eNSP上NAT的配置

NAT介绍：

早在20世纪90年代初，有关RFC文档就提出了IP地址耗尽的可能性。IPv6技术的提出虽然可以从根本上解决地址短缺的问题，但是也无法立刻替换现有成熟且广泛应用的IPv4网络。既然不能

立即过渡到IPv6网络,那么必须使用一些技术手段来延长IPv4的寿命，其中广泛使用的技术之一就是网络地址转换（Network Address Translation,NAT）。

NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程，主要用于实现内部网络（私有IP地址）访问外部网络（公有IP地址）的功能。NAT有3 种类型：静态NAT、动态地址NAT以及网络

地址端口转换NAPT。

NAT转换设备（实现NAT功能的网络设备）维护着地址转换表，所有经过NAT转换设备并且需要进行地址转换的报文，都会通过该表做相应转换。NAT转换设备处于内部网络和外部网络的连接处，

常见的有路由器.防火墙等。

下面我用实验来介绍一下NAT的相关配置：

实验目的：

1.理解NAT的应用场景

2.掌握静态NAT的配置

3.掌握NAT Outbound的配置

4.掌握NAT Easy-IP的配置

5.掌握NAT Server的配:

实验场景模拟：

本实验模拟企业网络场景。R1是公司的出口网关路由器，公司内员工和服务器都通过交换机S1或 S2连接到R1上，R2模拟外网设备与R1直连。由于公司内网都使用私网IP地址，为了实现公司内部分

员工可以访问外网，服务器可以供外网用户访问，网络管理员需要在路由器R1上配置NAT：使用静态NAT和 NAT Outbound技术使部分员工可以访问外网，使用NAT Server技术使服务器可以供外网用户访问。

实验拓扑：

实验编址：

设备	接口	IP地址	子网掩码	默认网关
R1(AR2200)	GE0/0/0	202.169.10.1	255.255.255.0	N/A
	GE0/0/1	192.168.1.254	255.255.255.0	N/A
	GE0/0/2	192.168.2.254	255.255.255.0	N/A
R2(AR2200)	GE0/0/0	202.169.10.2	255.255.255.0	N/A
	Loopback0	202.169.20.1	255.255.255.0	N/A
PC-1	Ethernet0/0/1	192.168.1.1	255.255.255.0	192.168.1.254
PC-2	Ethernet0/0/1	192.168.2.2	255.255.255.0	192.168.2.254
PC-3	Ethernet0/0/1	192.168.2.3	255.255.255.0	192.168.2.254
Server	Ethernet0/0/0	192.168.1.2	255.255.255.0	192.168.1.254

实验步骤：

1. 基本配置
根据实验编址表进行相应的基木配置，并使用ping命令检测各直连链路的连通性。

2. 配置静态NAT
  在网关路由器R1上配置访问外网的默认路由。

由于内网使用的都是私有IP地址，无法直接访问公网。现需要在网关路由器
R1上配置NAT地址转换，将私网地址转换为公网地址。

PC-1不仅需要自身能访问外网，还需要外网用户也能够直
接访问他，分配了一个公网IP地址202.169.10.5给 PC-1做静态NAT地址转
换。在 R1的GE 0/0/0接口下使用nat static命令配置内部地址到外部地址的一对一转换。

配置完成后，在 R1上查看NAT静态配置信息，并在PC-1上使用ping命令测试与 外网的连通性。

可以观察到，PC-1通过静态N AT地址转换己经可以成功访问外网。在路由器R1
的GE 0/0/0接口上抓包査看NAT地址转换是否成功

可以观察到R1已经成功把来自PC-1的ICMP报文的源地址192.168.1.1转换成公网地
址202.169.10.5.在R2上使用环回口 Loopback 0 模拟外网用户访问PC-1,并在PC-1的E 0/0/1
接口上抓包观察

可以观察到由于PC-1的私网地址被转换为唯一的公网地址，外网用户也能主动访
问 PC -1,且数据包在经过R1进入内网的时候，R1把目的 IP 转换为与公网地址
202.169.10.5对应的私网地址172.16.1.1发给PC-1。

3. 配置 NAT Outbound
   PC-2,PC-3也需要访问外网它们使用私网IP地址192.168.2.0/24 网
段，网络管理员使用公网地址池202.169.10.50〜202.169.10.60为市场部员工做NAT转换。
在 R1上使用nat addres-group命令配置NAT地址池，设置起始和结束地址分别为
202.169.10.50 和 202.169.10.60.

创建基本ACL2000,匹配20.1.1.0,掩码为24位的地址段。

在 GE 0/0/0 接口下使用nat outbound命令将ACL 2001与地址池相关联，使得ACL
中规定的地址可以使用地址池进行地址转换。

配置完成后，在 R1上查看NAT Outbound信息。

可以观察到R1上的NAT Outbound配置信息。使用PC-2测试与外网的连通性，并在R1的接口 GE 0/0/0上抓包观察地址转换情况。

可以观察到PC-2可以成功访问外网，且通过抓包分析，来自PC-2的1CMP数据包
在 R1的GE 0/0/0接口上源地址192.168.2.2被替换为地址池中第一个地址202.169.10.50。

4 . 配置 NAT Easy-IP
    由于公司发展人员扩招，若继续使用多对多的NAT转换方式，就必须增加公网地址 池的地址数。为了节约公网地址，网络管理员使用多对一的Easy-IP转换方式实现市场部员工访问外网的需求
     Easy-IP是NAPT的一种方式，直接借用路由器出接口 IP 地址作为公网地址，将不同的内部地址映射到同一公有地址的不同端口号上，实现多对一地址转换。网络管理员 配置路由器R 1的GE 0/0/0接口为Easy-IP接口。

在 R 1的GE 0/0/0接口上删除NAT Outbound配置，并使用nat outbound命令配置
Easy-IP特性，直接使用接口 IP地址作为NAT转换后的地址。

配置完成后，在 PC-2和 PC-3上使用UDP发包工具发送UDP数据包到公网地址
202.169.20.1,配置好目的IP 和UDP源、目的端口号后，输入字符串数据后单击“发送”
按钮。

在 PC-2和 PC-3发送UDP数据包后，在 R1上査看NAT Session的详细信息。

可以观察到，源地址为192.168.2.2的UDP数据包被新源地址202.169.10.1和新源端口号10240替换，,源地址为192.168.2.3
的UDP数据包被新源地址202.169.10.1和新源端口号10241替换。R1借用自身GE 0/0/0接口的公网IP地址为所有私网地址做NAT转换,
使用不同的端口号区分不同私网数据。此方式不需要创建地址池，大大节省了地址空间。

5 . 配置 NAT Server

公司内Server提供FTP服务供外网用户访问，配置NAT Server并使用公网IP地址 202.169.10.6对外公布服务器地址，然后开启NAT ALG功能。因为对于封装在IP数据
报文中的应用层协议报文，正常的NAT转换会导致错误，在开启某应用协议的NATALG功能后，该应用协议报文可以正常进行NAT转换，否则该应用协议不能正常工作。

在R1的GE 0/0/0接口上，使用nat server命令定义内部服务器的映射表，指定服 务器通信协议类型为T C P,配置服务器使用的公网IP地址为202.169.10.6,服务器内网
地址为172.16.1.3,指定端口号为2 1 ,该常用端口号可以直接使用关键字“ftp"代替。

配置完成后，在R l上査看NAT Server信息。

可以观察到，配置已经生效，并开启服务器的FTP功能，如图14・19所示。

设置完服务器后，在 R2上模拟公网用户访问该私网服务器。

可以观察到，公网用户可以成功登录公司内的私网FTP服务器。

做完实验后save命令保存配置