NAT

一、基本配置

根据拓扑图做基本配置

PC配置-PC1为例：

路由器配置：

R1

interface g0/0/0

ip address 202.169.10.1 24

interface g0/0/1

ip address 172.16.1.254 24

interface g0/0/2

ip address 172.17.1.254 24

R2

interface g0/0/0

ip address 202.169.10.2 24

interface loopback 0

ip address 202.169.20.1 24

二、配置静态NAT

1、在网关路由器R1上配置访问外网的默认路由。

ip route-static 0.0.0.0 0 202.169.10.2

2、静态NAT转换

目的：配置PC1，实现PC1可以与外网互相访问

方法：分配给PC1一个公网IP 202.169.10.5，在G0/0/0接口下使用nat static配置内部地址到外部地址的一对一转换

interface g0/0/0

nat static global 202.169.10.5 inside 172.16.1.1

检查配置结果：

(1)、用 display nat static 命令查看配置信息

(2)、PC1 ping 外网，测是与外网连通性并抓包

可以观察到由于PC-1的私网地址被转换为唯一的公网地址,外网用户也能主动访问PC-1,且数据包在经过R1进入内网的时候,R1把目的P转换为与公网地址202.169.10.5对应的私网地址172.16.1.1发给PC-1。

三、配置NAT Outbound

目的：公司127.17.1.0网段所属部门都能够访问外网。

方法：配置公网地址池，使用202.169.10.50~202.169.10.60为整个部门员工做NAT转换。

nat address-group 1 202.169.10.50 202.169.10.60

acl 2001

rule 5 permit source 172.17.1.0 0.0.0.255

interface g0/0/0

nat outbound 2001 address-group 1 no-pat

注:

nat address-group ：配置NAT地址池，设置起始和结束地址。

acl ：基本ACL（2000~2999),高级ACL(3000~3999),二层ACL(4000~4999),基本ACL可以使用报文的源IP地址（最常用）、分片标记和时间段信息来匹配报文，取值编号范围使2000~2999。

rule：5为规则编号，多个rule序号小优先级高，permit为允许通过，source为源地址。

nat outbound：将ACL2001与地址池相关联，是的ACL中规定的地址可以使用地址池地址进行转换。

查看配置信息：在R1上查看NAT Outbound信息

display nat outbound

测试配置结果：测试127.17.1.0网段所在PC与外网的连通性，并在R1 g0/0/0接口上抓包

以PC 2 ping 202.169.20.1为例：

 

 

 可以观察到PC-2可以成功访问外网,且通过抓包分析,来自PC-2的ICMP数据包在R1的GE0/00接口上源地址172.17.1.2被替換为地址池中第一个地址202.169.10.50。

四、配置NAT Easy-ip

目的:满足公司人员不断扩张，如果继续使用多对多NAT转换方式会增加地址池压力，这时需要使用多对一的Easy-ip转换方式。

方法：

1、使用过NAT Outbound配置。

需要先删除G0/0/0 接口的配置，后直接进行端口ip与acl 关联

interface g0/0/0

undo nat outbound 2001 address-group 1 no-pat

nat outbound 2001

2、没有使用过NAT Outbound配置。

acl 2001

rule 5 permit source 172.17.1.0 0.0.0.255

interface g0/0/0

nat outbound 2001

测试配置结果：PC-2发送UDP数据包到公网地址202.169.20.1后，在R1上查看NAT Session详细信息。

display nat session protocol udp verbose1

可以观察到,源地址为172.17.1.2的UDP数据包被新源地址202.169.10.1和新源端口号10255替换。R1借用自身GE0/0/0接口的公网IP地址为所有私网地址做NAT转换,使用不同的端口号区分不同私网数据。此方式不需要创建地址池,大大节省了地址空间。

五、配置NAT Server

目的：公司内Server提供FTP服务供外网用户访问。

方法：在R1g0/0/0接口上，使用nat server定义内部服务器的映射表，指定服务通信协议类型为TCP，配置服务器使用公网IP地址202.169.10.6，内网IP172.16.1.3，指定端口号为21，该常用端口号可以直接使用关键字“ftp”代替。

1、开启服务器FTP功能

 

 

2、配置路由器R1

interface g0/0/0

nat server protocol tcp global 202.169.10.6 ftp inside 172.16.1.3 ftp

quit

nat alg ftp enable

查看配置信息：在R1上查看NAT Server信息。

display nat server

测试配置结果：在R2上模拟公网用户访问该私网服务器。