网络地址转换（NAT）(三)

前言

在本章将会学习 NAT 中 PAT 的配置，在学习之前可以先回顾一下网络地址转换（一）网络地址转换（二）。

本章重点：会配置 PAT 会分析并排查各类 NAT 故障。一.配置 PAT1.使用外部全局 IP 地址

下面通过例子来说明使用外部全局归地址配置 PAT 的方法。

一.配置 PAT

1.使用外部全局 IP 地址

公司内部局域网使用的IP地址的范围为10.1.1.2-10.1.1.254路由器局域网端口（默认网关）的IP地址为10.1.1.1，子网掩码255.255.255.0网络分配的合法IP地址的范围为 61.159.62.128-61.159.62.135路由器在广域网的地址为61.159.62.130，子网掩码为255.255.255.248可以用于NAT的地址为1.159.62.131/29

PAT 动态转换网络结构示意图

2.配置步骤

设置外部端口的IP地址设置内部端口的IP地址定义访问控制列表定义合法IP地址池实现网络地址转换在内部和外部端口上启用NAT，以及配置默认路由与静态NAT配置相同

PAT 工作流程示意图

要求：公司希望将内部网络地址10.1.1.0/24 转换为合法的外部地址61.159.62.131/29。具体步骤如下。

（1）配置外部端口和内部接口的 P 地址（配置信息略）。

（2）内部访问列表，命令语法如下。

router（config）#access-list 1 permit 10.1.1.0 0.0.0.255

在这里，允许访问互联网的网段为 10.1.1.0/24

（3）定义合法的 IP 地址池，命令语句如下：

Router(config)#ip nat po0l onlyone 61.159.62.131 61.159.62.131 netmask 255.255.255.248

合法地址池的名称是 onlyone，合法地址的范围为 61.159.62.131 掩码为 255.255.255.248

由于只有一个地址，所以起始地址与终止地址相同。

（4)设置复用动态 IP 地址转换

在全局配置模式中，设置在内部局部 IP 地址与内部全局 IP 地址之间建立动态 NAT。

Router(conftg)ip nat Inside source list access-list-number pool pool-name [overload]

(5）在内部和外部端口上启用 NAT

Router(confiq)int f0/0

Router (config-1f)#1p nat out

Router(config)int f1/0

Rooter(config-if)#ip nat in

（6）配置默认路由，使数据包可以正常选路，配置信息如下

Aouter (config) ##ip route 0.0.0.0 0.0.0.0 61.159.62.129

至此，PNAT 设置完毕 2.复用路由器外部接口地址

有时，只有一个外部IP地址，并且这个地址已经被路由器的外部接口使用。在这种情况下，在地址转换的过程中，也可以直接使用接口的P地址作为转换后的源地址。
公司内部局域网使用的IP地址的范围为10.1.1,1-10.1.1.254，路由器局域网端口（默认网关）的IP地址为10.1.1.1，子网掩码为255.255.255.0网络分配的合法IP地址的范围为61.159.62.128 - 61.159.62.131.路由器在广域网的地址为61.159.62.130.子网掩码为255.255.255.252，对端地址为61.159.62.129.子网掩码为255.255.255.252。可以用于地址转换的地址就是路由器的接口地址61.159.62.130

PAT 动态转换网络结构示意图

要求：公司希望将内部网络地址10.1.1.0/24转换为合法的外部地址61.159.62.130具体步骤如下。

（1）配置外部端口和内部端口的 P 地址。（2）定义内部访问列表。Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255

（3）定义合法的 P 地址池。

由于直接使用外部接口地址，因此不再定义 P 地址池。

（4）设置复用动态 P 地址转换。在全局配置模式中，设置在内部的本地地址与内部合法地址之间建立动态地址转换，命令如下

Router(config)fip nat inside source list 1 interface FastEthernet 0/0 overload

上述命令表示，以端口复用方式，将 ACL1 中的私有地址转换为路由器外部接口的合法 P 地址。

（5）在内部和外部端口上启用 NAT

Router(config)#int f0/0

Router(config-if)#ip nat out

Router(config)#int f1/0

Router (config-if)#ip nat in

（6）配置默认路由

使数据包可以正常选路，配置信息如下：

Router(config) #ip route 0.0.0.0 0.0.0.0 61.159.62.129

至此，端口复用动态地址转换完成。3.验证 NAT 的配置

二.清除 NAT 转换条目

清除 NAT 转换表中的所有条目

Router#clear ip nat translation

清除包含内部转换的转换条目

Router#clear ip nat translation inside local-ip global-ip

清除包含外部转换的转换条目

Router#clear ip nat translation outside local-ip global-ip

三.NAT 的故障处理

1.常见问题

ACL阻止转换后的流量进行地址转换的ACL不全overload参数漏配不对称路由问题动态地址池IP地址范围配置错误动态地址池与静态转换地址重叠Inside和outside接口配置错误

2.NAT 故障的排除

检查物理设备和NAT配置通过show命令查看NAT的各种信息通过debug ip nat命令跟踪NAT操作

创作不易，求关注，点赞，收藏，谢谢~