NAT技术配置（内外网IP地址转换）

一. 什么是NAT？

NAT是将IP数据报文头中的IP地址转换成另一个IP地址的过程，主要用于实现内部地址（私有IP地址）访问外部地址（公有IP地址）的功能，NAT转换设备处于内部网络和外部网络的连接处，常见的有路由器，防火墙等。

二. 实验内容

本实验模拟企业网络场景，R1是公司的出口网关路由器，公司内员工和服务器都通过交换机S1或S2连接到R1上，R2模拟外网设备与R1直连，由于公司内网都使用私有IP地址，为了实现公司内部分员工可以访问外网，服务器可以供外网用户访问，网络管理员需要在R1配置NAT，使用静态NAT和NAT Outbound技术使得部分员工可以访问外网，使用NAT Server技术使得服务器可以供外网用户访问。

三. 网络拓扑

3.1 配置静态NAT：

PC1为客户经理，要求自身能访问外网，外网用户也能之间访问他，所以给PC1分配了一个IP地址 202.168.10.5做静态NAT地址转换

[R1]ip route-static 0.0.0.0 0.0.0.0 202.169.10.2    配置默认路由
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]nat static global 202.169.10.5 inside 172.16.1.1

可以使用display nat static命令查看nat配置情况

3.2 配置NAT Outbound

公司内市场部员工都需要能够访问外网，市场部使用私网IP地址172.17.1.0/24 的网段，网络管理员使用公有地址池202.169.10.50—202.169.10.60为市场部员工做NAT转换。

在R1上使用nat address-group配置NAT地址池：

[R1]nat address-group 1 202.169.10.50 202.169.10.60

创建基本ACL 2001,允许172.17.1.0/24网段的地址转换，并在G0/0/0接口下使用nat outbound命令将acl 2001与地址池相关联，使得acl中规定的地址可以使用地址池进行地址转换：

[R1]acl 2001
[R1]rule 5 permit source 172.17.1.0 0.0.0.255
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2001 address-group 1 nat-pat

可以使用display nat outbound查看nat outbound配置情况：

3.3 配置NAT Easy-IP

为了节约公网地址，可以直接使用路由器出接口IP地址作为公网地址，将不同的内部地址映射到同一公网地址的不同端口号上，实现多对一地址转换。

使用nat outbound命令配置Easy-IP特性，直接使用接口IP地址作为NAT转换后的地址：

[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2001

在PC2，PC3上使用 UDP发包工具发送UDP数据包到公网地址202.169.20.1，配置好目的IP地址和UDP源，目的端口号后，输入字符串数据后单击发送：

可以使用display nat session protocol udp verbose查看nat session详细信息：

3.4 配置NAT Server

公司服务器提供FTP服务供外网用户访问，配置NAT Server并使用公网IP地址202.169.10.6对外公布服务器地址，然后开启NAT ALG功能，因为对于封装在IP数据报文中的应用层协议报文，正常的NAT转换会导致错误，开启NAT ALG功能后，才可以进行正常NAT转换。

在R1的G0/0/0接口上使用nat server定义内部服务器的映射表，指定服务器通信类型为TCP，配置服务器使用公网地址为202.169.10.6，服务器内网地址为172.16.1.3，指定端口号为21，可以使用FTP关键词代替：

[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]nat server protocol tcp global 202.169.10.6 ftp inside 172.16.1.3 ftp
[R1-GigabitEthernet0/0/0]quit
[R1]nat alg ftp enable

使用display nat server查看nat server配置：

在服务器上开启ftp功能：

在R2上模拟公网用户访问该私网服务器：

到这里为止，NAT配置实验已全部结束，感觉对你们有帮助的小伙伴请点个赞吧~谢谢