大型企业网络配置系列课程详解nat

大型企业网络配置系列课程详解（七）

--NAT的配置与相关概念的理解

实验背景：随着接入因特网的计算机数量不断猛增，IPv4版本地址资

源也就愈加显得捉襟见肘。好多企业申请的IP地址都是经过子网不断

划分得到的。A类，B类地址基本已用完，而一般的用户根本就申请不

到整段的公网C类地址。如果，要想让每一个连入互联网的主机拥有公网的IP地址，在IPv4的年代是根本不可能的事情，而IPv6正在不断

发展中，IPv4到IPv6的过度还是需要一段时间的。为了解决这一问题，A类，B类，C类地址里便规划出了一部分私有地址（A类：

10.0.0.0~10.255.255.255，B类：172.16.0.0~172.31.255.255，C类：192.168.1.0~192.168.255.255）作为企业内部使用，而内网与外网之

间的转换便用到了现在主流的NAT(Network Adderss Translation)技术。NAT技术允许使用私有IP地址的企业局域网可以透明地连接到像因特

网这样的公网网络上。NAT不仅解决了IP地址不足的问题，而且还能够隐藏内部网络的细节，避免来自网络外部的攻击，起到一定的安全作用。当然，任何事物，当你提高它其中一部分性能的时候，其它与之关联的性能必然会有所降低。而企业内部启用了NAT之后，做NAT转换的路由器必须对每一个数据包进行IP地址处理，从而造成了一定的网络延迟。

实验目的：1、通过试验了解NAT的基本原理

2、静态NAT的实现与原理

3、动态NAT的实现与原理

4、端口多路复用NAT(PAT)的实现与原理

5、TCP负载均衡配置

实验网络拓扑：

实验步骤：

一、配置模拟公网的基本参数(由于不是重点，点到为止)

为了增加试验的真实性，选用R6和R7互联来模拟公网，并且启用RIP v2（如果，中间路由器多了，还可以启用OSPF路由协议），而两边的网络相当于两个不同的企业。（R6和R7配置完成之后，配置内网的交换路由设备时，要想着R6和R7之间的连接就是公网，而我们根本就不知

道它是如何相连的，我们只需要在企业内部出外网的路由器接口上启用虚拟拨号功能进行IP地址协商动态获得IP地址就可以了，考虑到试验局限性的原因，这里就当出外网的路由器接口已经通过了虚拟拨号验证并分配的公网IP地址。因此，接下来只需要配置默认路由和NAT就可以连入互联网（实际上是R6和R7之间的互联）

R6的具体配置:

R7的具体配置：

检查公网R6和R7是否连接正常：

二、配置内网路由器的基本参数，并启用默认路由（不是重点，点到为止）。

R5的具体配置：

注意：配置默认路由的时候，由于根本就不知道公网的存在，所以，下一跳应该写出外网的端口号。

R10的具体配置：

******************NAT技术的实施****************

其实NAT技术是可以借助于某些代理服务器来实现，但企业考虑到运算成本和网络性能，很多时候，都是在路由器上实现的。当内网数据发送连接外网的路由器上时（R5和R10）,NAT将自动修改IP包头中的源IP 包头中的源IP地址和目的IP地址，IP地址校验则在NAT处理过程中自动完成。NAT支持的业务类型和应用有HTTP，TFTP，Telnet，NTP，NFS 以及任何应用数据流中不承载源/目的IP地址的TCP/IP业务；支持在数据流中有IP地址的业务类型有ICMP，FTP(包括PORT和PASV)，TCP/IP 上的NetBIOS（数据报、名称和会话服务），DNS，H.323/NetMeeting，IP多播（只转换源地址）；不支持的业务类型有路由表更新，DNS区域传送，BOOTP，talk、ntalk，SNMP，Netshow，VPN。

三、静态NAT的配置:

静态NAT转换就是将内部网络的私有IP地址转换成公有合法的IP地址，IP地址的对应关系是一对一的，是不变的，即某个私有IP地址只能转换成某个固定的公有IP地址。这种转换一般拥有公司里某些特定的设备（如服务器）的访问，是不能节省公网IP地址的,但是可以隐藏企业内部服务器的IP地址，降低外网的攻击，从而增强内部设备的安全性。

在内部局部（内网局域网配置的私有地址）和内部全局地址（出外网路由器接口的公网地址）之间建立静态地址转换，将内部局部地址

172.16.0.1转换为内部全局地址100.100.100.1

设置NAT功能的路由器需要由一个内部端口（Inside）和一个外部端口（Outside）。内部端口连接的网络用户使用的是内部IP地址（私有地址），外部端口连接的外部的网络使用的是外部IP地址（公有地址，具有全球唯一性），如因特网。要NAT功能发挥作用，必须在这两个端口上启用NAT。R5的端口F0/0应设置为Inside，F0/1应设置为Outside；R10的E0/0应设置为Outside，E0/1应设置为Inside。

配置完静态NAT之后，使用PC22 ping路由器R10 E0/0接口的IP地址，可以触发R5上数据流量的通过，R5上的静态NAT转换表便会生成。在特权模式下使用show ip nat translation便可以查看静态NAT的统计信息，也可以在其它模式下使用do show ip nat translation查看。

（注意：Pro是协议的意思，Inside global是内部局部IP地址，Inside local是内部全局IP地址，Outside local是外部局部IP地址（由其

所有者给外部网络上的主机分配的IP地址），Outsid global是外部全局IP地址（外部主机表现在内部网络的IP地址））

这里引用一个很形象的例子（书上一段话）加以说明：

其实，NAT地址转换就像这个过程，这些地址就是我们穿的鞋子。内部局部地址就是我们回家之后在家里穿的拖鞋，只能在家里穿不能穿出门，而内部全局地址则是我们出门要穿的皮鞋，出门换上进家脱下来；外部地址就是来家里拜访的客人所穿的鞋子，外部全局地址是客人穿来的皮鞋，到了我们家里要换上我们专门为他准备的拖鞋—外部局部地址，而客人离开的时候，就得换回他自己的皮鞋才能出门。其中，我们自己的皮鞋和客人的皮鞋不能混穿，我们自己的拖鞋和客人的拖鞋不能混穿。这就是4中类型的地址之间的关系。

注意：也可以使用主机PC22 ping 主机PC23的私有地址192.168.1.1（理论是ping不通的，实验也证明了这一点）。

四、动态NAT的配置:

动态NAT是指将内部网络的私有地址转换为公有地址时，IP地址对应关系是不确定的、随即的，所有被授权访问因特网的私有地址可随即转换