当前位置：首页 > wifi设置知识 > 正文内容

nat地址转换的路由过程

秋天2023年05月08日 17:00:10wifi设置知识186

本文将为您详细介绍nat地址转换的路由过程，并且我们还会涉及一些关于nat地址转换的工作过程的话题，希望本文能够对您有所帮助。

本文内容目录一览：

1、配置路由器静态NAT地址转换的主要步骤是什么？
2、eNSP模拟实验-路由器配置NAT网络地址转换
3、计算机网络-网络层-网终地址转换NAT
4、路由器NAT的配置过程

配置路由器静态NAT地址转换的主要步骤是什么？

如何配置NAT （网络地址转换），从而使得互联网上的计算机通过其思科路由器访问其内部的Web和电子邮件服务器。这需要在专门公用的IP地址和专门私用的IP地址之间配置一个静态的NAT转换。

通过处于外部的网络（也就是Internet）与内部的网络（也就是私有网络）之间的路由器配置一个静态的IP转换。

要获取网络李碧内部和到达你的Web/邮件服务器的数据通信，可以采用两个重要的措施：

1.NAT配置

2.防火墙配置

不管正运用基本的访问控制列表（ACL）或者是正使用思科的IOS防火墙属性集（详细信息见：Cisco IOS firewall feature set），一定要确信你理解了思科IOS的操作顺序，这样才能为适当的IP地址（不管是公有的还是私有的）配置你的防火墙。换句话说，哪一个先发生呢？是 NAT转换，还是防火墙过滤？例如，在使用ACL时，一个输入的ACL检查要先于NAT转换。因此，你需要在头脑中牢牢记住拥有公有IP地址的ACL.

静态NAT配置interface Serial0/0

ip address 63.63.63.1 255.255.255.0

ip nat outside

interface Ethernet0/0

ip address 10.1.1.1 255.255.255.0

ip nat inside

使用了上述的端口数字，因为它们适合想要执行操作的描述。但是需要记住，端口数字可能会有所不同。关闭了用于SMTP（发送邮件）的 25号端口、用于HTTPS（安全Web）的443号端口，用于HTTP（Web通信）的80号端口，还关闭了用于POP3（从邮件服务器接收邮件）的 110号端口。

这个配置需要假定有一组IP地址。如果没有，可以使用路由器（此例中就是Serial 0/0）上的外部IP地址，可以进行如下配置：

router(config)#ip nat inside source static tcp 10.1.1.2 25 interface serial 0/0 25

如果有一个从ISP那里得到的动态的DHCP IP地址，甚至也可以使用这个命令。

还需要在公网Internet DNS服务器中注册这个邮件和Web服务器的IP地址。因此，当用户在其Web浏览器中键入时，浏览器就会将其转化为63.63.63.2，路由器将会把它转换为10.1.1.2.Web服务器会接收这个请求，并通过路由器给予回应，路由器会再将其转换回公网IP地址。

除了配置静态的NAT，可能薯扰雀想数早到在这同时使用动态的NAT.有鉴于此，内部的PC可以使用动态的NAT为访问互联网（即NAT过载或PAT）。不过，这样就有点儿更加复杂。如果大家感兴趣，可以参考思科的Configuring Static and Dynamic NAT Simultaneously文档。

eNSP模拟实验-路由器配置NAT网络地址转换

在以往的实践中，笔者在centos中使用防火墙iptables来配置NAT网络地址转换。VirtualBox中也可以配置NAT网络地址转换。但是最近接触到的云服务器，有私网IP地址和公网IP地址，公网IP提供外部通信，私网IP可以使用云上的各种服务。对于大型的网络来说，通过路由器来进行地址转换可能更加高效。于是笔者在华为的书籍上找了例子来进行配置实践。

IPV6可用解决地址短缺的问题，但是无法立刻替换现在成熟且广泛应用的IPV4。网络地址转换（NAT）可以延长IPV4的寿命。NAT是将IP数据报文中的头IP地址转换成另一个IP地址的过程，主要用于内部网络(私有IP地址)访问外部网络(共有IP地址)。NAT有三种类型：静态NAT、动态地址NAT以及网路地址端口转换NAT。

NAT转换设备维护着地址转换表，所有经过NAT转换设备并且需要地纳知址转换的报文，都会通过该表做地址转换。NAT转换设备处于内部和外部网络的连接处，常见的有路由器、防火墙。

根据图示的信息搭建网络。

在网关路由器AR1上配置访问外网的默认路由。

ip route-static 0.0.0.0 0.0.0.0 202.169.10.2

查看配置好的静态路由协议。

由于内网使用的是私有IP地址，员工无法直接访问公网。现需要在网关路由器上配置NAT地址转换，将私网地址转换为公网地址。PC1自身能够访问外网，并且需要外网用户也能够直接访问他，分配一个公网IP地址202.169.10.5给PC1做静态NAT地址转换。在R1的G0/0/0接口使用nat static命令配置内部地址到外部地址的一对一转换。

配置完成后在AR1上查看NAT静态配置信息。

在笑歼PC1上ping命令测试与外网的连通性，可以看到静态NAT已经可以成功访问外网。

在路由器碰茄冲的G0/0/0接口上抓包查看NAT地址转换，AR1成功把来自PC1的ICMP报文的源地址172.16.1.1转换成公网地址202.169.10.5 。

在AR2上使用环回地址loopback0模拟外网访问PC1，测试成功。

在PC1的E0/0/1接口上抓包观察，PC1的私网地址被转换成唯一的公网地址，外网用户也能访问PC1。且数据包在经过R1进入内网时，R1把目的IP地址转为公网地址202.169.10.5对应的私网地址172.16.1.1发给PC1。

PC2 、PC3都需要访问外网，网段为172.17.1.0/24 。使用公网地址池202.169.10.50-202.169.10.60 为其做NAT转换.

在AR1上使用nat address-group命令配置NAT地址池，设置起始地址202.169.10.50，终止地址202.169.10.60。

nat address-group 1 202.169.10.50 202.169.10.60

创建ACL2000。

在AR1的G0/0/0接口下使用nat outbound 命令将acl200和地址池关联，使得地址池中规定的地址可以使用地址池进行进行地址转换。并在AR1上查看NAT outbound信息。

在PC2上测试与外网的连通性成功。

并在AR1的接口G0/0/0上抓包观察地址转换情况。来自PC2的ICMP数据包在AR1的G0/0/0接口上源地址172.17.1.2被替换成地址池中的第一个地址202.17.10.50 。

由于PC众多，采用多对多的NAT转换方式就必须增加公网IP地址池的地址数量。为了节约地址，需要配置多对一的Easy-IP转换方式实现访问外网的需求。Easy-IP是NAPT的一种方式，直接借用路由器的接口IP地址作为公网地址，将不同的内部地址映射到同一公网地址的不同端口上，实现多对一地址转换。

在AR1的G0/0/0接口上删除NAT Outbound配置，并使用nat outbound命令配置Easy-IP特性，直接使用接口IP地址作为NA转换后的地址。

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]undo nat outbound 2000 address-group 1 no-pat

[AR1-GigabitEthernet0/0/0]nat outbound 2000

配置完成后，在PC2上使用UDP数据包发包工具发送udp数据包到公网地址202.169.20.1，配置好目的IP地址和UDP源、目的端口号后，输入字符串后发送。

PC2的配置如下：

在AR1上查看nat session的详细信息。可以看到，源地址172.17.1.2的UDP数据包被新源地址202.169.10.1和新源端口10241替换。AR1借用自身G0/0/0接口的公网地址为所有私网地址做NA转换，使用不同端口号区分不同私网数据。此方式不需要创建地址池，大大节省了地址空间。

公司内server服务器提供ftp服务供外网用户访问，配置NAT server并使用公网IP地址202.169.10.6对外公布服务器地址，然后开启nat alg功能。对于封装在ip数据报文中应用层协议报文，正常的NAT转换会导致错误，在开启某应用协议的nat alg功能后，该应用协议报文可以正常进行nat转换，否则该应用协议不能正常工作。

在AR1的G0/0/0接口使用nat server命令定义内部服务器的映射表，指定通信协议为tcp，配置服务器使用公网ip地址202.169.10.6 ，服务器内网地址为172.16.1.3，指定端口为21，该常用端口号可以直接使用关键字“ftp”代替。并在AR1上查看nat server信息。

查看server配置成效，选择根目录并启动ftpserver 。

设置服务器完成后，在AR2上模拟公网用户访问私网ftp服务器。

计算机网络-网络层-网终地址转换NAT

网终地址转换NAT (Network Address Translation)需要在专用网连接到互联网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球P地址。这样，所有使用本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球P地址，才能和互联网连接。

图4-60给出了NAT路由器的工作原理。在图中，专用网192.168.0.0内所有主机的P地址都是本地P地址192.168.x.x。NAT路由器至少要有一个全球P地址，才能和互联网相连。图4-60表示出NAT路由器有一个全球IP地址172.38.1.5（当然，NAT路由器可以有多个全球IP地址)。

NAT路由器收到从专用网内部的主机A发往互联网上主机B的IP数据报：源IP地址是192.168.0.3，而目的IP地址是213.18.2.4。NAT路由器把IP数据报的源IP地址192.168.0.3,转换为新的源IP地址（即NAT路由器的全球IP地址）172.38.1.5，然后转发出去。因此，主机B收到这个IP数据报时，以为A的IP地址是172.38.1.5。当B给A发送应答时，IP数据报的目的IP地址是NAT路由器的IP地址172.38.1.5。B并不知道A的专用地址192.168.0.3。当NAT路由器收到互联网上的主机B发来的IP数据报时，还要进行一次IP地址的转换。通过NAT地址转换表，就可把IP数据报上的旧的目的IP地址172.38.1.5，转换为新的目的IP地址192.168.0.3（主机A真正的本地IP地址)。

由此可见，当NAT路由器具有n个全球P地址时，专用网内最多可以同时有n台主机接入到互联网。这样就可以使专用网内较多数量的主机，轮流使用NAT路由器有限数量的全球IP地址。

显然，通过NAT路由器的通信必须由专用网内御明的主机发起。设想互联网上的主机要发起通信，当IP数据报到达NAT路由器时，NAT路由器就不知道应当把目的P地址转换成专用网内的哪一个本地IP地址。这就表明，这种专用网内部的主机不能充当服务器用，因为互联网上的客户无法请求专用网内的服务器提供服务。

为了更加有效地利用NAT路由器上的全球IP地址，现在常用的NAT转换表把运输层的端口号也利用上。这样，就可以使多个拥有本地地址的主机，共用一个NAT路由器上的全球IP地址，镇禅告因而可以同时和互联网上的不同主机进行通信。

使用端口号的NAT也叫做网络地址与端袭搭口号转换NAPT (Network Address and Port Translation),而不使用端口号的NAT就叫做传统的NAT(traditional NAT)。

从表4-12可以看出，在专用网内主机192.168.0.3向互联网发送IP数据报，其TCP端口号选择为30000。NAPT把源IP地址和TCP端口号都进行转换（如果使用UDP,则对UDP的端口号进行转换原理是一样的)。另一台主机192.168.0.4也选择了同样的TCP端口号30000。这纯属巧合（端口号仅在本主机中才有意义）。现在NAPT把专用网内不同的源IP地址都转换为同样的全球IP地址。但对源主机所采用的TCP端口号（不管相同或不同)，则转换为不同的新的端口号。因此，当NAPT路由器收到从互联网发来的应答时，就可以从IP数据报的数据部分找出运输层的端口号，然后根据不同的目的端口号，从NAPT转换表中找到正确的目的主机。

应当指出，从层次的角度看，NAPT的机制有些特殊。普通路由器在转发P数据报时，对于源IP地址或目的P地址都是不改变的。但NAT路由器在转发IP数据报时，一定要更换其IP地址（转换源IP地址或目的IP地址）。其次，普通路由器在转发分组时，是工作在网络层，并且NAPT路由器还要查看和转换运输层的端口号。