NAT地址转换的配置
地址转换典型配置举例NAT
地址转换NAT实验1. 局域网内部计算机通过地址转换后访问校园网(1)组网需求校园网络网络地址为192.168.0,子网掩码为255.255.255.0,校园网的网关地址为192.168.0.254,DNS地址为:202.101.208.3。
现在建立实验局域网10.100.1,实验室内部计算机通过路由器连入校园网。
在路由器上建立地址映射10.100.1.*→(192.168.0.111~192.168.0.120),并测试网络连通性。
局域网计算机的网关设置为192.168.1.1,DNS地址为:202.101.208.3(2)组网图图1 NAT实验连线图(3)配置步骤#首先配置好计算机的IP地址和子网掩码,计算机的网关地址设置为10.100.1.1 ,DNS地址为:202.101.208.3,路由器的接口LAN1 和LAN0地址按图配置。
#配置路由器Router#配置路由器接口IP[Router] interface Ethernet0[Router- Ethernet0]ip address 10.100.1.1 255.255.255.0 [Router- Ethernet0]quit[Router] interface Ethernet 1[Router-Ethernet1]ip address 192.168.0.110 255.255.255.0 [Router-Ethernet1]quit#配置缺省路由[Router]ip route-static 0.0.0.0 0.0.0.0 192.168.0.254 preference 60#建立访问控制列表[Router]acl 101 match-order auto#设置访问规则#只允许网络地址为10.100.1.0的IP进行地址转换[Router-acl-101]rule normal permit ip source 192.168.0.0 0.0.0.255 destination any[Router-acl-101]rule normal permit ip source 10.100.1.0 0.0.0.255 destination any[Router-acl-101]rule normal deny ip source any destination any[Router-acl-101] quit#建立地址池pool1[Router]nat address-group 192.168.0.111 192.168.0.120 pool1//注意每组实验地址池不要重复#将接口和地址池及其访问控制列表相关联[Router]interface Ethernet 1[Router-Ethernet1] firewall packet-filter 101 outbound[Router-Ethernet1]nat outbound 101 address-group pool1#使用Ping命令查看映射建立情况[Router]ping 192.168.0.254PING 192.168.0.254: 56 data bytes, press CTRL_C to breakReply from 192.168.0.254: bytes=56 Sequence=0 ttl=255 time = 2 ms Reply from 192.168.0.254: bytes=56 Sequence=1 ttl=255 time = 2 ms Reply from 192.168.0.254: bytes=56 Sequence=2 ttl=255 time = 2 ms Reply from 192.168.0.254: bytes=56 Sequence=3 ttl=255 time = 26 ms Reply from 192.168.0.254: bytes=56 Sequence=4 ttl=255 time = 3 ms --- 192.168.0.254 ping statistics ---5 packets transmitted5 packets received0.00% packet lossround-trip min/avg/max = 2/7/26 ms。
实验11:NAT(网络地址转换)配置
实验11:NAT(网络地址转换)配置一、实验目的熟悉IP 地址的划分及网络子网掩码的计算;熟悉NAT 转换的原理;基于NAT,实现内网主机访问外网服务。
二、实验环境packet tracer 5.0三、实验拓扑四、NAT 介绍网络地址转换(NAT,Network Address Translation)被广泛应用于各种类型Internet 接入方式和各种类型的网络中。
原因很简单,NAT 不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
虽然NAT 可以借助于某些代理服务器来实现,但考虑到运算成本和网络性能,很多时候都是在路由器上来实现的。
随着接入Internet 的计算机数量的不断猛增,IP 地址资源也就愈加显得捉襟见肘。
事实上,除了中国教育和科研计算机网(CERNET)外,一般用户几乎申请不到整段的C 类IP 地址。
在其他ISP 那里,即使是拥有几百台计算机的大型局域网用户,当他们申请IP 地址时,所分配的地址也不过只有几个或十几个IP 地址。
显然,这样少的IP 地址根本无法满足网络用户的需求,于是也就产生了NAT 技术。
NAT 实现方式NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。
静态转换是指将内部网络的私有IP 地址转换为公有IP 地址,IP 地址对是一对一的,是一成不变的,某个私有IP 地址只转换为某个公有IP 地址。
借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP 地址转换为公用IP 地址时,IP 地址对是不确定的,而是随机的,所有被授权访问上Internet 的私有IP 地址可随机转换为任何指定的合法IP 地址。
也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。
路由器的NAT的原理及配置
路由器的NAT的原理及配置NAT的原理:1.内网通信时,源IP地址是私有IP地址,目标IP地址是公共IP地址。
路由器将内网数据包的源IP地址改为路由器的公共IP地址,然后将数据包发送到外网。
2.外网响应时,目标IP地址是路由器的公共IP地址,源IP地址是外网服务器的公共IP地址。
路由器接收响应数据包后,根据数据包的目标IP地址将数据包转发到相应的内网主机。
NAT的配置步骤:1.登录路由器的管理界面。
通常通过在浏览器中输入路由器的IP地址来访问管理界面。
2.在管理界面中,找到“网络设置”或类似的选项。
选择“NAT”或“端口转发”设置。
3.开启NAT功能。
一般会有一个“启用NAT”或类似的选项,勾选上即可开启NAT功能。
4.配置内网IP地址段。
在内网设置中,指定内网的IP地址段,如192.168.1.0/245.配置端口转发规则。
如果需要将公共IP地址的请求转发到内网主机上,需要配置端口转发规则。
一般会有一个“端口映射”或类似的选项。
在此处,配置外部访问的端口号、内网主机的IP地址和端口号。
6.保存配置并重启路由器。
NAT的配置注意事项:1.配置合理的内网IP地址段,避免与外网冲突。
2.配置合适的端口转发规则,确保请求可以正确转发到内网主机。
3.注意路由器的性能,过多的NAT转发可能会影响路由器的性能。
4.配置安全策略,例如限制可访问的IP地址范围,避免未授权的访问。
5.定期检查和更新路由器固件,以确保安全性和稳定性。
总结:NAT是一种将私有IP地址转换为公共IP地址的技术,可以实现内网和外网之间的通信。
其基本原理是通过在数据包中更改源IP地址和目标IP地址,将内网数据包发送到外网,然后将外网响应转发回内网。
通过在路由器的管理界面中配置NAT,可以开启NAT功能、配置内网IP地址段和端口转发规则。
配置NAT时需要注意合理性、安全性和性能,以保障网络的稳定和安全运行。
NAT地址转换原理及配置解读
NAT地址转换原理及配置解读NAT(Network Address Translation),即网络地址转换,是一种将私有IP地址转换为公有IP地址的技术。
NAT的基本原理是在路由器上创建一个连接表,用于记录内部网络的私有IP地址与外部网络的公有IP地址之间的映射关系。
当内部网络中的主机访问外部网络时,路由器会根据连接表进行地址转换,将内部主机的私有IP地址转换为公有IP地址,然后将数据包转发到外部网络中。
当外部网络返回数据包时,路由器将根据连接表中的映射关系将数据包转发到相应的内部主机。
NAT的主要作用是解决IPv4地址不足的问题,通过将私有IP地址与公有IP地址进行映射,可以节省公有IP地址的使用并且增加了网络的安全性。
同时,NAT还可以提供端口转换功能,使得多个内部主机可以共享同一个公有IP地址。
NAT的配置主要包括以下几个方面:1.内部网络的设置:首先需要确定内部网络所使用的私有IP地址范围,一般常用的私有IP地址范围为10.0.0.0/8、172.16.0.0/12和192.168.0.0/16、然后,在路由器上通过配置虚拟局域网(VLAN)或子接口,将内部网络划分为多个子网,每个子网可以使用独立的私有IP地址范围。
2. NAT转换规则的配置:在路由器上需要配置NAT转换规则,以确定内部网络的私有IP地址与外部网络的公有IP地址之间的映射关系。
常用的NAT转换规则包括静态NAT(Static NAT)、动态NAT(Dynamic NAT)和网络地址端口转换(Network Address Port Translation,NAPT)。
-静态NAT是一种一对一的地址转换,将内部主机的私有IP地址与外部网络的公有IP地址进行固定映射。
配置静态NAT时,需要指定内部主机的私有IP地址和对应的外部网络的公有IP地址。
-动态NAT是一种一对多的地址转换,将内部主机的私有IP地址动态映射到外部网络的公有IP地址池中的一个IP地址。
NAT详细配置
Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#int f0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#no shutRouter(config-if)#ip nat inside 定义内网接口Router(config-if)#exitRouter(config)#int s1/0Router(config-if)#ip add 200.200.200.1 255.255.255.252Router(config-if)#clock rate 64000Router(config-if)#no shutRouter(config-if)#ip nat outside 定义外网接口Router(config-if)#exitRouter(config)#Router(config)#ip nat inside source static 192.168.1.2 12.12.12.1 静态映射Router(config)#ip nat inside source static 192.168.1.3 12.12.12.2 静态映射Router(config)#exitRouter#debug ip nat 打开动态调试IP NAT debugging is onRouter#NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[0]NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[0]NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[0]NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[0]NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[0]NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[0]NAT*: s=200.200.200.2, d=12.12.12.1->192.168.1.2[0]NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[0]NAT*: s=200.200.200.2, d=12.12.12.1->192.168.1.2[0]NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[0]NAT*: s=200.200.200.2, d=12.12.12.1->192.168.1.2[0]NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[0]NAT*: s=200.200.200.2, d=12.12.12.1->192.168.1.2[0]Router#sh ip nat trans * 显示NAT转换表Pro Inside global Inside local Outside local Outside global--- 12.12.12.1 192.168.1.2 --- --- --- 12.12.12.2 192.168.1.3 --- ---Router#reloadContinue with configuration dialog? [yes/no]: no2、NAT动态地址转换:Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#int f0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#no shutRouter(config-if)#ip nat insideRouter(config-if)#int s1/0Router(config-if)#ip add 200.200.200.1 255.255.255.252Router(config-if)#clock rate 64000Router(config-if)#no shutRouter(config-if)#ip nat outsideRouter(config-if)#exitRouter(config)#ip nat pool nyist 12.12.12.1 12.12.12.20 netmask 255.255.255.0Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255Router(config)#ip nat inside source list 1 pool nyistRouter(config)#exitRouter#debug ip natIP NAT debugging is onRouter#NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[1]NAT*: s=200.200.200.2, d=12.12.12.1->192.168.1.2[1]NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[1]NAT*: s=200.200.200.2, d=12.12.12.1->192.168.1.2[1]NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[1]NAT*: s=200.200.200.2, d=12.12.12.1->192.168.1.2[1]NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[1]NAT*: s=200.200.200.2, d=12.12.12.1->192.168.1.2[1]NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[1]NAT*: s=200.200.200.2, d=12.12.12.1->192.168.1.2[1]NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[1]NAT*: s=200.200.200.2, d=12.12.12.1->192.168.1.2[1]NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[1]NAT*: s=200.200.200.2, d=12.12.12.1->192.168.1.2[1]NAT: s=192.168.1.2->12.12.12.1, d=200.200.200.2[1]NAT*: s=200.200.200.2, d=12.12.12.1->192.168.1.2[1]NAT: s=192.168.1.3->12.12.12.2, d=200.200.200.2[2]NAT*: s=200.200.200.2, d=12.12.12.2->192.168.1.3[2]NAT: s=192.168.1.3->12.12.12.2, d=200.200.200.2[2]NAT*: s=200.200.200.2, d=12.12.12.2->192.168.1.3[2]NAT: s=192.168.1.3->12.12.12.2, d=200.200.200.2[2]NAT*: s=200.200.200.2, d=12.12.12.2->192.168.1.3[2]NAT: s=192.168.1.3->12.12.12.2, d=200.200.200.2[2]NAT*: s=200.200.200.2, d=12.12.12.2->192.168.1.3[2]接下来配置复用动态地址转换:Router#no debug ip nat 关闭原来动态NAT调试;Router#clear ip nat transla * 清除原来地址映射表Router#conf tRouter(config)#no ip nat inside source list 1 pool nyist 移除原来的动态映射Router(config)#no ip nat pool nyist 12.12.12.1 12.12.12.20 netmask 255.255.255.0 移除原来的地址池Router(config)#ip nat inside source list 1 int s1/0 overload 建立端口复用地址转换Router(config)#exit%SYS-5-CONFIG_I: Configured from console by consoleRouter#debug ip natIP NAT debugging is onRouter#NAT: s=192.168.1.2->200.200.200.1, d=200.200.200.2[3]NAT*: s=200.200.200.2, d=200.200.200.1->192.168.1.2[3]NAT: s=192.168.1.2->200.200.200.1, d=200.200.200.2[4]NAT*: s=200.200.200.2, d=200.200.200.1->192.168.1.2[4]NAT: s=192.168.1.2->200.200.200.1, d=200.200.200.2[5]NAT*: s=200.200.200.2, d=200.200.200.1->192.168.1.2[5]NAT: s=192.168.1.2->200.200.200.1, d=200.200.200.2[6]NAT*: s=200.200.200.2, d=200.200.200.1->192.168.1.2[6]NAT: s=192.168.1.3->200.200.200.1, d=200.200.200.2[7]NAT*: s=200.200.200.2, d=200.200.200.1->192.168.1.3[7]NAT: s=192.168.1.3->200.200.200.1, d=200.200.200.2[8]NAT*: s=200.200.200.2, d=200.200.200.1->192.168.1.3[8]NAT: s=192.168.1.192.168.1.3->3->200.200.200.1, d=200.200.200.2[9] NAT*: s=200.200.200.2, d=200.200.200.1->192.168.1.3[9]NAT: s=192.168.1.3->200.200.200.1, d=200.200.200.2[10]NAT*: s=200.200.200.2, d=200.200.200.1->192.168.1.3[10]Router#sh ip nat tranNAT: expiring 200.200.200.1 (192.168.1.2) 1 22 (22)Pro Inside global Inside local Outside local Outside globalicmp 200.200.200.1:23 192.168.1.2:23 200.200.200.2:23 200.200.200.2:23icmp 200.200.200.1:24 192.168.1.2:24 200.200.200.2:24 200.200.200.2:24icmp 200.200.200.1:25 192.168.1.2:25 200.200.200.2:25 200.200.200.2:25icmp 200.200.200.1:5 192.168.1.3:5 200.200.200.2:5 200.200.200.2:5icmp 200.200.200.1:6 192.168.1.3:6 200.200.200.2:6 200.200.200.2:6icmp 200.200.200.1:7 192.168.1.3:7 200.200.200.2:7 200.200.200.2:7icmp 200.200.200.1:8 192.168.1.3:8 200.200.200.2:8 200.200.200.2:8Router#no debug ip natIP NAT debugging is offRouter#write 保存配置3、端口复用地址转换:Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z. Router(config)#int f0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#no shutRouter(config-if)#exitRouter(config)#int s1/0Router(config-if)#ip add 12.12.12.1 255.255.255.252Router(config-if)#clock rate 64000Router(config-if)#ip nat outsideRouter(config-if)#no shutRouter(config-if)#exitRouter(config)#access-list 1 permit 192.168.1.0 0.0.0.255Router(config)#ip nat inside source list 1 interface s1/0 overload Router(config)#exitRouter#debug ip natIP NAT debugging is onRouter#NAT: s=192.168.1.3->12.12.12.1, d=12.12.12.2[3]NAT*: s=12.12.12.2, d=12.12.12.1->192.168.1.3[3]NAT: s=192.168.1.3->12.12.12.1, d=12.12.12.2[4]NAT*: s=12.12.12.2, d=12.12.12.1->192.168.1.3[4]NAT: s=192.168.1.3->12.12.12.1, d=12.12.12.2[5]NAT*: s=12.12.12.2, d=12.12.12.1->192.168.1.3[5]NAT: s=192.168.1.3->12.12.12.1, d=12.12.12.2[6]NAT*: s=12.12.12.2, d=12.12.12.1->192.168.1.3[6]NAT: s=192.168.1.3->12.12.12.1, d=12.12.12.2[7]NAT*: s=12.12.12.2, d=12.12.12.1->192.168.1.3[7]NAT: s=192.168.1.3->12.12.12.1, d=12.12.12.2[8]NAT*: s=12.12.12.2, d=12.12.12.1->192.168.1.3[8]NAT: s=192.168.1.3->12.12.12.1, d=12.12.12.2[9]NAT*: s=12.12.12.2, d=12.12.12.1->192.168.1.3[9]NAT: s=192.168.1.3->12.12.12.1, d=12.12.12.2[10]NAT*: s=12.12.12.2, d=12.12.12.1->192.168.1.3[10]Router#no debug ip natIP NAT debugging is offRouter#sh ip nat transPro Inside global Inside local Outside local Outside globalicmp 12.12.12.1:10 192.168.1.3:10 12.12.12.2:10 12.12.12.2:10icmp 12.12.12.1:11 192.168.1.3:11 12.12.12.2:1112.12.12.2:11icmp 12.12.12.1:12 192.168.1.3:12 12.12.12.2:12 12.12.12.2:12icmp 12.12.12.1:13 192.168.1.3:13 12.12.12.2:13 12.12.12.2:13icmp 12.12.12.1:14 192.168.1.3:14 12.12.12.2:14 12.12.12.2:14icmp 12.12.12.1:15 192.168.1.3:15 12.12.12.2:15 12.12.12.2:15icmp 12.12.12.1:16 192.168.1.3:16 12.12.12.2:16 12.12.12.2:16icmp 12.12.12.1:9 192.168.1.3:9 12.12.12.2:9 12.12.12.2:9Router#sh ip nat transPro Inside global Inside local Outside local Outside globalicmp 12.12.12.1:17 192.168.1.3:17 12.12.12.2:17 12.12.12.2:17icmp 12.12.12.1:18 192.168.1.3:18 12.12.12.2:18 12.12.12.2:18icmp 12.12.12.1:19 192.168.1.3:19 12.12.12.2:19 12.12.12.2:19icmp 12.12.12.1:20 192.168.1.3:20 12.12.12.2:20 12.12.12.2:20Router#sh ip nat transPro Inside global Inside local Outside local Outside globalicmp 12.12.12.1:29 192.168.1.2:29 12.12.12.2:29 12.12.12.2:29icmp 12.12.12.1:30 192.168.1.2:30 12.12.12.2:30 12.12.12.2:30icmp 12.12.12.1:31 192.168.1.2:31 12.12.12.2:31 12.12.12.2:31icmp 12.12.12.1:32 192.168.1.2:32 12.12.12.2:32 12.12.12.2:32icmp 12.12.12.1:17 192.168.1.3:17 12.12.12.2:17 12.12.12.2:17icmp 12.12.12.1:18 192.168.1.3:18 12.12.12.2:18 12.12.12.2:18icmp 12.12.12.1:19 192.168.1.3:19 12.12.12.2:19 12.12.12.2:19icmp 12.12.12.1:20 192.168.1.3:20 12.12.12.2:20 12.12.12.2:20Router#。
网络防火墙的网络地址转换(NAT)配置指南(二)
网络防火墙的网络地址转换(NAT)配置指南随着互联网的普及和发展,网络安全问题变得越来越重要。
为了保护网络的安全,网络防火墙起到了非常重要的作用。
其中,网络地址转换(NAT)作为网络防火墙的一项关键功能,对于网络安全的提升起到了积极作用。
一、NAT的基本概念和作用网络地址转换(NAT)是指将一组IP地址映射到另一组IP地址的过程。
它的基本作用是在内部局域网和外部公网之间建立一道有效的隔离层,保护内部网络的安全和隐私。
NAT可以将内网的私有IP地址转换成公网的公有IP地址,从而在公网上隐藏了内网的真实IP地址,提高了网络的安全性。
同时,NAT还可以实现多台计算机共享一个公网IP地址的功能,节约了IP地址资源。
二、配置NAT的方式和步骤1. 确定内网和外网的网卡接口,一般情况下,内网使用私有IP 地址,外网使用公有IP地址。
2. 配置内网和外网的IP地址和子网掩码,确保其处于同一个网段。
3. 配置NAT的转换规则,指定内网IP地址和外网IP地址之间的映射关系。
4. 配置NAT的端口映射,实现内网IP地址和外网端口之间的映射关系。
5. 启动NAT服务,使配置生效。
6. 进行网络测试,验证NAT配置是否成功。
三、NAT配置的注意事项1. NAT配置需要谨慎进行,因为一旦配置错误,可能导致网络无法正常工作。
在进行NAT配置之前,应仔细了解网络设备的功能和参数,确保配置的正确性。
2. NAT配置需要考虑网络的安全性,需要合理设置转换规则和端口映射,限制外部访问内网的权限,保护内网的隐私。
3. NAT配置需要根据具体的网络环境和需求进行调整,不同的网络环境和需求可能需要不同的配置方案,需要灵活运用NAT功能。
四、NAT配置的案例分析为了更好地理解NAT的配置过程,下面以企业内网与外网之间的通信为例进行分析。
假设企业内部有多台计算机需要访问外部服务器,但是只有一个公网IP地址可供使用。
这时,可以通过NAT配置来实现多台计算机共享一个公网IP地址的功能。
NAT(网络地址转换)实现方式以及工作过程配置
NAT(网络地址转换)实现方式以及工作过程配置网络地址转换(NAT)是一种在网络层对IP地址进行转换的技术,主要用于解决IPv4地址不足的问题。
NAT可以在内部网络和外部网络之间进行地址转换,使得内部网络使用内部私有IP地址与外部网络进行通信,同时隐藏内部网络的真实IP地址,增强网络的安全性。
NAT的实现方式有以下几种:1. 静态NAT(Static NAT):静态NAT通过将内部网络的私有IP地址映射成为外部网络的公共IP地址,实现一对一的地址转换。
静态NAT适用于内部网络中的特定主机需要与外部网络建立持久连接的情况。
2. 动态NAT(Dynamic NAT):动态NAT将内部网络的私有IP地址映射成为外部网络的公共IP地址,但映射关系是动态分配的,多个内部主机可以共享一个公共IP地址。
动态NAT适用于内部网络中的多个主机需要与外部网络进行通信的情况。
3. PAT(Port Address Translation):PAT是一种特殊的动态NAT,通过使用不同的端口号对多个内部主机进行映射,实现多对一的地址转换。
PAT在转换IP地址的同时还转换了端口号,使得多个内部主机可以共享一个公共IP地址和不同的端口号与外部网络进行通信。
NAT的工作过程如下:1.内部主机发送数据包到外部网络:当内部主机发送一个数据包到外部网络时,首先检查数据包的目标IP地址是否为外部网络。
如果目标IP地址为外部网络,说明该数据包需要进行地址转换。
2.建立转换表:NAT设备会维护一个地址转换表,记录着内部私有IP地址与外部公共IP地址之间的映射关系。
如果转换表中没有相应的映射关系,就需要进行地址转换。
3.进行地址转换:根据配置的NAT规则,对内部主机发送的数据包进行地址转换。
如果使用静态NAT,将内部私有IP地址直接映射为外部公共IP地址;如果使用动态NAT或PAT,从可用的外部IP地址池中选择一个IP地址进行映射,并将该映射关系记录在转换表中。
NAT地址转换原理及配置
NAT地址转换原理及配置NAT(Network Address Translation)是一种网络地址转换技术,主要用于解决IPv4地址不足的问题。
NAT工作在网络层,主要通过修改数据包的源地址和目的地址来实现地址转换。
下面将详细介绍NAT地址转换的原理和配置方法。
一、NAT地址转换原理当一个网络中的主机要与另一个网络中的主机进行通信时,需要知道目标主机的IP地址。
在IPv4中,IP地址空间有限,且分配不均,导致很多地方IP地址紧张。
NAT技术通过将内部网络的私有IP地址转换成外部网络的公有IP地址,使得内部网络中的主机能够访问Internet。
NAT地址转换的原理可以分为三种模式:静态NAT、动态NAT和PAT(端口地址转换)。
1.静态NAT:将特定的内部IP地址映射为特定的外部IP地址。
这种模式需要手动配置,一个内部IP地址只能映射为一个外部IP地址。
2.动态NAT:动态NAT是在静态NAT的基础上增加了地址池的概念。
内部主机可以动态地获取一个可用的外部IP地址,并在通信结束后释放。
这种方式可以使多个内部IP地址映射为多个外部IP地址,提高地址利用率。
3. PAT(端口地址转换):PAT是一种特殊的动态NAT技术。
在PAT 中,将多个内部IP地址映射到一个外部IP地址,并通过源端口号来区分不同的内部主机。
这样就可以实现多个内部主机通过一个公有IP地址访问Internet。
PAT是最常用的一种NAT方式。
二、NAT地址转换的配置方法1.配置地址池首先需要配置NAT的地址池,即可用的公有IP地址范围。
这个地址池可以是一个或多个连续的IP地址段。
配置地址池的命令如下:ip nat pool pool-name start-ip-address end-ip-address netmask netmask2.配置访问列表为了确定哪些数据包需要进行NAT地址转换,需要配置一个访问列表。
访问列表可以根据源地址、目的地址、协议、端口等条件进行匹配。
NAT地址转换
NAT地址转换NAT:不仅解决了IP地址不足的问题,而且还能隐藏内部网络的细节,避免来自网络外部的攻击,起到一定的安全作用。
、NAT地址转换有三种实现方式:静态地址转换:是将内部网络的私有IP地址转换为合法的公网IP,IP 地址的对应关系是一对一的。
动态地址转换:内部网络的私有IP地址转换为合法的公网IP时,IP地址的对应关系时不确定的、随机的,所有被授权访问互联网的私有网络可随机转换为任何指定的合法的外部IP地址。
端口多路复用:是改变外出数据包的源IP地址和源端口并进行端口转换,即端口地址转换采用端口多路复用。
试验一:静态地址转换1、在路由器上配置NAT内部接口f1/0Router(config)#inter f1/0Router(config-if)#ip add 192.168.10.1 255.255.255.0Router(config-if)#no shut配置NAT外部接口f0/0Router(config-if)#inter f0/0Router(config-if)#ip add 20.0.0.1 255.0.0.0Router(config-if)#no shut2、配置静态NAT地址转换Router(config)#ip nat inside source static 192.168.10.2 20.0.0.40Router(config)#ip nat inside source static 192.168.10.3 20.0.0.50Router(config)#3、在内部和外部接口上启用NAT内部NAT接口上Router(config)#inter f1/0Router(config-if)#ip nat insRouter(config-if)#ip nat insideRouter(config-if)#exi外部NAT接口上Router(config)#inter f0/0Router(config-if)#ip natRouter(config-if)#ip nat ouRouter(config-if)#ip nat outsideRouter(config-if)#exi4、路由器上查看NATRouter#show ip nat translationsPro Inside global Inside local Outside local Outside global--- 20.0.0.40 192.168.10.2 --- ------ 20.0.0.50 192.168.10.3 --- ---启用debug命令查看源数据包和回应数据包走向、可以看出内部网络IP地址被隐藏,显示的源IP和目的IP都为外部公网IP。
NAT地址转换原理及配置
NAT DNS mapping
10
目录
NAT工作原理 NAT配置实现
NAT验证及调试
NAT常见组网
EASY IP
Easy IP:在地址转换的过程中直接使用接口的IP地址作 为转换后的源地址。在接口视图下配置:
nat outbound acl-number
NAT常见组网
NAT
地址转换是在IP地址日益短缺的背景下出现的。 一个局域网内部有很多台主机,可是不能保证每台主机都 拥有合法的IP地址,为了使所有的内部主机都可以访问 Internet,需要进行地址转换。 地址转换技术可以有效隐藏局域网内的主机,是一种有效 的网络安全保护技术。 地址转换可以按照用户的需要,在局域网内向外提供FTP、 WWW、Telnet等服务。
5
D=10.0.0.1 P=5001 S=198.76.29.4 P=21
NAT table 2
Inside Address Port 10.0.0.1 1024 10.0.0.1 5001 Global Address Port 198.76.28.11 2001 198.76.28.11 2002 9
198.76.29.1/24 E0/1
10.0.0.2 HostB
10.0.0.254/24RTAຫໍສະໝຸດ 198.76.28.0/24
RTB
198.76.29.4 HostC
19
(一)配置实现
RTA配置
interface Ethernet0/0 ip address 10.0.0.254 255.255.255.0 interface Ethernet0/1 ip address 198.76.28.1 255.255.255.0 nat outbound 2000 nat outbound static acl number 2000 rule 0 permit source 10.0.0.0 0.0.0.255 nat static 10.0.0.2 198.76.28.4 ip route-static 0.0.0.0 0 198.76.28.2
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
NAT地址转换的配置一、实验目的1.掌握地址转换的配置2.掌握向外发布内部服务器地址转换的方法3.掌握私有地址访问INTERNET的配置方法二、应用环境1.企业内部有对INTETNET提供服务的WEB服务器2.企业内部使用私有地址的主机需要访问INTERNET三、实验设备1.DCR-1702 两台2.PC机两台四、实验拓扑五、实验要求配置表Router-A Router-BF0/0 192.168.0.1/24 F0/0 192.168.2.1/24S1/1 (DCE) 192.168.1.1/24 S1/0 192.168.1.2/24PC SERVERIP 192.168.0.3/24 192.168.2.2/24网关192.168.0.1 192.168.2.1六、实验步骤内部的PC需要访问外部的服务器:假设在ROUTER-A上做地址转换,将192.168.0.0/24转换成192.168.1.10 –192.168.1.20之间的地址,并且做端口的地址复用第一步:按实验三和上表将接口地址和PC地址配置好,并且做连通性测试第二步:配置ROUTER-A的NATRouter-A#confRouter-A_config#ip access-list standard 1 !定义访问控制列表Router-A_config_std_nacl#permit 192.168.0.0 255.255.255.0 !定义允许转换的源地址范围Router-A_config_std_nacl#exitRouter-A_config#ip nat pool overld 192.168.1.10 192.168.1.20 255.255.255.0!定义名为overld的转换地址池Router-A_config#ip nat inside source list 1 pool overld overload!配置将ACL允许的源地址转换成overld中的地址,并且做PAT的地址复用(overload的意思就是复用,这个作用就是使用一个地址可以重复使用(用端口号进行区分),说白了就是如果不加overload就根据IP来转换,加overload的话就根据端口来转换!)Router-A_config#int f0/0Router-A_config_f0/0#ip nat inside !定义F0/0为内部接口Router-A_config_f0/0#int s1/1Router-A_config_s1/1#ip nat outside !定义S1/1为外部接口Router-A_config_s1/1#exitRouter-A_config#ip route 0.0.0.0 0.0.0.0 192.168.1.2 !配置路由器A的缺省路由第三步:查看ROUTER-B的路由表Router-B#sh ip routeCodes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connectedD - DEIGRP, DEX - external DEIGRP, O - OSPF, OIA - OSPF inter areaON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2OE1 - OSPF external type 1, OE2 - OSPF external type 2DHCP - DHCP typeVRF ID: 0C 192.168.1.0/24 is directly connected, Serial1/0C 192.168.2.0/24 is directly connected, FastEthernet0/0!注意:并没有到192.168.0.0的路由第四步:测试第五步:查看地址转换表Router-A#sh ip nat translatiosPro. Dir Inside local Inside global Outside local Outside global ICMP OUT 192.168.0.3:512 192.168.1.10:12512 192.168.1.2:12512 192.168.1.2:12512 注意:端口的转换第六步:配置序列Router-A#sh runBuilding configuration...Current configuration:!!version 1.3.2Eservice timestamps log dateservice timestamps debug dateno service password-encryption!hostname Router-A!!!!!!interface FastEthernet0/0ip address 192.168.0.1 255.255.255.0no ip directed-broadcastip nat inside!interface Serial1/0no ip addressno ip directed-broadcastphysical-layer speed 64000!interface Serial1/1ip address 192.168.1.1 255.255.255.0no ip directed-broadcastphysical-layer speed 64000ip nat outside!interface Async0/0no ip addressno ip directed-broadcast!!!ip route default 192.168.1.2!!ip access-list standard 1permit 192.168.0.0 255.255.255.0!!!!!ip nat pool overld 192.168.1.10 192.168.1.20 255.255.255.0 ip nat inside source list 1 pool overld overload!七、注意事项和排错1.注意转换的方向和接口2.注意地址池、ACL的名称3.需要配置A的缺省路由八、配置序列同上九、共同思考1.为什么在B上不需要配置192.168.0.0的路由就能够通讯?2.为什么在A上需要配置缺省路由?3.如果外部接口地址是通过拨号动态获得,那么该如何配置?4.请指出上述配置中的Inside local Inside global Outside localOutside global 分别是什么?十、课后练习请在ROUTER-B上配置发布内部服务器192.168.2.2/24到外部地址192.168.1.2/24具体步骤:1、在服务器192.168.2.2/24上安装FTP-SERVER2、在B上配置静态转换3、在PC机上访问192.168.1.2的FTP服务4、通过show查看转换表十一、相关命令详解ip nat inside source使用ip nat inside source全局配置命令,开启内部源地址的NAT。
用这个命令的NO形式可以删除静态翻译或删除和池的动态关联,注意:动态翻译规则和静态网段翻译规则在使用时,不能删除。
动态NAT:ip nat inside source {list access-list-name} {interface type number | pool pool-name} [overload] no ip nat inside source{list access-list-name} {interface type number | pool pool-name} [overload]静态单个地址NA T:ip nat inside source {static {local-ip global-ip}no ip nat inside source {static {local-ip global-ip}静态端口NAT:ip nat inside source {static{tcp| udp local-ip local-port {global-ip | interface type number} global-port}no ip nat inside source {static {tcp | udp local-ip local-port {global-ip | interface type number}global-port}静态网段NAT:ip nat inside source {static {network local-network global-network mask}no ip nat inside source {static {network local-network global-network mask} 参数缺省任何内部源地址的NA T都不存在命令模式全局配置态使用说明这个命令有两种形式:动态的和静态的地址翻译。
带有访问列表的格式建立动态翻译。
来自和标准访问列表相匹配的地址的报文,将用指定的池中分配的全局地址来进行地址翻译,这个池是用ip nat pool命令所指定的。
可以作为替代方法,带有关键字STA TIC的语法格式创建一条独立的静态地址翻译。
示例下面的例子把来自192.168.1.0或192.168.2.0网络的内部主机间进行通信的IP地址翻译为171.69.233.208/28 网络中全局唯一的IP地址。
ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240ip nat inside source list a1 pool net-208!interface ethernet 0ip address 171.69.232.182 255.255.255.240ip nat outside!interface ethernet 1ip address 192.168.1.94 255.255.255.0ip nat inside!ip access-list standard a1permit 192.168.1.0 255.255.255.0permit 192.168.2.0 255.255.255.0!。