网络地址转换（NAT）(二)

前言

在本章将会学习 NAT 的配置，在学习前可以先回顾一下网络地址转换（NAT）(一)。

本章重点：理解 NAT 的工作过程，会配置 NAT，会分析并排查各类 NAT 故障。一.NAT 的配置

在配置 NAT 过程之前，首先必须弄清楚内部接口和外部接口，以及在那个外部接口上启用 NAT。通常情况下，连接到用户内部网络的接口是 NAT 内部接口，而连接到外部网络（如互联网）的接口是 NAT 外部接口。

1.NAT 静态配置

（1）静态 nat 配置步骤:

     第一步  配置接口地址 
     int f0/1
     ip add                                             
     第二步  配置静态地址转换
     ip  nat  inside  source  static  内部私有地址     转换之后的公网地址

（二）下面将通过示例说明 NAT 静态的配置：

NAT 静态转换网络结构示意图

①公司内部局域网使用的 ip 地址范围为 192.168.100.2—192.168.100.254

②路由器局域网端口 （默认网关）的 ip 地址是 192.168.100.1，子网掩码 255.255.255.0

③公司从运营商处获得的合法 IP 地址范围是 61.159.62.128—61.159.62.135.

④路由器在广域网的地址是 61.159.62.130，子网掩码是 255.255.255.248o

⑤可用于地址转换的地址范围是 61.159.62.131—61.159.62.134.

NAT 静态转换示意图

 要求：公司希望ip 地址的范围为192.168.100.2—192.168.100.3 的两台主机既能访问internet又能被外部网络访问，并且转换为合法的外部地址的范围为61.159.62.131—61.159.62.132.

具体步骤如下：

（1）设置外部端口的 IP 地址：

router（config）#int f0/0

router（config-if) # ip add 61.159.62.130 255.255.255.248

router (config-if) #no sh

（2）设置内部端口的 ip 地址：

router（config）# int f1/0

router (config-if) #ip add 192.168.100.1 255.255.255.0

router (config-if) #no sh

(3) 建立静态地址转换：

router （config）#ip nat inside source static 192.168.100.2 61.159.62.130

router （config）#ip nat inside source static 192.168.100.3 61.159.62.131

(4) 在内部和外部端口上启用 NAT：

router(config)#int f0/0

router(config-if)#ip nat out

router(config)#int f1/0

router(config-if)#ip nat in

(5)配置默认路由：

router（config）#ip router 0.0.0.0 0.0.0.0 61.159.62.1292.NAT 端口映射

公司内部192.168.100.2 主机是公司的web服务器（80端口），公司出于安全考虑，希望外部网络访问web服务器时使用8080端口进行访问。

为满足公司要求，我们将需要使用 NAT 的端口映射功能，在内部局域网 ip 地址和内部全局 ip 地址之间建立 NAT 端口映射。

命令如下：

router(config）#ip nat inside source static tcp 192.168.100.2 80 61.159.62.131 8080 extendable

此命令是将TCP或UDP中内部局域地址需要转换的端口号转换成为内部全局地址的端口号。本例子中使用此命令配置NAT端口映射，其他命令不变。

NAT 端口映射示意图

3.NAT 动态配置(一)动态 nat 配置步骤

第一步 配置接口地址

int f0/1

ip add

第二步 配置标准 acl 指定需要转换的多个内部主机地址

access-list   编号   permit   网段地址    子网掩码反码

第三步 配置 转换后的公网地址地址池

ip nat  pool  地址池名字   起始地址   结束地址   子网掩码

第四步 配置动态地址转换

ip nat  inside  source  list  acl编号    pool   地址池名字

命令单词意思: inside 内部 内网 source 源 list 列表 pool 地址池（二）下面将通过示例说明 NAT 动态的配置：

NAT 动态转换网络结构示意图

①公司内部局域网使用的 ip 地址的范围为 192.168.100.2—192.168.100.254.

②路由器局域网端口的 IP 地址是 192.168.100.1，子网掩码 255.255.255.0

③网络分配的合法 ip 地址的范围为 61.159.62.128—61.159.62.191.

④路由器在广域网的地址是 61.159.62.130，子网掩码是 255.255.255.192.

⑤可用于地址转换的地址范围为 61.159.62.131—61.159.62.190.

NAT 动态转换示意图

 要求：公司希望将内部IP地址192.168.100.0/24 转换为合法的外部IP地址的范围为61.159.62.131-61.159.62.190

具体步骤如下：

（1）设置外部端口的 IP 地址

router（config）#int f0/0

router (config-if) #ip add 61.159.62.130 255.255.255.192

(2) 设置内部端口的 IP 地址

router（config）int f1/0

router (config-if) #ip add 192.168.100.1 255.255.255.0

(3) 定义内部网络中允许访问外部网络的 ACL

router (config) #access-list 1 permit 192.168.100.0.0 0.0.0.255

上述命令表示允许内部网络 192.168.100.0/24 访问外部网络。

（4）定义合法 IP 地址池

router（config）# ip nat pool test 0 61.159.62.131 61.159.62.190 network 255.255.255.192

router (config) #ip nat pool test 1 62.159.62. 131 62.159.62.190 network 255.255.255.192

router (config) #ip nat pool test 2 63 .159.62.131 63.159.62.190 network 255.255.255.192

(5)实现网络地址转换

router（config）#ip nat inside source list 1 pool test 0

如何有多个地址池，可一一添加

router（config）#ip nat inside source list 1 pool test 1

router（config）#ip nat inside source list 1 pool test 2

(6)在内部和外部端口上启用 NAT

router (config)# int f0/0

router(config-if)# ip nat out

router (config)# int f1/0

router(config-if)# ip nat in

(7)配置默认路由

router（config）#ip route 0.0.0.0 0.0.0.0 61.159.62.129

配置完成

本章内容就到这里，下章 NAT 将会讲解 PAT 的配置和分析并排查各类 NAT 故障。

创作不易，求关注，点赞，收藏，谢谢~