ip实验 nat

nat实验

Yang2023-11-252023-11-25

静态nat

静态NAT实现了私有地址和公有地址的一对一映射。如果希望一台主机优先使用某个关联地址，或者想要外部网络使用一个指定的公网地址访问内部服务器时，可以使用静态NAT。但是在大型网络中，这种一对一的IP地址映射无法缓解公用地址短缺的问题。

静态NAT实现了私有地址和共有地址一对一的映射（一个私有地址对应一个共有地址），并没有做到缓解地址短缺的问题，只是做到了地址转换。

一个公网地址只会分配给唯一且固定的内网地址

jingttuopu4509

如图配置ip地址和网关

jingta15204327

r1上配置静态nat（注意是在公网的接口上，出接口）

注意配置一条静态路由，不然没有路由的下一跳会被丢弃

在r1上查看nat映射关系：dis nat static

验证一下： jingtainatjg25204222

发现去往2.2.2.2的源地址变为2.2.2.3，说明nat完成转换。

静态nat两种配置方式：

1.接口下（上述实验采用这种方式）：进入到连接外网路由器的出接口下，然后在接口视图下配置nat映射关系

2.全局：在全局视图下，配置好nat映射关系，再进入到出接口，执行：nat static enable

动态nat

动态NAT通过使用地址池来实现。

如上图，当内部主机A和主机B需要与公网中的目的主机通信时，网关RTA会从配置的公网地址池中选择一个未使用的公网地址与之做映射。每台主机都会分配到地址池中的一个唯一地址。当不需要此连接时，对应的地址映射将会被删除，公网地址也会被恢复到地址池中待用。当网关收到回复报文后，会根据之前的映射再次进行转换之后转发给对应主机。

注意：

动态NAT实际上实现的还是私有地址和公有地址一对一的关系，但是共有地址不再绑定给特定的内网地址。实现了一定程度的缓解地址短缺问题。
动态NAT地址池中的地址用尽以后，只能等待被占用的公用IP被释放后，其他主机才能使用它来访问公网。 dongtaitu00800

动态NAT转换流程：

1）路由器上配置一个内部地址池（公司内部所有主机用到的私有IP）动态映射一个外部地址池（所购买的公有IP）。
2）当有一个内网主机访问外网时，路由器首先查看NAT地址转换表；
3）若无，则再查看是否配置了动态NAT映射，若配置，则将IP包头中的源IP与内部地址池进行匹配，若有匹配项，则将该内网IP从内部地址池中取出，同时取出外部地址池中的一个IP地址，动态形成NAT地址转换表。注意，外部地址池的公网IP地址取出后，外部地址池中将没有该公网IP了。
4）默认当该主机24小时没有联系外网时，该动态NAT条目会自动消失，所被取出的公私有地址重新回到地址池中。

tuopudawda12714

ip如图，pc的网关192.168.1.254

r1上配置默认路由，ip route-static 0.0.0.0 0 172.16.1.2

r1上配置动态地址池：

acldongtai2005212357

地址池验证：

dizhichi1201

配置acl策略：

acl55da612432

在r1的外网出接口上调用：

natout25212448

验证：

dongtaijiegy12547

其中源IP为3、4、5不定，说明是在动态分配外网地址。动态NAT配置完成。

在动态NAT实验中，最后利用PC1测试连通性时，间歇性会丢包

可能的原因：ping的时候默认按地址池中可用地址顺序从1~254进行地址转换，放大nat地址池可解决。

NAPT

NApttu39

如上图，RTA收到一个私网主机发送的报文，源IP地址是192.168.1.1，源端口号是1025，目的IP地址是100.1.1.1，目的端口是80。RTA会从配置的公网地址池中选择一个空闲的公网IP地址和端口号，并建立相应的NAPT表项。这些NAPT表项指定了报文的私网IP地址和端口号与公网IP地址和端口号的映射关系。之后，RTA将报文的源IP地址和端口号转换成公网地址200.10.10.1和端口号2843，并转发报文到公网。当网关RTA收到回复报文后，会根据之前的映射表再次进行转换之后转发给主机A。主机B同理。

注意：

NAPT技术允许多个内部地址映射到同一个公有地址的不同端口。
NAPT实现了私有地址对共有地址多对一

相当于一种特殊的动态nat

1、端口NAT和动态NAT的配置过程基本一致，只是在应用到接口时，配置命令少no-pat
2、端口NAT一个地址可以给多个源地址转换，不是单对单的转换，所以节省了nat地址！
3、端口NAT实际应用较多，静态NAT和动态NAT因为地址不能节约，所以实际应用少

Easy IP

easydahwka5

Easy IP本质上是NAPT（所以原理与NAPT大致相似）
由于网关设备出接口IP地址为公网地址，所以可以利用该出接口地址来作为地址转换的公有地址。
Easy IP适用于小规模局域网中的主机访问Internet的场景。小规模局域网通常部署在小型的网吧或者办公室中，这些地方内部主机不多，出接口可以通过拨号方式获取一个临时公网IP地址。Easy IP可以实现内部主机使用这个临时公网IP地址访问Internet。

Easy IP适用于小规模局域网中的主机访问Internet的场景。小规模局域网通常部署在小型的网吧或者办公室中，这些地方内部主机不多，出接口可以通过拨号方式获取一个临时公网IP地址。Easy IP可以实现内部主机使用这个临时公网IP地址访问Internet。

Easy IP的配置：

1.创建ACL：acl 2000

2.允许1.0的数据进行转换：rule 5 permit source 192.168.1.0 0 .0.0.255

3.进入公网出接口

4.应用acl：nat outbound 2000

（相较于napt少了地址池）

验证：

easadwaawh215116

源地址为出接口地址172.16.1.1，只是端口不同