网络运维学习笔记015网工初级（HCIA-Datacom与CCNA-EI）NAT网络地址转换

文章目录 NAT(Network Address Translation，网络地址转换)思科：1）PAT2）静态端口转换 华为：1）EasyIP2）NAT Server静态NAT：动态NAT：实验1：在R1上配置NAPT让内网所有私有地址通过122.1.2.1访问公网。实验2：Easy IP配置实验3：NATserver配置

NAT(Network Address Translation，网络地址转换)

主要用于实现位于内部网络的主机访问外部网络的功能。局域网内的主机需要访问外部网络时，通过NAT技术可以将私网地址转换成公网地址，并且多个私网用户可共用一个公网地址，这样既可以保证网络互通，又节省了公网地址。一般部署在连接内网与外网的网关设备（边界设备）上。 NAT也是一种安全手段。 静态NAT：实现了私有地址和公有地址的一对一映射，一个公网IP只会分配给唯一且固定的内网主机。 动态NAT：基于地址池来实现私有地址和公网地址的转换。（多对多）方法：1、用ACL匹配（数据抓取） EasyIP允许将多个内部地址映射到网关出接口地址上的不同端口。

思科： 1）PAT

实验：要求10.1.10.0/28,10.1.10.16/28,10.1.10.32/28可以访问公网8.8.8.8，但是不允许10.1.11.0/29,10.1.12.0/29访问公网。 R1(config)# int e0/0 #进入边缘路由的出接口（配置公网地址的一侧） R1(config-if)# ip nat outside #定义为nat的外部接口 （卡住1分钟） R1(config)# int e0/1 #进入内部接口e0/1接口 R1(config-if)# ip nat inside #定义为nat的内部接口 R1(config)# int e0/2 #进入内部接口e0/2接口 R1(config-if)# ip nat inside #定义为nat的内部接口 R1(config)# ip access-list standard 2 #配置标准acl命名为2 R1(config-std-nacl)# 5 permit 10.1.10.0 0.0.0.255 #允许此网段通过（可以把三条规则合为一条）。 R1(config)# ip nat inside source list 2 interface e0/0 overload #把内部的多个地址重复使用e0/0的公网地址 R1(config)# router ospf 110 #进入ospf进程 R1(config-router)# default-information originate (always) #ospf(永久)下放默认路由 R1# show ip nat translations #查看nat转换的信息

2）静态端口转换

还是按照005章的方法在需要被telnet的内部设备如交换机或PC上，把telnet打开后 R1(config)# ip nat inside source static tcp 10.1.11.2 23 202.100.1.1 23 #做静态端口转换

华为： 1）EasyIP

实验：要求10.1.10.0/28,10.1.10.16/28,10.1.10.32/28可以访问公网8.8.8.8，但是不允许10.1.11.0/29,10.1.12.0/29访问公网。 [R1] acl 2000 #创建基本acl命名为2000 [R1-acl-basic-2000] rule permit source 10.1.10.0 0.0.0.15 #允许此网段通过 [R1-acl-basic-2000] rule permit source 10.1.10.16 0.0.0.15 #允许此网段通过 [R1-acl-basic-2000] rule permit source 10.1.10.32 0.0.0.15 #允许此网段通过 [R1-acl-basic-2000] int g0/0/0 #进入边缘路由的出接口（配置公网地址的一侧） [R1-g0/0/0] nat outbound 2000 #应用acl2000 [R1] ospf 10 #进入ospf进程 [R1-ospf-10] default-ro ute-advertise (always) #ospf(永久)下放默认路由 [R1] display ip routing-table #ospf区域内所有设备均产生了默认路由 [R1] display nat outbound #查看nat的外部接口信息 [R1] display nat session all #查看nat的所有会话

2）NAT Server

还是按照005章的方法在需要被telnet的内部设备如交换机或PC上，把telnet打开后 [R1] g0/0/0 #进入边缘路由的出接口 [R1-g0/0/0] nat server protocol tcp global current-interface 23 inside 10.1.11.2 23 #做NAT Server

静态NAT：

nat static global 122.1.2.1 inside 192.168.1.1 #配置静态NAT（接口视图和系统视图都可） nat static enable #若在系统视图配置的静态NAT，则还要进入接口下使能nat static功能。

动态NAT： 实验1：在R1上配置NAPT让内网所有私有地址通过122.1.2.1访问公网。

acl 2000 #创建acl rule 5 permit source 192.168.1.0 0.0.0.255 #允许某网段。 nat address-group 1 122.1.2.1 122.1.2.1 #创建地址池1，加入一个IP地址 interface g0/0/1 ip address 12.1.1.1 24 nat outbound 2000 address-group 1 #将ACL2000的流量引入NAT技术，并保证内部流量可以使用合法地址池的地址来做映射访问外部网络

实验2：Easy IP配置

[R1]acl 2000 [R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 一般企业写rule permit source any 允许所有即可 [R1]int g0/0/1 [R1-GigabitEthernet0/0/1]nat outbound 2000

实验3：NATserver配置

在R1上配置NAT Server将内网服务器192.168.1.10的23端口映射到公有地址122.1.2.1的9999端口。 [R1]interface g0/0/1 [R1-GigabitEthernet0/0/1]ip address 122.1.2.1 24 [R1-GigabitEthernet0/0/1]nat server protocol tcp global 202.10.10.1 9999 inside 192.168.1.1 23 #上述命令 nat server 表示启用 NAT server服务，通过protocol关键字来控制NAT是针对TCP协议的