ACL:Network Address Translation
12.1 NAT产生背景
12.1.1 IPV4地址资源即将枯竭
12.1.2 私有地址
12.1.3 NAT术语
12.2 NAT类型
私有地址不能在公网路由。
12.2.1 静态NAT
一对一映射。
- 路由器上生成映射表。
- 并没有从根本上解决IP地址枯竭问题。
12.2.2 动态NAT
多对多映射,本质上还是一对一。
公有IP地址池,路由器从池中找到可用的IP映射给当前的用。
12.2.3 端口复用PAT
静态和动态NAT都没有从本质上解决地址枯竭问题。
多对一:多个内网地址转换为一个外网地址。
本地保存地址和端口的映射。
12.3 配置
12.3.1 静态NAT
- 第一步:定义静态映射,全局模式下将内网私有IP映射被外网IP;
- 第二步:定义接口,一个配置在内网接口,一个配置在外网接口。
12.3.2 动态NAT
- 第一步:定义公有IP地址池;
- 第二步:定义ACL,允许哪些源地址可以被NAT;
- 第三步:将ACL和公有IP地址池进行关联;
- 第四步:定义指定内外网接口;
- 第一步:定义一个名为nat1的,202.101.100.1-202.101.100.10地址段,掩码为8位;
- 第二步:定义ACL 1,允许私有地址192.168.1.0/24进行转换
- 第三步:ACL和地址池关联;
- 第四步:定义指定内外网接口;
12.3.3 端口复用PAT
- 第一步:用ACL定义内网允许做PAT的源地址段。
- 第二步:将ACL关联到外网接口;
利用接口s1/0的IP地址负载出去。无需单独公有IP。
12.3.4 清除NAT转换表项
清除所有NAT表项,类似复位NAT设置。
12.4 实验
12.4.1 静态NAT
Server0通过192.1.1.33访问Server1,通过191.1.1.34访问Server2。
R1路由器配置
interface FastEthernet0/0
ip address 172.16.1.254 255.255.255.0
interface Serial1/0
ip address 200.10.10.13 255.255.255.252
clock rate 38400
not shutdown
ip route 211.82.14.0 255.255.255.0 200.10.10.14
NAT配置
ip nat inside source static 172.16.1.1 191.1.1.33
ip nat inside source static 172.16.1.2 191.1.1.34
interface FastEthernet0/0
ip nat inside
interface Serial1/0
ip nat outside
查看NAT配置
R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 191.1.1.33 172.16.1.1 --- ---
--- 191.1.1.34 172.16.1.2 --- ---
R2路由器配置
interface FastEthernet0/0
ip address 211.82.14.254 255.255.255.0
interface Serial1/0
ip address 200.10.10.14 255.255.255.252
ip route 191.1.1.0 255.255.255.0 200.10.10.13
interface FastEthernet0/0 ip address 211.82.14.254 255.255.255.0 interface Serial1/0 ip address 200.10.10.14 255.255.255.252 ip route 191.1.1.0 255.255.255.0 200.10.10.13 |
测试
Server0->Server1
Server0->Server2
12.4.2 动态NAT
- 静态映射:172.16.1.1—–191.1.1.33
- 动态映射:172.16.1.0/24—–191.1.1.34-191.1.1.46
路由器R1
接口配置:
interface FastEthernet0/0
ip address 172.16.1.254 255.255.255.0
interface Serial1/0
ip address 200.10.10.241 255.255.255.252
clock rate 38400
路由配置:
ip route 0.0.0.0 0.0.0.0 200.10.10.242
静态NAT:
ip nat inside source static 172.16.1.1 191.1.1.33
interface FastEthernet0/0
ip nat inside
interface Serial1/0
ip nat outside
动态NAT:
ip nat pool ippoolname 191.1.1.34 191.1.1.47 netmask 255.255.255.240
access-list 1 permit 172.16.1.0 0.0.0.255
ip nat inside source list 1 pool ippoolname
查看路由:
R1#show ip route
172.16.0.0/24 is subnetted, 1 subnets
C 172.16.1.0 is directly connected, FastEthernet0/0
200.10.10.0/30 is subnetted, 1 subnets
C 200.10.10.240 is directly connected, Serial1/0
S* 0.0.0.0/0 [1/0] via 200.10.10.242
查看NAT:
R1#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 191.1.1.33 172.16.1.1 --- ---
路由器R2的配置
接口配置:
interface FastEthernet0/0
ip address 200.10.10.250 255.255.255.252
interface Serial1/0
ip address 200.10.10.242 255.255.255.252
no shutdown
interface Serial1/1
ip address 200.10.10.245 255.255.255.252
no shutdown
路由配置:
ip route 211.82.14.0 255.255.255.0 200.10.10.246
ip route 191.1.1.32 255.255.255.240 200.10.10.241
查看路由:
R2#show ip route
191.1.0.0/28 is subnetted, 1 subnets
S 191.1.1.32 [1/0] via 200.10.10.241
200.10.10.0/30 is subnetted, 3 subnets
C 200.10.10.240 is directly connected, Serial1/0
C 200.10.10.244 is directly connected, Serial1/1
C 200.10.10.248 is directly connected, FastEthernet0/0
S 211.82.14.0/24 [1/0] via 200.10.10.246
路由器R1的配置
接口配置:
interface FastEthernet0/0
ip address 211.82.14.254 255.255.255.0
interface Serial1/1
ip address 200.10.10.246 255.255.255.252
clock rate 38400
no shutdown
路由配置:
ip route 0.0.0.0 0.0.0.0 200.10.10.245
查看路由:
R0#show ip route
200.10.10.0/30 is subnetted, 1 subnets
C 200.10.10.244 is directly connected, Serial1/1
C 211.82.14.0/24 is directly connected, FastEthernet0/0
S* 0.0.0.0/0 [1/0] via 200.10.10.245
测试
PC1->SERVER1
PC0->SERVER0
12.4.3 端口复用PAT
192.168.10.0/24和192.168.20.0/24通过一个公有IP地址访问192.168.30.1
单臂路由交换机配置:
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
interface FastEthernet0/2
switchport access vlan 20
switchport mode access
interface FastEthernet0/15
switchport trunk encapsulation dot1q
switchport mode trunk
R0配置
子接口配置:
interface GigabitEthernet0/0/0.1
encapsulation dot1Q 10
ip address 192.168.10.254 255.255.255.0
interface GigabitEthernet0/0/0.2
encapsulation dot1Q 20
ip address 192.168.20.254 255.255.255.0
interface GigabitEthernet0/0/1
ip address 200.10.10.1 255.255.255.252
路由配置:
ip route 192.168.30.0 255.255.255.0 200.10.10.2
NAT配置:
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 1 permit 192.168.20.0 0.0.0.255
ip nat inside source list 1 interface GigabitEthernet0/0/1 overload
interface GigabitEthernet0/0/0.1
ip nat inside
interface GigabitEthernet0/0/0.2
ip nat inside
interface GigabitEthernet0/0/1
ip nat outside
R1路由器配置
interface GigabitEthernet0/0/1
ip address 200.10.10.2 255.255.255.252
测试:
PC0->SERVER1
PC1->SERVER1