NAT及静态转换

概述(NAT：网络地址转化)

作用：

通过将内部网络的私有ip地址翻译成全球唯一的公网ip地址，

使内部网络可以连接到互联网等外部网络上。

NATA的特性

优点：

节省公有合法ip地址。

处理地址重叠。

增强灵活性。

安全性。

缺点：

延迟增大。

配置和维护的复杂性。

不支持某些应用，可以通过静态NAT映射来避免。

NAT实现方式

静态转换：

ip地址的对应关系是一对一，而且是不变的，

借助静态转换，能实现外部网络对内部网络中某些特设定服务器的访问。

静态NAT配置：

Router(config)#ip route 0.0.0.0 0.0.0.0 201.1.1.2 (下一跳可以写ip也可以写端口。配置接口ip及路由）

Router(config)#ip nat inside source static 192.168.1.1 201.1.1.3（配置192.168.1.1出口转为201.1.1.3）

Router(config)#interface fastEthernet 0/1（进入路由器接口入口）

Router(config-if)#ip nat inside （在入口处配置）

Router(config)#interface fastEthernet 0/0（进入路由器接口出口）

Router(config-if)#ip nat outside（在出口处配置）

NAT端口映射配置：（服务器）

Router(config)#ip nat inside source static tcp 192.168.1.3 80 201.1.1.5 80

(把服务器192.168.1.3的80端口映射为 201.1.1.5的80端口）

动态转换：

ip地址的对应关系是不确定的，是随机的，所有被授权访问互联网的私有地址可随时转换为任何指定的合法外部ip地址

(内部网络同时访问internet的主机数少于配置的合法地址中的ip个数时适用）

动态NAT的配置：

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255（允许192.168.1.0网段）

Router(config)#ip nat pool hydra 200.1.1.3 200.1.1.9 netmask 255.255.255.255

(定义地址池名称为hydra，地址池ip范围200.1.1.3到200.1.1.9)

Router(config)#ip nat inside source list 1 pool nsd

端口多路复用（PAT）

通过改变外出数据包的源ip地址和源端口并进行端口转换，内部网络的所有主机均可共享一个合法ip地址，

实现互联网的访问，节约ip。

PAT的配置：

Router(config)#ip nat inside source list 1 interface f0/0 overload

查看NAT转换条目：

Router#show ip nat translations （显示当前存在的转换）

清除NAT转换条目：

Router#clear ip nat translation *（清除NAT转换条目中所有条目，静态NAT条目不会被清除）

NAT三种实现方式的区别：

静态转换的对应关系一对一且不变，并且没有节约公用ip，只隐藏可主机的真实地址。

动态转换虽然在一定情况下节约了公用ip，但当内部网络同时访问了internet的主机数大于合法地址池中的ip数量就不适用了。

端口多路复用可以使内部网络主机共享一个合法的外部ip地址，从而最大限度节约ip地址资源。

在路由器上添加默认路由：

Router(config)#ip route 0.0.0.0 0.0.0.0 f0/0（默认路由端口）

Router(config-router)#default-information originate （开启）

常见问题：

ACL阻止转换后的流量

进行地址转换的ACL不全

overload参数漏配

不对称路由问题

动态地址池ip地址范围配置错误

动态地址池与静态地址重叠

inside和outside接口配置错误

显示每个转换的数据包：

Router#debug ip nat

S：表示源地址

D：表示目标地址