网络地址转换（NAT）(二)

作者简介：一名在校计算机学生、每天分享网络运维的学习经验、和学习笔记。

座右铭：低头赶路，敬事如仪

个人主页：网络豆的主页

前言

一.NAT的配置

1.NAT静态配置

（1）静态nat 配置步骤:

（二）下面将通过示例说明NAT静态的配置：

2.NAT端口映射

3.NAT动态配置

(一)动态nat 配置步骤

（二）下面将通过示例说明NAT动态的配置：

前言

在本章将会学习NAT的配置，在学习前可以先回顾一下网络地址转换（NAT）(一)。

本章重点：理解NAT的工作过程，会配置NAT，会分析并排查各类NAT故障。

一.NAT的配置

在配置 NAT 过程之前，首先必须弄清楚内部接口和外部接口，以及在那个外部接口上启用NAT。通常情况下，连接到用户内部网络的接口是NAT内部接口，而连接到外部网络（如互联网）的接口是NAT外部接口。

1.NAT静态配置

（1）静态nat 配置步骤:

第一步 配置接口地址

int f0/1

ip add

第二步 配置静态地址转换

ip nat inside source static 内部私有地址转换之后的公网地址

（二）下面将通过示例说明NAT静态的配置：

NAT静态转换网络结构示意图

①公司内部局域网使用的ip 地址范围为192.168.100.2—192.168.100.254

②路由器局域网端口（默认网关）的ip 地址是192.168.100.1，子网掩码255.255.255.0

③公司从运营商处获得的合法IP地址范围是61.159.62.128—61.159.62.135.

④路由器在广域网的地址是61.159.62.130，子网掩码是 255.255.255.248o

⑤可用于地址转换的地址范围是61.159.62.131—61.159.62.134.

NAT静态转换示意图

要求：公司希望ip 地址的范围为192.168.100.2—192.168.100.3 的两台主机既能访问internet又能被外部网络访问，并且转换为合法的外部地址的范围为61.159.62.131—61.159.62.132.

具体步骤如下：

（1）设置外部端口的IP地址：

router（config）#int f0/0

router（config-if) # ip add 61.159.62.130 255.255.255.248

router (config-if) #no sh

（2）设置内部端口的ip 地址：

router（config）# int f1/0

router (config-if) #ip add 192.168.100.1 255.255.255.0

router (config-if) #no sh

(3) 建立静态地址转换：

router （config）#ip nat inside source static 192.168.100.2 61.159.62.130

router （config）#ip nat inside source static 192.168.100.3 61.159.62.131

(4) 在内部和外部端口上启用NAT：

router(config)#int f0/0

router(config-if)#ip nat out

router(config)#int f1/0

router(config-if)#ip nat in

(5)配置默认路由：

router（config）#ip router 0.0.0.0 0.0.0.0 61.159.62.129

2.NAT端口映射

公司内部192.168.100.2 主机是公司的web服务器（80端口），公司出于安全考虑，希望外部网络访问web服务器时使用8080端口进行访问。

为满足公司要求，我们将需要使用NAT的端口映射功能，在内部局域网ip 地址和内部全局ip 地址之间建立NAT端口映射。

命令如下：

router(config）#ip nat inside source static tcp 192.168.100.2 80 61.159.62.131 8080 extendable

此命令是将TCP或UDP中内部局域地址需要转换的端口号转换成为内部全局地址的端口号。本例子中使用此命令配置NAT端口映射，其他命令不变。

NAT端口映射示意图

3.NAT动态配置

(一)动态nat 配置步骤

第一步 配置接口地址

int f0/1

ip add

第二步 配置标准acl 指定需要转换的多个内部主机地址

access-list 编号 permit 网段地址子网掩码反码

第三步 配置转换后的公网地址地址池

ip nat pool 地址池名字起始地址结束地址子网掩码

第四步 配置动态地址转换

ip nat inside source list acl编号 pool 地址池名字

命令单词意思: inside 内部内网 source 源 list 列表 pool 地址池

（二）下面将通过示例说明NAT动态的配置：

NAT动态转换网络结构示意图

①公司内部局域网使用的ip地址的范围为192.168.100.2—192.168.100.254.

②路由器局域网端口的IP地址是192.168.100.1，子网掩码255.255.255.0

③网络分配的合法ip地址的范围为61.159.62.128—61.159.62.191.

④路由器在广域网的地址是61.159.62.130，子网掩码是255.255.255.192.

⑤可用于地址转换的地址范围为61.159.62.131—61.159.62.190.

NAT动态转换示意图

要求：公司希望将内部IP地址192.168.100.0/24 转换为合法的外部IP地址的范围为61.159.62.131-61.159.62.190

具体步骤如下：

（1）设置外部端口的IP地址

router（config）#int f0/0

router (config-if) #ip add 61.159.62.130 255.255.255.192

(2) 设置内部端口的IP地址

router（config）int f1/0

router (config-if) #ip add 192.168.100.1 255.255.255.0

(3) 定义内部网络中允许访问外部网络的ACL

router (config) #access-list 1 permit 192.168.100.0.0 0.0.0.255

上述命令表示允许内部网络 192.168.100.0/24访问外部网络。

（4）定义合法IP地址池

router（config）# ip nat pool test 0 61.159.62.131 61.159.62.190 network 255.255.255.192

router (config) #ip nat pool test 1 62.159.62. 131 62.159.62.190 network 255.255.255.192

router (config) #ip nat pool test 2 63 .159.62.131 63.159.62.190 network 255.255.255.192

(5)实现网络地址转换

router（config）#ip nat inside source list 1 pool test 0

如何有多个地址池，可一一添加

router（config）#ip nat inside source list 1 pool test 1

router（config）#ip nat inside source list 1 pool test 2

(6)在内部和外部端口上启用NAT

router (config)# int f0/0

router(config-if)# ip nat out

router (config)# int f1/0

router(config-if)# ip nat in

(7)配置默认路由

router（config）#ip route 0.0.0.0 0.0.0.0 61.159.62.129

配置完成

本章内容就到这里，下章NAT将会讲解PAT的配置和分析并排查各类NAT故障。

创作不易，求关注，点赞，收藏，谢谢~