Cisco Packet Tracer思科模拟器中利用动态NAPT实现局域网访问Internet （动态地址转换）

本篇文章主要讲解思科模拟器中的动态地址转换 ，主讲ACL和接口进行地址转换、地址池范围地址转换、静态一对一地址转换。

园区网内通常情况下有很多台主机，从ISP申请并给园区网中的每台主机分配一个合法IP地址是不现实的，为了使所有内部主机都可以连接到Internet，需要使用网络地址转换。此外，地址转换技术还可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用。

情境分析

传统的NAT一般是指一对一的地址映射，不能同时满足所有的内部网络主机与外部网络通信的需要，而NAPT是实现网络地址转换后多个本地IP地址对应一个或多个全局IP地址。采用动态的NAPT实现局域网多台主机共用一个或少数几个公网IP来访问互联网。

所需设备：

（1）Cisco 2911路由器2台。

（2）Cisco-HWIC-2T高速同步串行模块2个。

（3）Cisco 3560交换机1台。

（4）Cisco Catalyst 2960交换机2台。

（5）DCE串口和DTE串口线1条。

（6）直通线3条。

（7）交叉线2条。

（8）PC机2台，服务器1台。

（9）Console线1条。

任务拓扑，如图5-3-1-1所示。

图5-3-1 利用动态NAPT实现局域网访问Internet

网络设备和PC的IP地址及端口信息，如表5-3-1所示。

表5-3-1 网络设备和PC的IP地址及端口信息表

设备

接口

IP地址

子网掩码

默认网关

Router-A

Gig0/0

192.168.10.1

255.255.255.0

Se0/3/0

201.1.8.1

255.255.255.0

Router-B

Gig0/0

202.1.1.254

255.255.255.0

Se0/3/0（DCE）

201.1.8.10

255.255.255.0

C3560

VLAN10

192.168.1.254

255.255.255.0

VLAN20

192.168.2.254

255.255.255.0

Gig0/1

192.168.10.2

255.255.255.0

PC1

192.168.1.1

255.255.255.0

192.168.1.254

PC2

192.168.2.1

255.255.255.0

192.168.2.254

WEB服务器

202.1.1.1

255.255.255.0

202.1.1.254

步骤实现

步骤1：按照如图5-3-1所示，连接网络拓扑结构图。

步骤2：按照如表5-3-1所示，配置计算机和服务器的IP地址、子网掩码和网关。

步骤3：配置路由器A的主机名称和接口IP地址。

Router>enable

Router#conf t

Router(config)#hostname Router-A  修改主机名

Router-A(config)#int g0/0  进入端口

Router-A(config-if)#ip address 192.168.10.1 255.255.255.0  给主机配置一个网段

Router-A(config-if)#no shutdown  打开接口

Router-A(config)#int s0/3/0  进入串口线

Router-A(config-if)#ip address 201.1.8.1 255.255.255.0  配置一个网段

Router-A(config-if)#no shutdown  打开端口

Router-A(config-if)#

步骤4：配置路由器B的主机名称和接口IP地址。

Router>enable

Router#conf t

Router(config)#hostname Router-B   修改主机名

Router-B(config)#int s0/3/0  进入高速串口线

Router-B(config-if)#clock rate 64000             ！设置DCE设备端口的时钟频率

Router-B(config-if)#ip address 201.1.8.10 255.255.255.0  配置一个网段

Router-B(config-if)#no shutdown  打开端口

Router-B(config)#int g0/0

Router-B(config-if)#ip add 202.1.1.254 255.255.255.0

Router-B(config-if)#no shutdown 打开端口

Router-B(config-if)#

步骤5：配置交换机C3560的主机名称和接口IP地址。

Switch>enable

Switch#conf t

Switch(config)#hostname C3560  修改主机名为C3560

Switch(config)#ip routing  打开路由通信功能

C3560(config)#int g0/1

C3560(config-if)#no switchport                          ！将交换端口转换为物理端口

C3560(config-if)#ip add 192.168.10.2 255.255.255.0 ！配置交换机物理端口IP地址

C3560(config-if)#no shutdown  打开端口

C3560(config-if)#exit

步骤6：配置交换机C2960的主机名称，创建vlan10和20，将fa0/1划入vlan10，fa0/2划入vlan20。

Switch(config)#hostname C2960

C2960(config)#vlan 10

C2960(config-vlan)#exit

C2960(config)#vlan 20

C2960(config-vlan)#exit

C2960(config)#int f0/1

C2960(config-if)#switchport mode access  端口开启访问功能

C2960(config-if)#switchport access vlan 10   把vlan10 划分到端口里面

C2960(config)#int f0/2  进入接口

C2960(config-if)#switchport mode access  设置为访问模式

C2960(config-if)#switchport access vlan 20  把vlan20划分到端口里面

C2960(config-if)#

步骤7：在交换机C3560上创建VLAN、配置中继链路，设置SVI接口IP地址。

[中继就是trunk]

C3560(config)#vlan 10

C3560(config-vlan)#exit

C3560(config)#vlan 20

C3560(config-vlan)#exit

C3560(config)#int f0/1

C3560(config-if)#switchport mode trunk  trunk：允许所有vlan通过

C3560(config-if)#exit

C3560(config)#int vlan 10

C3560(config-if)#ip address 192.168.1.254 255.255.255.0

C3560(config-if)#no shutdown

C3560(config)#int vlan 20

C3560(config-if)#ip address 192.168.2.254 255.255.255.0

C3560(config-if)#no shutdown

C3560(config-if)#

步骤8：在交换机C3560和路由器Router-A上配置路由，实现各部门与公司网络出口的链路通信

C3560(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.1    

Router-A(config)#ip route 192.168.1.0 255.255.255.0 192.168.10.2[下一跳]

Router-A(config)#ip route 192.168.2.0 255.255.255.0 192.168.10.2

默认路由，静态路由，下一跳详细讲解：http://t.csdn.cn/XAvKX

步骤9：在路由器Router-A上配置默认路由，实现外网可达

Router-A(config)#ip route 0.0.0.0 0.0.0.0 201.1.8.10

步骤10：在路由器Router-A上配置动态NAPT实现公司内网用户可以访问外网WEB服务器

Router-A(config)#access-list 10 permit 192.168.0.0 0.0.255.255
！配置访问控制列表，定义需要通过地址转换访问外网的用户

Router-A(config)#ip nat pool 123 201.1.8.1 201.1.8.10 netmask 255.255.255.0                                          
 ！定义地址池名字为123，通过网段201.1.8.1-201.1.8.10/24

Router-A(config)#ip nat inside source list 10 pool 123 overload！配置动态NAPT实现地址转换

Router-A(config)#int s0/3/0                               ！进入出口路由外网接口

Router-A(config-if)#ip nat outside                          ！定义NAT的外网接口

Router-A(config-if)#exit

Router-A(config)#int g0/0                                   ！进入出口路由器的内网接口

Router-A(config-if)#ip nat inside                            ！定义NAT的内网接口

Router-A(config-if)#exit

Router-A(config)#

步骤11：测试内网用户访问外网WEB服务器，实验发现是可以的

步骤12：查看NAT配置信息

（1）查看NAT映射表

Router-A#show ip nat translations

（2）查看NAT信息统计表。

Router-A#show ip nat statistics 

相关知识

1．NAT简介：

目前互联网的一个重要问题是IP地址需求急剧膨胀，IP地址空间衰竭，NAT的使用从一定程度上缓解了该问题。NAT特性的使用，使得一个组织内部的私有IP地址转换为可以在互联网上通信使用的公有IP地址，从而实现了组织内部网络与互联网的连接，而不需要重新给组织内部网络中的每台主机分配公有IP地址。

NAT的优点：

（1）节省IP资源，解决IP地址短缺。

（2）可以实现服务器TCP负载均衡，维持TCP会话。

（3）连接地址池中的IP是可以是虚拟IP，不一定需要配置在物理接口上，这样维护起来比较方便。

（4）可以解决地址重叠问题。

NAT的缺点：

（1）增加了传输延迟。

（2）隐藏了端对端的IP地址，不利于某些程序的应用。

（3）不便于跟踪、管理。

2．NAT工作过程：

第一步：客户机将数据包发给运行NAT的计算机。

第二步：NAT将数据包中的端口号和专用的IP地址换成它自己的端口号和公用的IP地址，然后将数据包发给外部网络的目的主机，同时记录一个跟踪信息在映像表中，以便向客户机发送回答信息。

第三步：外部网络发送回答信息给NAT。

第四步：NAT将所收到的数据包的端口号和公用IP地址转换为客户机的端口号和内部网络使用的专用IP地址并转发给客户机。

3．NAT的配置

（1）静态NAT：

将内部地址和外部地址进行一对一的转换。这种方法要求申请到的合法IP地址足够多，可以与内部IP地址一一对应。

静态NAT一般用于那些需要固定的合法IP地址的主机，比如Web服务器、FTP服务器、

配置步骤：

（1）定义内部源地址静态转换关系

Router(config)# ip nat inside source static local-address global-address

（2）定义接口连接内部网络

Router(config)# ip nat inside

（3）定义接口连接外部网络

Router(config)# ip nat outside

示例实现：

Router(config)# ip nat inside source static 192.168.1.1 201.1.1.1

Router(config)# int e0/1

Router(config-if)# in nat inside

Router(config)# int s0/1

Router(config-if)# in nat outside

（2）动态NAT

将多个合法IP地址统一的组织起来，构成一个IP地址池，当有主机需要访问外网时，就分配一个合法IP地址与内部地址进行转换，当主机用完后，就归还该地址。对于NAT池，如果同时联网用户太多，可能出现地址耗尽的问题

配置步骤：

（1）定义全局IP地址池

Router(config)# ip nat pool address-pool start-address end-address {network mask | prefix-length prefix-length }

（2）定义访问控制列表，只有匹配该列表的地址才能转换

Router(config)# access-list access-list-number permit ip-address wildcard

（3）定义内部源地址动态转换关系

Router(config)# ip nat inside source list access-list-number pool address-pool

（4）定义接口连接内部网络

Router(config)# ip nat inside

（5）定义接口连接外部网络

Router(config)# ip nat outside

示例实现：

Router(config)# ip nat pool to_internet 201.1.1.1 201.1.1.2 netmask 255.255.255.0

Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255

Router(config)# ip nat inside source list 10 pool to_internet

Router(config)# int e0/1

Router(config-if)# in nat inside  设置端口为入端口

Router(config)# int s0/1

Router(config-if)# in nat outside  设置端口为出端口

（3）PAT（端口NAT）

使用端口多路复用技术，将多个内部地址映射为一个合法地址，用不同的端口号区分各个内部地址。这种方法只需要一个合法IP地址。路由器支持的PAT会话数是有限制的，所以使用PAT的局域网，其网络的规模不应该太大。

在端口复用技术中，用端口区分的不是一台主机，而是一个网络连接（会话），当一台主机同时建立了多个会话时，它的每个会话会占用一个端口映射。理论上讲，一个IP地址可以映射约65000个会话，但实际的路由器往往只支持几千个会话（Cisco支持约4000个），

配置步骤：

（1）定义访问控制列表，只有匹配该列表的地址才能转换

Router(config)# access-list access-list-number permit ip-address wildcard

（2）定义内部源地址复用转换关系

Router(config)# ip nat inside source list access-list-number interface interface-number overload

Ip nat in s l [acl号] in f0/1 o

（3）定义接口连接内部网络

Router(config)# ip nat inside

（4）定义接口连接外部网络

Router(config)# ip nat outside

示例实现：

Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255

Router(config)# ip nat inside source list 10 interface s0/1 overload

Router(config)# int e0/1

Router(config-if)# in nat inside

Router(config)# int s0/1

Router(config-if)# in nat outside

小结：

动态地址转换：
例：把ACL1 和F0/1接口进行 地址转换 
R1(config)#ip nat in source l 1 in f0/1 overload   

例：创建名字为123的pool地址池，地址池范围为192.168.10.10-192.168.20.20/24
R1(config)#ip nat in s l 10 pool 123 overload 
R1(config)#ip nat pool 123 192.168.10.10 192.168.20.20 netmask 255.255.255.0

静态地址转换：
是内部地址和外部地址进行一对一的转换的，一般用于FTP或者Web服务器上面的
R1(config)#ip nat in source static 192.168.10.10 202.10.10.10 

每日一言:

万物皆有裂痕，那是光照进来的地方。