(实验四)网络地址翻译nat与pat实验

实验十NAT (网络地址转换)的超载及PAT（接口地址转换）的应用（一）实验要求：（1）只有一个ip地址为172.16.1.1/24，通过运用ＮＡＴ（网络地址转换）的超载的配置来实现多台计算机上网;（2）只有一个ip地址为172.16.1.1/24，通过运用PＡＴ（接口地址转换）的超载的配置来实现多台计算机上网;（二）实验目的：运用路由器可将上述实验进行配置，从而理解并NAT (网络地址转换)及PAT（接口地址转换）的实现原理。

（四）实验过程主机IP配置：PC1: 192.168.1.4 PC2: 172.16.1.5255.255.255.0 255.255.255.0192.168.1.1 172.16.1.1对路由器Ｒ进行基本配置：Router>enableRouter#conf tRouter(config)#int fa0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#no shutRouter(config-if)#int fa0/1Router(config-if)#ip nat outsideRouter(config-if)#ip add 172.16.1.1 255.255.255.0Router(config-if)#no shutRouter(config)#Access-list 1 permit 192.168.1.0 0.0.0.255（1）只有一个ip地址为172.16.1.1/24，通过运用NＡＴ（网络地址转换）的超载的配置来实现多台计算机上网，配置如下：Router(config)#ip nat inside source list 1 pool outuserRouter(config)#ip nat pool outuser 172.16.1.1 172.16.1.1.netmask 255.255.255.0（2）只有一个ip地址为172.16.1.1/24，通过运用PＡＴ（接口地址转换）的超载的配置来实现多台计算机上网，配置如下：Router(config)#ip nat inside source list 1 pool outuser overloadRouter(config)#ip nat pool outuser 172.16.1.1 172.16.1.1.netmask 255.255.255.0验证地址转换：Show ip nat translationsShow ip nat statisticsDebug ip nat思考：运用PＡＴ（接口地址转换）与NＡＴ（网络地址转换）的超载的配置来实现多台计算机上网有什么区别？outer#sh ip nat translationsPro Inside global Inside local Outside local Outside globalicmp 172.16.1.1:768 192.168.1.5:768 172.16.1.5:768 172.16.1.5:768--- 172.16.1.1 192.168.1.5 --- ---Router#debug ip natIP NAT debugging is on*May 28 07:54:37.751: NAT*: s=192.168.1.5->172.16.1.1, d=172.16.1.5 [42547]*May 28 07:54:37.755: NA T*: s=172.16.1.5, d=172.16.1.1->192.168.1.5 [1102]*May 28 07:54:38.755: NA T*: s=192.168.1.5->172.16.1.1, d=172.16.1.5 [42548]*May 28 07:54:38.755: NA T*: s=172.16.1.5, d=172.16.1.1->192.168.1.5 [1103]*May 28 07:54:39.755: NA T*: s=192.168.1.5->172.16.1.1, d=172.16.1.5 [42549]*May 28 07:54:39.755: NA T*: s=172.16.1.5, d=172.16.1.1->192.168.1.5 [1104]*May 28 07:54:40.755: NA T*: s=192.168.1.5->172.16.1.1, d=172.16.1.5 [42550]*May 28 07:54:40.755: NA T*: s=172.16.1.5, d=172.16.1.1->192.168.1.5 [1105]PATRouter#show ip nat translationsPro Inside global Inside local Outside local Outside globalicmp 172.16.1.1:768 192.168.1.5:768 172.16.1.5:768 172.16.1.5:768Router#debug ip natIP NAT debugging is onMay 28 08:16:48.079: NAT*: s=172.16.1.5, d=172.16.1.1->192.168.1.6 [1269]*May 28 08:16:49.075: NA T*: ICMP id=768->512*May 28 08:16:49.075: NA T*: s=192.168.1.6->172.16.1.1, d=172.16.1.5 [4199]*May 28 08:16:49.079: NA T*: ICMP id=512->768*May 28 08:16:49.079: NA T*: s=172.16.1.5, d=172.16.1.1->192.168.1.6 [1270] *May 28 08:16:49.255: NA T*: s=192.168.1.5->172.16.1.1, d=172.16.1.5 [42710] *May 28 08:16:49.255: NA T*: s=172.16.1.5, d=172.16.1.1->192.168.1.5 [1271] *May 28 08:16:50.079: NA T*: ICMP id=768->512*May 28 08:16:50.079: NA T*: s=192.168.1.6->172.16.1.1, d=172.16.1.5 [4200] *May 28 08:16:50.079: NA T*: ICMP id=512->768*May 28 08:16:50.079: NA T*: s=172.16.1.5, d=172.16.1.1->192.168.1.6 [1272] *May 28 08:16:50.255: NA T*: s=192.168.1.5->172.16.1.1, d=172.16.1.5 [42711] *May 28 08:16:50.255: NA T*: s=172.16.1.5, d=172.16.1.1->192.168.1.5 [1273] *May 28 08:16:51.075: NA T*: ICMP id=768->512*May 28 08:16:51.079: NA T*: s=192.168.1.6->172.16.1.1, d=172.16.1.5 [4202] *May 28 08:16:51.255: NA T*: s=192.168.1.5->172.16.1.1, d=172.16.1.5 [42712] *May 28 08:16:51.255: NA T*: s=172.16.1.5, d=172.16.1.1->192.168.1.5 [1275]。

华为ENSP实验指南】网络地址转换NAT技术原理和实验简介I P有公网与私网的区分，通常内网使用私网I P，I n t e r n e t使用公网I P地址，而使用私网地址的计算机访问公网时需要使用N A T技术。

网络地址转换（N e t w o r k A d d r e s s T r a n s l a t i o n，简称N A T），N A T分为静态N A T、动态N A T、网络地址端口转换。

网络拓扑静态NAT原理与配置静态N A T就是一个私网地址对应一个公网地址，它不能节约公网地址，在实际应用中一般很少采用这种方式，常见的就是服务器使用。

静态N A T1对1的主机通信，通常用于服务器R1<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]sys AR1[AR1]inter g0/0/1[AR1-GigabitEthernet0/0/1]ip add 200.1.1.2 30[AR1-GigabitEthernet0/0/1]inter g0/0/0[AR1-GigabitEthernet0/0/0]ip add 192.168.1.1 24[AR1-GigabitEthernet0/0/0]inter g0/0/1[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.242 ?inside Specify inside information of NAT[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.242 ins[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.242 inside 192.168.1.10 [AR1-GigabitEthernet0/0/1]disp this[V200R003C00]#interface GigabitEthernet0/0/1ip address 200.1.1.2 255.255.255.252nat static global 117.29.161.242 inside 192.168.1.10 netmask 255.255.255.25 5#return[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.243 inside 192.168.1.20 R2<Huawei>u t m<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]sys AR2[AR2]inter g0/0/0[AR2-GigabitEthernet0/0/0]ip add 200.1.1.1 30[AR2-GigabitEthernet0/0/0]quit[AR2]ip route-static 117.29.161.242 255.255.255.0 200.1.1.2P A T[AR1]inter g0/0/1[AR1-GigabitEthernet0/0/1]undo nat static global 117.29.161.242 inside 192.168.1.10[AR1-GigabitEthernet0/0/1]undo nat static global 117.29.161.243 inside 192.168.1.20[AR1-GigabitEthernet0/0/1]disp this #检查一下配置是否删除[AR1-GigabitEthernet0/0/1]quit[AR1]nat address-group 1 117.29.161.242 117.29.161.242 #NAT地址池（我只配置了1个IP，如果有多个都可以加进去）[AR1]acl 2020 #创建基本ACL[AR1-acl-basic-2020]rule 5 permit source 192.168.1.0 0.0.0.255 #允许1.0网段获取[AR1-acl-basic-2020]inter g0/0/1#地址池和列表进行关联[AR1-GigabitEthernet0/0/1]nat outbound 2020 address-group 1 ?no-pat Not use PAT<cr> Please press ENTER to execute command#到这一步如果直接回车，在华为默认启用PAT#PAT即对一个公网地址反复使用，通过端口号转换，#如果想用动态NAT，则需要在group 1后面加上no-pat#动态NAT无法节约公网IP，在地址池中选一个IP对应一个内网IP[AR1-GigabitEthernet0/0/1]nat outbound 2020 address-group 1 #回车对地址池和列表进行关联，使用PAT功能使用P A T时，从主机p i n g200.1.1.1两台可同时使用，但从200.1.1.1p i n g117.29.161.242是不通的，因为很多主机拿了它作地址，不指定端口根本无法找到（P A T相当于天然防火墙，向外屏蔽了真实地址）动态NAT[Huawei-GigabitEthernet0/0/1]undo nat outbound 2020 address-group 1 #取消PAT[Huawei-GigabitEthernet0/0/1]nat outbound 2020 address-group 1 no-pat #使用动态NAT基于接口的PAT现实场景中，应用最为广泛的P A T，配置基于接口的P A T可以使用一个公网I P就可以让全公司的人上网[Huawei-GigabitEthernet0/0/1]undo nat outbound 2020 address-group 1[Huawei-GigabitEthernet0/0/1]nat outbound 2020 #outbound 2020默认使用地址池的公网地址进行替换复用[Huawei-GigabitEthernet0/0/1]disp this[V200R003C00]#interface GigabitEthernet0/0/1ip address 200.1.1.2 255.255.255.252nat outbound 2020 #return。

计算机网络地址翻译（NAT）的原理及具体应用论文计算机网络地址翻译(NAT)的原理及具体应用论文网络地址翻译(NAT,Network Address Translation)是计算机网络技术中的一个重要技术。

通过分析NAT技术的原理,文章完整的介绍了NAT技术的各个方面,并以CISCO路由器为例,提出了具体应用。

随着Internet的膨胀式发展,其可用的公网IP地址越来越少,要想再申请到一个新的公网IP地址已是很不容易的事了。

NAT技术很方便的解决了这些问题。

NAT(Network Address Translation)网络地址翻译,指的是将一个内网私有IP地址转换成外网(公网)IP地址。

利用NAT 技术,公网IP地址可以对外代表一个或多个内部地址。

我们一般可以把NAT技术分为三种:静态NAT,动态NAT和NAPT,其中NAPT又可以称为PAT。

1、静态NAT静态NAT的工作原理很简单。

NAT将网络分为内部网络(inside)和外部网络(outside),内部网络指的是单位内部局域网,外部网络指的是公共网络,一般是指Internet。

静态NAT将内部本地私有IP地址与外部合法公网IP地址进行一对一的转换,且需要指定到底内部IP和哪个合法地址进行转换,即需要建立一张网络地址转换表;内部地址与全局地址一一对应,每当内部节点与外界通信时,内部私有IP地址就会转换为对应的公网IP 地址。

某学校内部局域网使用的IP网段是192.168.0.0/24,现在它们申请了一段公网IP:100.0.0.3——100.0.0.100/24。

静态NAT就是要求内部私有IP地址和公网IP地址是一一对应的'关系。

那么假设PC1有一个私有IP:192.168.0.3/24,当它需要访问Internet时,它先向路由器发出请求,路由器会根据静态NAT的设置,把私有IP(192.168.0.3)转换为公网IP(100.0.0.3),然后把数据包发送出去。

千里之行，始于足下。

关于nat实训报告实训报告-NAT(Network Address Translation)网络地址转换一、实训背景和目的随着国内互联网的蓬勃发展，网络连接数的快速增长，IPv4地址资源日益紧缺。

而IPv6的部署和普及还需要一定的时间，因此需要通过一些手段来有效地利用有限的IPv4地址资源。

网络地址转换(NAT)就是一种常用的解决方案，通过将一组私有IP地址映射为公共IP地址，来实现多台设备共享公共IP地址的功能。

本次实训旨在通过搭建、配置和管理一个NAT网络，加深对NAT的理解和使用，掌握相关操作方法。

二、实训内容和步骤1. 理论知识学习在实训开始前，首先进行了相关理论知识的学习。

了解了NAT的基本概念和原理，包括IP地址的分类和划分、IPv4与IPv6的差异、私有IP地址和公共IP地址的作用等。

2. 环境准备搭建实验环境，需要一台拥有多网口的服务器和多台终端设备。

在这里选择了Ubuntu Server作为服务器操作系统，使用VirtualBox虚拟化软件创建多台虚拟机作为终端设备。

3. 配置网络连接通过虚拟网卡和网桥的设置，将服务器和终端设备连接到同一个网络中，保证它们可以相互通信。

第1页/共3页锲而不舍，金石可镂。

4. 配置NAT设备在服务器上安装配置iptables，将私有IP地址映射为公共IP地址。

根据需要，可以设置端口映射、IP过滤等规则，以实现更多的网络功能。

5. 测试NAT网络将终端设备配置为使用私有IP地址，然后通过服务器上的NAT设备访问互联网。

同时，可以测试不同终端设备之间的通信功能。

6. 管理NAT设备通过命令行工具或者图形界面工具，对NAT设备进行管理。

包括添加、修改和删除转换规则，查看转换状态和日志等。

7. 故障排除和优化如果出现网络故障或性能问题，需要进行排查和处理。

通过分析日志、查看错误信息等方法，找到问题所在，并尝试解决。

可以加深对NAT设备的理解和应用。

NATvsPAT协议对比网络地址转换的应用场景选择NAT vs PAT协议对比：网络地址转换的应用场景选择网络地址转换（Network Address Translation，简称NAT）和端口地址转换（Port Address Translation，简称PAT）是用于在互联网连接中进行IP地址转换的两种常用协议。

它们在网络通信中起到了重要的作用，有着各自适用的应用场景。

本文将对NAT和PAT两种协议进行对比，并讨论它们在网络地址转换中的应用场景选择。

一、NAT协议的特点与应用场景NAT协议是一种将私有IP地址转换成公有IP地址的技术，它使得私有网络中的多台计算机可以通过一个公有IP地址通过互联网进行通信。

NAT协议的主要特点如下：1. IP地址转换：NAT协议通过将私有IP地址映射为公有IP地址，实现了内部网络与外部网络之间的通信。

2. 提高网络安全性：由于NAT隐藏了内部网络的真实IP地址，在一定程度上可以保护内部网络的安全性，减少了来自外部网络的直接攻击。

3. 节省公网IP地址：由于NAT将多个内部网络IP地址映射为一个公有IP地址，大大减少了对公网IP地址的需求，有效节省了IP地址资源。

NAT协议主要应用于以下场景：1. 家庭网络和小型企业网络：由于家庭和小型企业的网络规模较小，仅需通过一个公有IP地址与互联网进行通信，因此NAT协议非常适合这类场景。

2. ISP（互联网服务提供商）：许多ISP使用NAT协议将多个家庭或企业用户的私有IP地址转换为少量的公有IP地址提供给用户，实现了IP地址资源的优化使用。

二、PAT协议的特点与应用场景PAT协议是NAT的一种扩展形式，它通过将端口号添加到转换过程中，实现多个私有IP地址与一个公有IP地址之间的映射，并通过端口号区分不同的连接。

PAT协议具有以下特点：1. 支持多对多映射：相比NAT协议只能一对一地映射IP地址，PAT协议可以实现多对多的映射，提供更多的端口号以支持更多的连接。

配置NAT的静态转换、动态转换和PAT 实验人：实验名称：配置NAT的静态转换、动态转换和PAT实验目的：掌握配置NAT的静态转换、动态转换和PAT的方法实验原理：用小凡搭建如图实验环境配置静态NAT：在R1路由器上，配置静态NAT（ip nat inside source static 192.168.1.1 202.96.1.3 和ip nat inside source static 192.168.1.2 202.96.1.4），打开debug ip nat 功能，查看地址转换情况，即192.168.1.1转换为202.96.1.3 ，192.168.1.2 转换为202.96.1.4 即实验成功！配置动态NAT：在R1路由器上，配置动态NAT（access-list 1 permit 192.168.1.0 0.0.0.255（配置访问控制列表）ip nat pool cisco 202.96.1.5 202.96.1.6 netmask 255.255.255.0（配置分配IP的地址池）ip nat inside source list 1 pool cisco（访问控制列表和地址池的绑定）），打开debug ip nat 功能，查看地址转换情况，若其中两台PC机可以ping通，有一台不能ping通，即实验成功！配置网络地址端口转换PAT：在R1路由器上，配置网络地址端口转换PAT，（access-list 1 permit 192.168.1.0 0.0.0.255（配置访问控制列表）ip nat pool cisco 202.96.1.8 202.96.1.8 netmask 255.255.255.0（配置分配IP 的地址池）ip nat inside source list 1 pool cisco overload（访问控制列表和地址池的绑定）），打开debug ip nat 功能，查看地址转换情况，若PC1、PC2和PC3的地址都转换为202.96.1.8，即实验成功！实验过程：配置静态NAT⑴用小凡搭建如图实验环境，如图示：⑵在R1上，配置S0/0和F1/0端口的IP地址，然后配置路由协议，只宣告公网的IP网络，如图示：⑶在R2上，配置S0/0和loopback 0端口的IP地址，然后配置路由协议，如图示：⑷在PC1、PC2和PC3上，配置IP地址和网关，如图示：⑸此时，在PC1、PC2和PC3上，都不能ping通2.2.2.2 如图示：⑹在R1上，配置静态NAT，然后再S0/0和F1/0端口分别宣布outside和inside，如图示：⑺此时，即可ping通2.2.2.2 如图示：⑻在R1上，打开debug功能，即可看到地址转换的过程，如图示：⑼此时，用PC1和PC2依次ping 2.2.2.2 都能ping通，如图示：⑽同时，在R1上，可以看到PC1和PC2依次ping 2.2.2.2 时，地址的转换情况，如图示：⑾在R1上，查看NAT地址转换信息，如图示：⑿在R1上，用命令查看已经地址转换的情况，即实验成功！如图示：配置动态NAT：⑴用小凡搭建如图实验环境，如图示：⑵在R1上，配置S0/0和F1/0端口的IP地址，然后配置路由协议，只宣告公网的IP网络，如图示：⑶在R2上，配置S0/0和loopback 0端口的IP地址，然后配置路由协议，如图示：⑷在PC1、PC2和PC3上，配置IP地址和网关，如图示：⑸此时，在PC1、PC2和PC3上，都不能ping通2.2.2.2 如图示：⑹在R1上，配置动态NAT ，如图示：⑺此时，PC1和PC3可以ping通2.2.2.2 ，但PC2不能ping 通，即实验正确，如图示：⑻在R1上，可以看到地址转换的情况，因为地址池中只用两个地址，所以在分配完地址后，当PC2再ping2.2.2.2 时，不能ping通，即无地址再分配，地址转换出错，即实验成功！如图示：⑼在R1上，查看动态NAT 信息，如图示：⑽用命令查看已转换的NAT地址转换情况，如图示：⑾若出现如图内容，即地址转换（NAT）缓存失效，如图示：配置PAT（网络地址端口转换）：⒈用小凡搭建如图实验环境，如图示：⒉在R1上，配置S0/0和F1/0端口的IP地址，然后配置路由协议，只宣告公网的IP网络，如图示：⒊在R2上，配置S0/0和loopback 0端口的IP地址，然后配置路由协议，如图示：⒋在PC1、PC2和PC3上，配置IP地址和网关，如图示：⒌此时，在PC1、PC2和PC3上，都不能ping通2.2.2.2 如图示：⒍在R1上，配置网络地址端口转换PAT，如图示：⒎配置S0/0为outside ，配置F1/0为inside 如图示：⒏此时，用PC1、PC2和PC3依次ping 2.2.2.2 都可以ping 通，如图示：⒐此时，在R1打开debug ip nat功能，即可看到：PC1、PC2和PC3的IP地址，都转换为202.96.1.8 即实验成功！如图示：⒑此时，在R1上，查看NAT信息，如图示：⒒此时，在R1查看地址转换信息，如图示：⒓也可以使用如图方法配置PAT，如图示：⒔此时，PC1、PC2和PC3的IP地址，都转换为202.96.1.1 ，即实验成功！如图示：总结：在实验中，配置这两种NAT转换，都需要一个IP对应转换一个IP地址，不能多个IP对应转换一个公网IP；NAT常用类型：静态NAT（Static NAT）、动态地址NAT（Pooled NAT）、网络地址端口转换PAT；静态地址转换将内部本地地址与内部合法地址进行一对一的转换，动态NAT是动态一对一的映射，PAT 为多对一；清除缓存：clear ip nat translation * ；动态NAT转换的缓存时间为一天，但网络地址端口转换PAT没有缓存。

网络工程实验四NAT和PAT配置一、实验环境一台装有Boson NetSim for CCNP和Boson Network Designer软件的PC 机。

二、实验目的本实验的目的是通过配置静态地址传输，动态地址传输，对NAT的工作原理有初步的熟悉，把握NAT在路由器上的配置方法，对NAT在网络上的应用有更深的了解。

三、实验步骤1、通过Boson Network Designer画出实验拓扑图。

2、配置静态NAT，查看配置并用Ping命令检验3、配置动态NAT，同样查看配置并检验4、配置动态PAT四、实验过程Step1：在Boson Network Designer画出实验拓扑图如图3-1所示。

图3-1 实验拓扑图Step2：配置各个路由器端口的IP地址，并在RouterB和RouterC上配置到网段的静态路由。

而在RouterA上分别为RouterB和RouterC配置一条到达内部全局地址的静态路由。

如图4-1，4-2，4-3，4-4，4-5，4-6所示。

图 4-1Host_1IP图 4-2Host_1IP图 4-3Host_1IP图 4-4RouterA各端口和静态路由配置图 4-5RouterB各端口和静态路由配置图 4-6RouterC各端口和静态路由配置Step3：在RouterB上配置静态NAT，将Host_2的内部局部地址10.0.1.2转化为外部全局地址。

如图4-7所示。

图 4-7在RouterB配置静态NAT在Host_1主机上使用Ping检验静态NAT，如图4-8所示可以Ping通，证明静态NAT配置成功。

图 4-8使用Ping命令检验静态NATStep4：在RouterB上配置静态NAT，允许Host_3所在网段通过外部全局地址到地址访问Internet。

如图4-9所示。

图 4-9在RouterC上配置动态NATStep5：配置PAT，先删除所有NAT配置，保留ACL的配置。

静态NAT 实验一、实验拓扑二、实验概述Internet 技术的飞速发展，使越来越多的用户加入到Internet，因此，IP 地址短缺已成为一个十分突出的问题。

NAT（Network Address Translation，网络地址翻译）是解决IP 地址短缺的重要手段。

NAT 技术使用一个私有网络可以通过Internet 注册IP 连接到外部世界，位于Inside 网络和Outside 网络中的NAT 路由器在发送数据包之前，负责把内部IP 地址翻译成外部合法的IP 地址。

NAT 将每个局域网节点的IP 地址转换成一个合法的IP 地址，反之亦然。

它也可以应用到防火墙技术中，把个别IP 地址隐藏起来不被外界发现，对内部网络设备起到保护的作用，同时，它还可以帮助网络超越地址的限制，合理地安排网络中的公有Internet 地址和私有IP 地址的使用。

三、实验步骤内部主机配置配置路由器R1提供NAT 服务R1(config)#int f1/0R1(config-if)#ip add 192.168.1.3 255.255.255.0R1(config-if)#no shutdownR1(config-if)#int s0/0R1(config-if)#ip add 202.103.224.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exiR1(config)#ip route 0.0.0.0 0.0.0.0 s0/0//配置默认路由能够去往目标网络R1(config)#ip nat inside source static 192.168.1.1202.103.224.10R1(config)#ip nat inside source static 192.168.1.2202.103.224.11//配置静态NAT的映射，将内部私有地址在通过外网设备时被转换成一个共有IP地址将NAT关联到接口R1(config)#int f1/0R1(config-if)#ip nat inside //配置NAT 内部接口R1(config-if)#int s0/0R1(config-if)#ip nat outside//配置NAT外部接口配置R2作为外网R2(config)#int s0/0R2(config-if)#ip add 202.103.224.2 255.255.255.0R2(config-if)#no shutdownR2(config-if)#int lo0R2(config-if)#ip add 2.2.2.2 255.255.255.255R2(config)#ip route 0.0.0.0 0.0.0.0 s0/0（需要访问内网时所需）四、实验分析主机1、2分别访问2.2.2.2/32的情况，在R1上开启NAT的调试信息以上输出表明了NAT 的转换过程。

一、原理回顾网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。

原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

虽然NAT可以借助于某些代理服务器来实现，但考虑到运算成本和网络性能，很多时候都是在路由器上来实现的。

随着接入Internet的计算机数量的不断猛增，IP地址资源也就愈加显得捉襟见肘。

事实上，除了中国教育和科研计算机网(CERNET)外，一般用户几乎申请不到整段的C类IP地址。

在其他ISP那里，即使是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有几个或十几个IP地址。

显然，这样少的IP地址根本无法满足网络用户的需求，于是也就产生了NAT技术。

l.NAT简介借助于NAT，私有(保留)地址的"内部"网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。

NAT将自动修改IP报文的源IP地址和目的IP地址，Ip地址校验则在NAT处理过程中自动完成（对于ICMP，NAT也自动完成地址转换）。

有些应用程序将源IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文进行修改，以匹配IP 头中已经修改过的源IP地址。

否则，在报文数据都分别嵌入IP地址的应用程序就不能正常工作。

2.NAT实现方式NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

实验四、路由器NAT实验一、实验目的：1、进一步了解网络地址划分，知道私有地址范围。

2、熟悉掌握路由器网络地址转换的设置。

3、进一步学习路由器操作，掌握路由器基本应用。

二、实验内容：1、了解、认识网络地址转换（NAT）和代理。

2、学习使用路由器设置代理服务器。

三、实验工具和设备：华为路由器 1 台配置口（Console）电缆 1根集线器（HUB） 1 台计算机（CPU为586，已配置网卡）若干交叉电缆 1 根直通电缆若干四、实验原理：1、NAT技术简介NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。

顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。

①NAT技术产生的背景随着Internet的发展和网络应用的增多，IPv4地址枯竭已成为制约网络发展的瓶颈。

尽管IPv6可以从根本上解决IPv4地址空间不足问题，但目前众多网络设备和网络应用大多是基于IPv4的，因此在IPv6广泛应用之前，一些过渡技术（如CIDR、私网地址等）的使用是解决这个问题最主要的技术手段。

其中，使用私网地址之所以能够节省IPv4地址，主要是利用了这样一个事实：一个局域网中在一定时间内只有很少的主机需访问外部网络，而80%左右的流量只局限于局域网内部。

由于局域网内部的互访可通过私网地址实现，且私网地址在不同局域网内可被重复利用，因此私网地址的使用有效缓解了IPv4地址不足的问题。

当局域网内的主机要访问外部网络时，只需通过NAT技术将其私网地址转换为公网地址即可，这样既可保证网络互通，又节省了公网地址。

IANA保留以下三个网段中的地址作为私网地址：10.0.0.0～10.255.255.255172.16.0.0～172.31.255.255192.168.0.0～192.168.255.255使用私网地址的主机不能直接访问Internet，而在Internet上也不能直接访问使用私网地址的主机。

实验五配置实现N A T / P A T一、实验目的1.熟练掌握地址转换的3种实现技术，特别掌握动态NAT及PAT的配置方法；2.掌握使用show ip nat translation 和debug ip nat 等命令对路由器地址转换表内容的各种查看和跟踪方法；3.能按要求利用Cisco Packet Tracer V5.00 模拟配置工具工具绘制出本实验的网络拓扑图，并能实现拓扑的物理连接；4.熟悉配置NAT的3种方法及其基本操作步骤：掌握在存根网络中配置实现PAT的方法。

二、实验环境/ 实验拓扑1.每人一台安装并配置有Cisco Packet Tracer V5.00 模拟配置工具的PC机。

2．拓扑图三、实验内容1. 利用Cisco Packet Trancer V5.00 模拟配置工具绘制出本实验的网络拓扑图；2总结3种实现技术，掌握Cisco Packet Trancer V5.00动态NAT/PAT的配置方法；3 使用show ip nat translation 和debug ip nat 等命令对路由器地址转换表内容的各种查看方法和跟踪方法；4. 在路由器上利用show ipinterface brief命令查看各个端口的信息：5. 利用ping ，traceroute ，telnet ，debug 等相关命令，进行网络连通性检查和配置结果测试。

四、实验步骤：Stepl:选择添加3个2620XM路由器设备至逻辑工作空间；（提示：2620X M路由器需要断电后接插WIC-2T模块才有广域网互联用的高速同步串口）Step2:将RouterO路由器的主机名命名为London;将Routerl路由器的主机名命名为Florence ；将Router2 路由器的主机名命名为Denver；Step3:配置Flore nee的en able 口令及VTY线路密码；（提示：将enable password 设为shzu、将enable secret 设为eiseo、将VTY线路密码设为eiseo ）Step4: 查看当前Florenee 路由器的配置文件内容（内存信息）并记录下来。

NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。

以下设置以Cisco路由器为例。

地址转换配置步骤：1在全局设置模式下，定义内部合地址池ip nat pool 地址池名字起始IP地址终止IP地址子网掩码2.在全局设置模式下，定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换。

access-list 标号permit 源地址通配符其中标号为1－99之间的整数。

3.在全局设置模式下，设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。

ip nat inside source list 访问列表标号pool 内部合法地址池名字overload4.在端口设置状态下，指定与内部网络相连的内部端口ip nat inside5.在端口设置状态下，指定与外部网络相连的外部端口ip nat outside1.静态地址转换静态地址转换将内部本地地址与内部合法地址进行一对一地转换，且需要指定和哪个合法地址进行转换。

如果内部网络有WWW服务器或FTP服务器等可以为外部用户提供服务，则这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。

A.ip nat pool nat-pool 218.27.84.252 218.27.84.254 netmask 255.255.255.248ip nat inside source list 1 pool nat-pool overloadip nat inside source static 192.168.2.254 218.27.84.249 假如发布WEB时需要静态映射发布ip route 0.0.0.0 0.0.0.0 Serial0/0access-list 1 permit 192.168.2.0 0.0.0.255interface Ethernet0/1ip address 192.168.2.254 255.255.255.0ip nat insideB…静态源地址翻译1)定义外部接口和外部接口Router (config)#interface fa X/XRouter(config-if)#ip nat (inside | outside )2)定义源地址转换Router (config)#ip nat ( inside | outside ) source static source_add translate_addEg..Router (config)#ip nat inside source static 10.1.1.10 202.100.192.68Router (config)#ip nat outside source static 202.100.192.68 10.1.1.102.动态地址转换动态地址转换也是将内部本地地址与内部合法地址一对一地转换，但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。

网络地址转换（NAT）实验实验拓扑：实验要求：在R1，R2上实现内网与外网的地址转换。

R1，R2通过各自的E0口各连接着一个局域网；R1连接的局域网有五台PC机子，可通过给R1的E0口配置5个第二IP地址来模拟局域网；R2连接的局域网我们看成是一台机子（做为代表），要求实现R1连接的局域网能与R2连接的局域网进行通信！实验IP地址表：路由器接口IP地址R1 E0 10.1.1.1/24R1 E0 10.1.1.2/24 SECR1 E0 10.1.1.3/24 SECR1 E0 10.1.1.4/24 SECR1 E0 10.1.1.5/24 SECR1 S0 202.101.98.5/24R2 S0 202.101.98.6/24R2 E0 172.16.18.1/24实验配置如下：一、基本配置：配置R1：Router>enRouter#conf tRouter(config)#hostname R1R1(config)#int E0R1(config-if)#ip add 10.1.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#ip add 10.1.1.2 255.255.255.0 sec //在E0口上配置多个第二IP模拟R1所连局域网R1(config-if)#ip add 10.1.1.3 255.255.255.0 sec福州SPOTO TM（思博）计算机高级技术培训中心福州SPOTO TM （思博）计算机高级技术培训中心R1(config-if)#ip add 10.1.1.4 255.255.255.0 sec R1(config-if)#ip add 10.1.1.5 255.255.255.0 sec R1(config)#no keepalive //禁止端口更新R1(config)#ip route 0.0.0.0 0.0.0.0 S0 //添加到R2的路由 R1(config)#int S0R1(config-if)#ip add 202.101.98.5 255.255.255.0 R1(config-if)#no shut R1(config-if)#end R1#sh run配置R2： Router>enRouter#conf tRouter(config)#hostname R2 R2(config)#ine E0R2(config-if)#ip add 172.16.18.1 255.255.255.0 R2(config-if)#no shutR2(config-if)#no keepalive R2(config-if)#exit R2(config)#int S0R2(config-if)#ip add 202.101.98.6 255.255.255.0 R2(config-if)#no shutR2(config-if)#clock rate 64000 //设置DCE 时钟同步，为DTE 端提供时钟 R2(config-if)#no keepalive R2(config-if)#end R2#sh run二、配置静态NA T （一对一映射）配置R1： R1#conf tR1(config)#ip nat inside source static 10.1.1.1 202.101.98.1 //后者为下一网段的IP R1(config)#ip nat inside source static 10.1.1.2 202.101.98.1 R1(config)#ip nat inside source static 10.1.1.3 202.101.98.1 R1(config)#ip nat inside source static 10.1.1.4 202.101.98.1 R1(config)#ip nat inside source static 10.1.1.5 202.101.98.1 R1(config)#int E0R1(config-if)#ip nat inside R1(config-if)#int S0R1(config-if)#ip nat outsideS P O T O 实验报告福州SPOTO TM （思博）计算机高级技术培训中心R1(config-if)#end R1#debug ip natR1#ping //此处使用扩展PING三、配置动态NA T ： 1.通过接口： 配置R1： R1#conf tR1(config)#no ip nat inside source static 10.1.1.1 202.101.98.1 //删除原先设置的静态NA T 映射 R1(config)#no ip nat inside source static 10.1.1.2 202.101.98.1 R1(config)#no ip nat inside source static 10.1.1.3 202.101.98.1 R1(config)#no ip nat inside source static 10.1.1.4 202.101.98.1R1(config)#no ip nat inside source static 10.1.1.5 202.101.98.1 R1(config)#ip nat inside source list 110 interface S0R1(config)#access-list 110 permit ip 10.1.1.0 0.0.0.255 any //建立一ACL ，匹配内网所有主机 R1(config)#endR1#ping //此处使用扩展PING2.动态池： R1#conf tR1(config)#no ip nat inside source list 110 interface S0 /删除上面通过接口设置的映射 R1(config)#ip nat pool chinalion 202.101.98.5（//开始IP ） 202.101.98.6（//结束IP ） netmask 255.255.255.0 //建立IP 动态池 R1(config)#ip nat inside source list 110 pool chinalion overload R1(config)#end R1#sh runR1#ping //此处使用扩展PING实验总结：1.配置动态 IP 地址池不能使用已经使用在接口上的 IP ，最好选择其它同一网段的 IP （这里排除了10.1.20.1 和 10.1.20.2 而使用了 10.1.20.3 和 10.1.20.4）；2.配置 NA T 的原则是让内网可以访问外网，保护内网，所以与内网连接的端口为 inside ， 与外网连接的端口为outside ；3.配置访问控制列表的时候，permit 的是内网的IP 地址，而非外网的地址；4.配置静态NA T 时候，是一一映射关系，即一个公网IP 对应一个内网主机，使用此方式需要保证有足够的公网IP 地址；5. 配置PAT 方式，在应用NAT 语句结尾打上OVERLOAD ，路由器会立即开启过载功能，使用端口转发S P O T O 实验报告福州SPOTO TM （思博）计算机高级技术培训中心的方式进行内外网地址互相转换。

网络地址翻译方法总结和实验一、前言 (1)二、源网络地址转换(NAT-Src) (2)一.不带DIP (2)二.带DIP (4)一). 1对1映射 (4)二). 1对多映射 (7)三).多对1 映射 (9)四).多对多映射 (10)三、Netscreen防火墙各种地址翻译方法的特点总结 (14)四、地址翻译方法实验 (18)１. Netscreen防火墙的地址翻译实验环境 (18)２. Netscreen防火墙的策略地址翻译实验 (18)3.1 由外向内的地址翻译 (18)3.2 由内向外的地址翻译 (28)３. Netscreen防火墙的接口地址翻译实验 (33)4.1 MIP地址翻译 (33)4.2 VIP地址翻译 (36)４. 将MIP和VIP用策略地址翻译替代实验 (39)5.1 MIP地址翻译的替代 (39)5.2 VIP地址翻译的替代 (43)一、前言Juniper防火墙的几种常用功能主要是指基于策略的NAT的实现，包括：MIP、VIP和DIP，这三种常用功能主要应用于防火墙所保护服务器提供对外服务。

MIPMIP是“一对一”的双向地址翻译（转换）过程。

通常的情况是：当你有若干个公网IP地址，又存在若干的对外提供网络服务的服务器（服务器使用私有IP地址），为了实现互联网用户访问这些服务器，可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射（MIP），并通过策略实现对服务器所提供服务进行访问控制。

VIPMIP是一个公网IP地址对应一个私有IP地址，是一对一的映射关系；而VIP 是一个公网IP地址的不同端口（协议端口如：21、25、110等）与内部多个私有IP地址的不同服务端口的映射关系。

通常应用在只有很少的公网IP地址，却拥有多个私有IP地址的服务器，并且，这些服务器是需要对外提供各种服务的。

DIPDIP的应用一般是在内网对外网的访问方面。

当防火墙内网端口部署在NAT 模式下，通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口IP地址，并实现对外网（互联网）的访问，这种应用存在一定的局限性。

实验十内外网结构下的网络地址转换（NAT/PAT）【实验目的】通过本实验理解网络地址转换的原理和技术，掌握扩展NAT/PAT设计、配置和测试。

【实验任务】1、配置静态网络地址转换并完成相应的测试。

2、配置动态网络地址转换并完成相应的测试。

3、配置端口地址转换（PAT）并完成相应的测试。

建议实验学时：4学时。

【实验背景】本次实验在前两次实验的基础上，利用NA T和PA T技术实现私有地址和公有地址的相互转换，进一步增强校园网的安全性。

另外NA T和PA T也是解决IP地址不足的一个有效方法。

本次实验中我们有如下的应用需求：1、将192.168.1.3 静态NA T到218.58.59.93。

2、将192.168.1.5 静态NA T到218.58.59.94。

3、将管理网段、行政网段的内部私有IP动态NA T到218.58.59.95和218.58.59.96。

4、将教学网段、宿舍网段的内部私有IP动态PA T到218.58.59.97。

学生在实验之前要理解网络地址转换的原理。

会使用Show running-config、Show ip nat translation等命令查看访问控制列表是否配置成功，以及在仿真环境中测试是否达到预期结果。

●静态NA T的配置。

1、Router（config）#ip nat inside source static local-ip global –ip参数说明：local-ip：内部本地地址。

被转换的地址。

global-ip：内部全球地址。

用来转换内部本地地址的地址。

2、指定内外部接口，命令格式如下：Router（config）#interface type slot#/port#Router（config-if）#ip nat insideRouter（config）#interface type slot#/port#Router（config-if）#ip nat outside●动态NA T的配置。

NAT（PAT）转换实验报告实验目的和要求：目的：1、复习nat的原理，理解nat的意义。

2、实现PAT的转换。

要求：1、能够深入理解NA T的必要性。

2、掌握使用access-list定义内部私有地址的地址块。

3、使用NAT转换的命令。

网络拓扑与分析设计：内容：1：实现简单的网络拓扑，为NA T转换做好准备。

2：使用access-list定义内部私有地址的地址块。

3：建立PAT的转换。

注意：静态NAT和动态PAT可以省略，不必做该步骤。

实验步骤与调试过程：静态NAT设置：1.打开Cisco Packet tracer，拖入一个主机PC0，一台交换机，两个路由器，主机PC0与交换机用直通线相连，两个路由器用串行线线相连，构建起网络拓扑；2.点击PC0，进入Desktop进行IP设置PC0（IP Address 192.168.1.2 Subnet Mask 255.255.255.0 Default Gateeway 192.168.1.1）；则连接PC的路由器Router1的F0/0的IP为192.168.1.1 打开on ；S0/1/0的IP为12.0.0.1 打开on，配置换时间口为9600；路由器Router2的端口S0/1/0配置IP为12.0.0.2 打开on；3.在路由器Router1上定义NA T的内部接口，外部接口。

在全局配置模式下，输入interface f0/0 回车，进入端口配置模式，输入ip nat inside 定义端口F0/0为内部接口。

4.在路由器Router1上定义静态地址转换。

在全局配置模式下，输入ip nat inside source static 192.168.1.1 210.31.235.1，定义静态地址转换。

就实现了192.168.1.1转换为210.31.235.1；5.为路由器Router1配置默认路由，全局配置模式下，输入ip route 0.0.0.0 0.0.0.0 s0/1/0 就完成了缺省路由的配置。