静态NAT配置实例与详解

静态NAT配置实例

NAT的实现方式有三种，即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，而是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。但在一个时间点上，同时访问外网的主机数量不会多于地址中的公有IP 地址数量。只有释放后才能被其它的内网主机重新获取分配。即：在一个时间点上是一对一的关系，在一个时间段上是一对多的关系。

端口多路复用是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，PortAddressTranslation)，采用端口多路复用方式。内部网络的所有主机均可共享一个（或多个地址池中的）合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。实现一对多的对应关系

【背景描述】

现假设某单位创建了PC1和 PC2，这两台PC机不但允许内部用户（IP 地址为 172.16.1.0/24 网段）能够相互访问，而且要求 Internet 上的外网用户也能够访问。为实现此功能，本单位向当地的ISP申请了一段公网的IP地址210.28.1.0/24（210.28.1.10和210.28.1.11）。通过静态NAT转换，当Internet 上的用户访问这两台PC时，实际访问的是210.28.1.10和210.28.1.11这两个公网的IP地址，但用户的访问数据被路由器R１（NAT）分别转换为172.16.1.10

和172.16.1.11两个内网的私有IP地址。

【技术原理】

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

静态 NAT 使用本地地址与全局地址的一对一映射，这些映射保持不变。静态 NAT 对于必须具有一致的地址、可从 Internet 访问的 Web 服务器或主机特别有用。这些内部主机可能是企业服务器或网络设备。

静态 NAT 为内部地址与外部地址的一对一映射。静态 NAT 允许外部设备发起与内部设备的连接。配置静态 NAT 转换很简单。首先需要定义要转换的地址，然后在适当的接口上配置 NAT。从指定的 IP 地址到达内部接口的数据包需经过转换。外部接口收到的以指定 IP 地址为目的地的数据包也需经过转换。

【实验设备】

（1）、路由器（2台）交换机（1台）

（2）、测试和配置用 PC （3台）

（3）、直连或交叉双绞线（5 根）

【实验拓扑】

【实验步骤】

步骤一

路由器R1的基本配置。

Router#configure terminal //进入全局配置模式

Router(config)#in f0/1 //进入端口F0/1

Router(config-if)#ip address 210.28.1.2 255.255.255.0 //配置IP地址Router(config-if)#no shut //启用端口，使其转发数据

Router(config-if)#exit

Router(config)#in f0/0 //进入端口F0/0

Router(config-if)#ip address 172.16.1.1 255.255.255.0 //配置IP地址Router(config-if)#no shut //启用端口，使其转发数据

Router(config-if)#exit

Router(config)#ip route 193.168.1.0 255.255.255.0 210.28.1.1

//设置以端口为F0/1的静态路由

步骤二

路由器R2 的基本配置。

Router#configure terminal //进入全局配置模式

Router(config)#in f0/0 //进入端口F0/0

Router(config-if)#ip address 193.168.1.1 255.255.255.0 //配置IP地址Router(config-if)#exit

Router(config)#in f0/1 //进入端口F0/1

Router(config-if)#ip address 210.28.1.1 255.255.255.0 //配置IP地址Router(config-if)#no shut //启用端口，使其转发数据

Router(config-if)#exit

步骤三

在路由器 R1上配置静态 NAT。

R1（config）# interface fastethernet 0/0 //进入端口F0/0

R1（config-if）#ip nat inside //将 fa0/0 端口定义为内部端口

R1（config-if）#exit

R1（config）# interface fastethernet 0/1 //进入端口F0/1

R1（config-if）#ip nat outside //将 fa0/1 端口定义为外部端口

R1（config-if）#exit

R1（config）#ip nat inside source static 172.16.1.10 210.28.1.10

//将内网的172.16.1.10IP地址静态映射为外网的 210.28.1.10 公有 IP地址R1（config）#ip nat inside source static 172.16.1.11 210.28.1.11

//将内网的 172.16.1.11IP地址静态映射为外网的 210.28.1.11 公有 IP地址R1（config）#end

【注意事项】

1、不要把inside和outside弄错。

【说明】

在路由器 R1上使用 show ip nat translations命令查看 NAT 的转换情况。Router#show ip nat translations //显示活动的转换

压缩包中的中一文件staticNAT.pkt可以用Packet Tracer打开，是本实验已经配置好的一个文件。