《计算机网络技术》-项目十三 配置NAT扩展网络

NAT地址转换是一种地址转换技术。它的主要任务是将私有地址转换为合法的公网地址，隐藏并保护网络内部的计算机；解决地址不够用的问题等。通过该项目使学生理解网络地址转换（NAT）的特点与应用、掌握几种NAT地址转换方法及作用【项目目标】某集团公司内部网系统有几百台计算机需要使用Internet，另有WEB服务器需要对外宣传。而集团公司申请到的IP地址有限，同时还要保证WEB服务器的安全。公司决定在出口路由器上部署NAT。【项目背景】NAT：网络地址转换(NAT,NetworkAddressTranslation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。因为NAT不仅完美地解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

知识准备（1）NAT概述知识准备

NAT（NetworkAddressTranslation，网络地址转换）是将IP数据报头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于减缓可用IP地址空间的枯竭。私有IP地址是指内部网络或主机的IP地址，公有IP地址是指在因特网上全球唯一的IP地址。RFC1918为私有网络预留出了三个IP地址块，如下：

A类：10.0.0.0～10.255.255.255

B类：172.16.0.0～172.31.255.255

C类：192.168.0.0～192.168.255.255知识准备在NAT实验中需要理解的术语：内部局部地址（InsideLocal）：在内部网络中分配给主机的私有IP地址。内部全局地址（InsideGlobal）：一个合法的IP地址，它对外代表一个或多个内部局部IP地址。外部全局地址（OutsideGlobal）：由其所有者给外部网络上的主机分配的IP地址。外部局部地址（OutsideLocal）：外部主机在内部网络中表现出来的IP地址。（1）NAT概述（2）NAT技术的产生虽然NAT可以借助于某些代理服务器来实现，但考虑到运算成本和网络性能，很多时候都是在路由器上来实现的。随着接入Internet的计算机数量的不断猛增，IP地址资源也就愈加显得捉襟见肘。事实上，除了中国教育和科研计算机网（CERNET）外，一般用户几乎申请不到整段的C类IP地址。在其他ISP那里，即使是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有几个或十几个IP地址。显然，这样少的IP地址根本无法满足网络用户的需求，于是也就产生了NAT技术。知识准备（3）NAT技术的作用借助于NAT，私有（保留）地址的"内部"网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求。NAT将自动修改IP报文的源IP地址和目的IP地址，Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文的数据部分进行修改，以匹配IP头中已经修改过的源IP地址。否则，在报文数据都分别嵌入IP地址的应用程序就不能正常工作。知识准备（4）NAT的工作原理

当内部网络中的一台主机想传输数据到外部网络时，它先将数据包传输到NAT路由器上，路由器检查数据包的报头，获取该数据包的源IP信息，并从它的NAT映射表中找出与该IP匹配的转换条目，用所选用的内部全局地址（全球唯一的IP地址）来替换内部局部地址，并转发数据包。当外部网络对内部主机进行应答时，数据包被送到NAT路由器上，路由器接收到目的地址为内部全局地址的数据包后，它将用内部全局地址通过NAT映射表查找出内部局部地址，然后将数据包的目的地址替换成内部局部地址，并将数据包转发到内部主机。知识准备NAT的实现方式有三种，即静态转换StaticNat、动态转换DynamicNat

和端口多路复用Overload。静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。（5）NAT技术实现方式知识准备动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。（5）NAT技术实现方式知识准备端口多路复用（PortaddressTranslation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，PortAddressTranslation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。（5）NAT技术实现方式知识准备ipnat{inside|outside}：接口配置命令。在至少一个内部和一个外部接口上启用NAT。ipnatinsidesourcestaticlocal-ipglobal-ip：全局配置命令。在对内部局部地址使用静态地址转换时，用该命令进行地址定义。access-listaccess-list-number{permit|deny}local-ip-address：使用该命令为内部网络定义一个标准的IP访问控制列表。ipnatpoolpool-namestart-ipend-ipnetmasknetmask[typerotary]：使用该命令为内部网络定义一个NAT地址池。（6）NAT配置中的常用命令知识准备ipnatinsidesourcelistaccess-list-numberpoolpool-name[overload]：使用该命令定义访问控制列表与NAT内部全局地址池之间的映射。ipnatoutsidesourcelistaccess-list-numberpoolpool-name[overload]：使用该命令定义访问控制列表与NAT外部局部地址池之间的映射。ipnatinsidedestinationlistaccess-list-numberpoolpool-name：使用该命令定义访问控制列表与终端NAT地址池之间的映射。（6）NAT配置中的常用命令知识准备showipnattranslations：显示当前存在的NAT转换信息。showipnatstatistics：查看NAT的统计信息。showipnattranslationsverbose：显示当前存在的NAT转换的详细信息。learipnattranslations*:删除NAT映射表中的所有内容.（6）NAT配置中的常用命令知识准备任务1：静态地址转换的实现本项目主要任务

任务3：端口复用动态地址转换（PAT)任务2：动态转换DynamicNat任务1：静态地址转换的实现某公司的内部网络中有一WEB服务器，现在为了加强企业的自身宣传，需要向Internet用户提供服务，但是为了增强其安全性，需要将服务器放在内网中。这就需要在路由器上进行配置，服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。NAT静态地址转换拓扑图要求在路由器上配置静态的NAT转换，公司内部IP用的是172.16.1.0/24，WEB服务器的内部IP是172.16.1.100。与公司直接相连的网络为202.202.32.0/24,现要求将WEB服务器的内部地址转换为外部地址202.202.32.33/24。

R1为出口路由器，其与外部路由器之间通过V.35电缆串口连接任务1：静态地址转换的实现步骤1.配置PC1和WEB服务器的网络参数任务1：静态地址转换的实现计算机IP地址子网掩码默认网关PC1202.202.33.2255.255.255.0202.202.33.1WEB服务器172.16.1.100255.255.255.0172.16.1.1步骤2：配置路由器R1、R2接口IP地址。任务1：静态地址转换的实现R1(config)#interfacef0/0R1(config-if)#ipaddress172.16.1.1255.255.255.0R1(config-if)#noshutdownR1*config-if)#exitR1(config)#interfaces1/0R1(config-if)#ipaddress202.202.32.1255.255.255.0R1(config-if)#clockrate64000R1(config-if)#noshutdown步骤3：在路由器上R1、R2配置静态路由协议。任务1：静态地址转换的实现R1(config)#iproute202.202.33.0255.255.255.0202.202.32.2R1(config)#R2(config)#iproute172.16.1.0255.255.255.0202.202.32.1R2(config)#R2(config)#interfacef0/0R2(config-if)#ipaddress202.202.33.1255.255.255.0R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfaces1/0R2(config-if)#ipaddress202.202.32.2255.255.255.0R2(config-if)#noshutdownR2(config-if)#exitR2(config)#步骤4：验证PC1与WEB服务器之间的互通性，配置好各PC的网络参数之后，使用ping命令验证网络的连通性。在PC1上运行ping命令：ping172.16.1.100（WEB服务器的IP）。任务1：静态地址转换的实现步骤5：在R1上配置静态NAT，映射的内部全局地址为202.202.32.3任务1：静态地址转换的实现R1(config)#ipnatinsidesourcestatic172.16.1.100202.202.32.3R1(config)#exit步骤6：在R1上定义内外部网络接口R1(config)#intf0/0R1(config-if)#ipnatinside!定义内部接口R1(config-if)#exitR1(config)#ints1/0R1(config-if)#ipnatoutside！定义外部接口R1(config-if)#exitR1(config)#步骤7：验证PC机与WEB服务器互通性，并查看R1的路由表任务1：静态地址转换的实现任务2：动态转换DynamicNat动态地址转换也是将本地地址与内部合法地址一对一的转换，但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换动态地址转换拓扑图假设内部网络使用的IP地址段为172.16.100.1~172.16.100.254,路由器局域网端口（即默认网关）的IP地址为172.16.100.1，子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.128~61.159.62.191，路由器在广域网中的IP地址为61.159.62.129，子网掩码为255.255.255.192，可用于转换的IP地址范围为61.159.62.130~61.159.62.190。要求将内部网址172.16.100.1~172.16.100.254动态转换为合法IP地址61.159.62.130~61.159.62.190。任务2：动态转换DynamicNat步骤1.配置各PC机的网络参数任务2：动态转换DynamicNat计算机IP地址子网掩码默认网关PC1172.16.100.2255.255.255.0172.16.100.1PC2172.16.100.3255.255.255.0172.16.100.1PC3172.16.100.4255.255.255.0172.16.100.1PCN172.16.100.12255.255.255.0172.16.100.1步骤2：配置路由器R1的相关参数。任务2：动态转换DynamicNatR1(config)#interfacef0/0R1(config-if)#ipaddress172.16.100.1255.255.255.0R1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaces1/0R1(config-if)#ipaddress61.159.61.129255.255.255.192R1(config-if)#clockrate64000R1(config-if)#noshutdownR1(config-if)exit步骤3：配置路由器R2的相关参数。任务2：动态转换DynamicNatR2(config)#interfaces1/0R2(config-if)#ipaddress61.159.62.190255.255.255.192R2(config-if)#noshutdownR2(config-if)#exit步骤4：定义内部合法地址池。命令格式：ipnatpool地址池名称起始IP地址终止IP地址子网掩码其中地址池名称可以任意设定。。任务2：动态转换DynamicNatR1(config)#ipnatpoolchinanet61.159.62.13061.159.62.190netmask255.255.255.192说明：本例中指明地址缓冲池的名称为chinanet，IP地址范围为61.159.62.130~61.159.62.190，子网掩码为255.255.255.192。需要注意的是，即使掩码为255.255.255.0，也会由起始IP地址和终止IP地址对IP地址池进行限制。也可以使用命令：ipnatpooltest61.159.62.13061.159.62.190prefix-length26注意，如果有多个合法IP地址范围，可以分别添加。例如，如果还有一段合法IP地址范围为"211.82.216.1~211.82.216.254"，那么，可以再通过下述命令将其添加至缓冲池中。ipnatpoolcernet211.82.216.1211.82.216.254netmask255.255.255.0或ipnatpooltest211.82.216.1211.82.216.254prefix-length24步骤5：定义内部网络中允许访问外网的访问列表。定义内部访问列表命令的语法如下：access-list标号permit源地址通配符（其中，标号为1~99之间的整数）。任务2：动态转换DynamicNatR1(config)#access-list1permit172.16.100.00.0.0.255说明：允许访问Internet的网段为172.16.100.0~172.16.100.255，反掩码为0.0.0.255。需要注意的是，在这里采用的是反掩码，而非子网掩码。反掩码与子网掩码的关系为：反掩码+子网掩码=255.255.255.255。例如，子网掩码为255.255.0.0，则反掩码为0.0.255.255；子网掩码为255.0.0.0，则反掩码为0.255.255.255；子网掩码为255.252.0.0，则反掩码为0.3.255.255；子网掩码为255.255.255.192，则反掩码为0.0.0.63。另外，如果想将多个IP地址段转换为合法IP地址，可以添加多个访问列表。例如，当欲将172.16.98.0~172.16.98.255和172.16.99.0~172.16.99.255转换为合法IP地址时，应当添加下述命令：access-list2permit172.16.98.00.0.0.255access-list3permit172.16.99.00.0.0.255步骤6：实现网络地址转换。在全局设置模式下，将第5步由access-list指定的内部本地地址列表与第4步指定的合法IP地址池进行地址转换。命令语法如下：ipnatinsidesourcelist访问列表标号pool内部合法地址池名字。任务2：动态转换DynamicNatR1(config)#ipnatinsidesourcelist1poolchinanet说明：如果有多个内部访问列表，可以一一添加，以实现网络地址转换，如ipnatinsidesourcelist2poolchinanetipnatinsidesourcelist3poolchinanet如果有多个地址池，也可以一一添加，以增加合法地址池范围，如ipnatinsidesourcelist1poolcernetipnatinsidesourcelist2poolcernetipnatinsidesourcelist3poolcernet步骤7：在R1上定义内外部网络接口任务2：动态转换DynamicNatR1(config)#intf0/0R1(config-if)#ipnatinside!定义内部接口R1(config-if)#exitR1(config)#ints1/0R1(config-if)#ipnatoutside！定义外部接口R1(config-if)#exitR1(config)#步骤8：验证动态地址转换是否成功。在路由器R1上执行showipnatstatistics。任务2：动态转换DynamicNat

在PC1上运行ping命令ping外网的PC0机器，然后查看R1路由器（使用debugipnat）的地址转换信息，可以看出地址转换成功。任务2：动态转换DynamicNat任务3：端口复用动态地址转换（PAT)企业内部有多台计算机，现在企业的这些计算机都需要访问Internet，但是ISP只分配了一个公网的IP地址给该企业。现在需要通过配置路由器的方式来实现公司内的全部计算机访问Internet。端口复用动态地址转换（PAT)拓朴结构图

内部网络使用的IP地址段为172.16.1.1～172.16.1.254，路由器局域网端口（即默认网关）的IP地址为172.16.1.1，子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.1～61.159.62.6，路由器广域网中的IP地址为61.159.62.1，子网掩码为255.255.255.248，可用于转换的IP地址为61.159.62.2。要求将内部网址172.16.1.1～172.16.1.254转换为合法IP地址61.159.62.2任务3：端口复用动态地址转换（PAT)步骤1.配置各PC机的网络参数任务3：端口复用动态地址转换（PAT)计算机IP地址子网掩码默认网关PC061.159.61.2255.255.255.061.159.61.1PC1172.16.1.2255.255.255.0172.16.1.1PC2172.16.1.3255.255.255.0172.16.1.1PC3172.16.1.4255.255.255.0172.16.1.1PCN172.16.1.5255.255.255.0172.16.1.1步骤2：配置路由器R1的相关参数。任务3：端口复用动态地址转换（PAT)R1(config)#interfacef0/0R1(config-if)#ipaddress172.16.1.1255.255.255.0R1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaces1/0R1(config-if)#ipaddress61.159.62.1255.255.255.192R1(config-if)#clockrate64000R1(config-if)#noshutdown步骤3：配置路由器R2的相关参数。任务3：端口复用动态地址转换（PAT)R2(config)#interfacef0/0R2(config-if)ipaddress61.159.61.1255.255.255.0R2(config-if)noshutdownR2(config-if)#interfaces1/0R2(config-if)#ipaddress61.159.62.4255.255.255.248R2(config-if)#noshutdownR2(config-if)#exit步骤4：定义内部合法地址池。命令格式：ipnatpool地址池名称起始IP地址终止IP地址子网掩码其中地址池名称可以任意设定。任务3：端口复用动态地址转换