目錄
實驗視訊簡講解連結
NAT協定概述
NAT 網絡位址轉換
NAT協定種類歸類:
NAT實驗練習
實驗拓撲
實驗裝置準備設定
實驗驗證過程
第一部分: 驗證靜态NAT
第二部分:驗證多對多的動态NAT
編輯
第三部分:驗證PAT 多對一的NAT位址映射
第四部分: 實作外網IP通路内部網絡
解決辦法: 配置端口靜态映射
實驗視訊簡講解連結
NAT協定概述
NAT 網絡位址轉換
NAT:把内網、外網的IP進行映射(轉換)
NAT執行過程:1、定義NAT轉換規則,使用ACL将内網網段歸結起來;
2、運用到接口(inside & outside) 定義接口的朝向。
NAT協定種類歸類:
1、1對1映射【靜态映射】
ip nat inside source static A > B
特殊的靜态映射:端口靜态映射
将用于外網通路内網的設定表項映射
ip nat inside source static tcp 10.10.10.2 23 interface s2/0 2000
2、多對多映射【位址池pool映射】
定義内網歸結位址:access-list 1 permit 10.10.10.0 0.0.0.255
定義外網的NAT位址池:ip nat pool Name X - Y netmask WWW
建立内網與外網的網絡位址映射:ip nat inside source list 1 pool Name
3、多對1映射【Port AT】
動态給每一個映射配置設定一個端口
ip nat inside source list 1 inerface s2/0 overload
access-list 1 permit X
show ip nat translation
debug ip nat
clear ip nat translation *
ping 目标 source 源
NAT實驗練習
使用GNS3模拟器驗證:靜态NAT;動态NAT(多對多); PAT(多對一); 内網與外網之間的通信的實作過程。
實驗拓撲
實驗裝置準備設定
路由器模拟PC機:
no ip routing
int fa0/0
ip add ......
no shut
ip default-gateway ......
以PC1為例,其它主機裝置同PC1的相同配置操作
PC1(config-if)#no ip routing //關閉路由功能
PC1(config)#int f0/0
PC1(config-if)#ip add 10.10.10.1 255.255.255.0 //為接口配置IP位址
PC1(config-if)#no sh
PC1(config)#ip default-gateway 10.10.10.254 //為主機添加網關
實驗驗證過程
第一部分: 驗證靜态NAT
R1(config)#ip nat inside source static 10.10.10.1 14.14.14.1
R1(config)#int f 0/0
R1(config-if)#ip nat inside
R1(config-if)#int s 1/0
R1(config-if)#ip nat outside
PC1成功Ping通網關
PC1成功Ping通外網
檢查R1上的NAT映射表
檢視NAT映射表指令
R1#show ip nat translations
PC2的私有IP位址無法與公網IP位址建立映射,因為靜态NAT采用的是一對一的映射模式,PC1與R1的外網位址已建立映射占用了公有IP位址。
第二部分:驗證多對多的動态NAT
CCNA-NAT協定 靜态NAT 動态NAT(多對多) PAT(多對一) 内網與外網之間的通信 GNS3實驗驗證明驗視訊簡講解連結NAT協定概述NAT實驗練習
R2(config)#access-list 1 permit 172.16.1.0 0.0.0.255
R2(config)#ip nat pool netbox 24.24.24.0 24.24.24.200 netmask 255.255.255.0
R2(config)#ip nat inside source list 1 pool netbox
R2(config)#int f 0/0
R2(config-if)#ip nat inside
R2(config-if)#int s 1/0
R2(config-if)#ip nat outside
檢視位址映射表
從映射表中可以看出:
PC3的主機位址 172.16.1.1 映射的公網IP位址為 24.24.24.1
PC4的主機位址 172.16.1.2 映射的公網IP位址為 24.24.24.2
驗證PC3和PC4可以成功通路外網
第三部分:驗證PAT 多對一的NAT位址映射
R3(config)#access-list 1 permit 192.168.1.0 0.0.0.255
R3(config)#ip nat inside source list 1 interface s1/0 overload
R3(config)#int f 0/0
R3(config-if)#ip nat inside
R3(config-if)#int s 1/0
R3(config-if)#ip nat outside
檢視位址映射表
可以看出:
PC5 的私有位址 192.168.1.1 轉換為了公有IP位址 34.34.34.3:5(用端口号5标記區分)
PC5 的私有位址 192.168.1.2 轉換為了公有IP位址 34.34.34.3:1(用端口号1标記區分)
驗證PC5和PC6可以成功通路外網
第四部分: 實作外網IP通路内部網絡
因為配置NAT協定後内網的私有位址與外網的公有位址是根據在邊界路由器(R1 R2 R3)中的NAT映射表實作公私網絡位址的映射轉換通路。
具體過程為:公私網絡位址的映射表存在于邊界路由器上,主機通過通路網關在邊界路由器上找到了自身網絡與外網的映射關系,進而可以确定路徑成功通路外網。
相反的,外網想要通路内網,會通過IP資訊傳遞依次檢視R4(自身)R1(邊界路由器)上是否有對應的IP位址映射表項(如下圖沒有表項),是以外網IP無法直接 通路PC2内網位址。
解決辦法: 配置端口靜态映射
ip nat inside source static tcp 10.10.10.2 23 interface s0/0 2000
注意到是,R4在通路PC2的過程中,是通過通路邊界路由器上的公網IP位址再通過映射的表項實作對PC2的通路。
R4通路PC2成功
【檢測方法】
R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 15.15.15.1:5 10.10.10.254:5 15.15.15.5:5 15.15.15.5:5