配置信息,並在PC1上使用ping命令測試與外網的連通性:
PC1的ping通結果:
然后在g0/0/0接口上抓包查看NAT地址是否轉換成功
AR1 已經把來自PC1的ICMP報文的原地址172.16.1.1轉換成公網202.169.10.5
同樣的,在AR2上使用環回扣loopback 0 模擬外網訪問PC1 的話 ping 202.169.10.5,數據包在經過AR1進入內網的時候,會把目的IP轉換為172.16.1.1 去訪問PC1
3.配置動態NAT,基於地址池一對一映射
1)設置地址組
2)設置ACL規則 rule 5 permit source 172.17.1.0(使用某網段地址) 0.0.0.255(使用反向掩碼)
3)進入與外網相連的接口 使用 nat outbound 2000 address-group 1 no-pat 命令
如下圖所示:
使用172.17.1.0網段的PC2ping 外網:
使用抓包工具發現172.17.1.2被AR1轉變成地址池中的 某一個地址
4.Easy IP 地址轉換
因為Easy ip 地址轉換是NAPT的一種方式,直接借用路由器出接口IP地址作為公網地址,跟動態NAT地址轉換類似實現多對一地址轉換。
因為在AR1 上的g0/0/0接口上使用了IP address group 所以先undo 掉
然后使用nat outbound 命令配置Easy IP特性:
抓包后發現AR1將私網地址直接使用接口IP地址作為nat轉換后的地址:
5.配置NAT服務器
公司內Server提供FTP服務供外網用戶訪問,配置NAT 服務器並使用公網IP地址202.169.10.6對外公布服務器地址,然胡開啟NAT ALG功能。
在AR1上的g0/0/0接口,使用nat server 命令定義內部服務器的映射表,並指定服務器通信協議類型為TCP ,配置服務器使用的公網IP地址為202.169.10.6,服務器內網地址為172.16.1.3,指定端口號 21 (該常用端口號可以直接使用關鍵字“ftp”代替)
配置完成之后,在AR1 上查看NAT Server 信息
開啟服務器的FTP功能(選擇根目錄,啟動服務):
設置完服務器之后,在AR2上模擬公網用戶訪問該私網服務器