网络地址转换NAT
1、静态转换
2、动态转换
3、端口多路复用PAT
4、端口映射(服务器映射)

一、NAT基本概念

在ipv4的网络环境中，由于网络分为私网和公网，私网的地址无法在公网上进行路由

1、目的

• 将私网的地址转换为公网地址

2、出现背景

• IP地址不够用

3、转换方式

静态转换和动态转换几乎不用

• 静态转换 仅进行IP地址转换 1对1转
• 动态转换 仅进行IP地址转换 多对多转 内网的一部分转换为外网的一部分
• • 内网地址多于外网地址 5-------3. 造成部分主机无法上网
• • 外网地址多于内网地址
• 端口多路复用PAT多对1转携带端口一起转换
• • 192.168.1.1:8899---------》64.23.54.99:6677
• • 192.168.2.1:2277--------》64.23.54.99:8866
• 端口映射(服务器映射)
• • 将一台内网的服务器发布到外网，从而使外网的主机可以访问到内网的服务器
• • 192.168.1.1:80------》64.23.54.99:80
• • 目的地址转换，外部主机访问内网服务器会进行目的地址的转换成端口访问。

4、转换表中的4类地址

• 内部局部地址:发送方的内网
• 内部全局地址:发送方的外网
• 外部局部地址:接收方内网
• 外部全局地址:接收方外网

二、静态NAT

• 固定1----->1 转 192.168.1.1------>64.23.54.99
• 命令

#首先需要去定义出口路由器的内网接口和外网接口，之后再来配置静态NAT
ip nat inside source static 192.168.1.1 64.23.54.99

1、放置各器件并连线，如图所示

2、配置IP地址




3、尝试去pingPC2，发现并不能ping通。因为PC2没有设置网关

4、配置内外网入口

5、配置静态NAT


6、PC0就是10.10的内网地址，所以可以ping通，而PC1不能ping通

三、动态NAT

• 动态的 多对多

#1、定义内网范围，使用ACL来定义允许
Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255
#2、定义外网范围，使用名称指定范围IP
Router(config)#ip nat pool woniu 23.34.56.70 23.34.56.71 netmask 255.255.255.0
#3、应用
Router(config)#ip nat inside source list 1 pool woniu

#清除所有转换表
Router#clear ip nat translation *

1、放置器件并连接线路，如图所示

2、配置ip地址






3、配置内外网出入接口

4、定义内网范围

5、定义外网范围，并应用

6、PC0和PC1去ping最右边的那台PC,ping成功了。并且在路由器0中有对应的转换表


7、发现PC2去ping不通了，因为数量有限的外网地址已经被占满了。就算把PC0或1删掉了也无济于事，关键是看转换表中是否把外网地址给释放掉
8、清掉转换表，再来查看，发现没有了

9、PC2、PC1和PC1依次去ping最右边的主机，前面两个ping得通，PC1ping不同，因为外网地址已经自动把外网地址分配完了。

三、PAT

(1)端口多路复用(多对1的转换）

• 主要是将内网的多个地址转换为外网的一个IP地址(将端口一起转换，从而进行区分)

#定义内网范围
Router(config)#access-list 1 permit any
#定义外网范围〈外网只有一个IP地址，所以这里起始和结束都是这一个IP)
Router(config)#ip nat pool woniu 23.34.56.80 23.34.56.80 netmask 255.255.255.0
#应用(因为使用的是PAT，后面需要加上overload)
Router(config)#ip nat inside source list 1 pool woniu overload

• 将内网的多个地址直接转换为外网接口的地址

#定义内网范围
Router(config)#access-list 1 permit any
#应用〈因为使用的是PAT，后面需要加上overload）这里直接引用的是外网接口g0/1
Router(config)#ip nat inside source list 1 int g0/1 overload

• 是目前企业当中最常使用的方式（源地址转换，NAT代理上网）

(2)端口映射（服务器映射)

• 主要是讲内网的某一台服务器(服务器上就会有对应的服务）映射到外网的某一个IP地址的某个端口
• • 192.168.1.100:80------>23.34.56.78:80
• • 因为内网的端口标识了服务器的服务类型，所以不能更改
• • 映射出去的外网端口可以更改，但是会影响外网客户端访问时的端口号，如果映射的外网端口为8088端口，这时候外网客户机在访问内网服务器时，访问的是映射出去的IP地址及端口号(8088）(http://23.34.56.78:8088)

Router(config)#ip nat inside source static tcp 192.168.1.100 80 23.34.56.78 80

• 是目前企业中针对内网服务器对外提供服务时使用(目的地址转换)

情况1：主要是将内网的多个地址转换为外网的一个IP地址
1、放置线路并且连线如图所示

2、配置IP（交换机什么都不用做）






3、定义内外网接口

4、配置PAT

5、尝试去ping通外网主机，都成功了



6、路由器0的转换表

情况2：将内网的多个地址直接转换为外网接口的地址
7、先删掉情况1的，再来配置情况2
8、去ping一下，发现全部都ping通了



9、查看路由器0的转换表

情况3：端口映射
10、现在还没有配置，发现是访问不了

11、配置

12、PC2访问成功

13、删掉80端口改成8088端口，直接输入ip地址不带端口，发现访问不了了，因为默认直接访问ip地址就是访问80端口，我们要访问8088端口，就得输入ip地址带端口

---

总结

(1)静态转换

• 1对1转换：1个内网地址转换为1个外网地址，形成的是永久性的对应关系，可以根据外网地址直接定位到内网地址，可以实现内网访问外网，也可以实现外网访问内网

(2)动态转换

• 多对多转换：内网多个IP转换为外网多个IP，当内网主机数量多于外网IP地址个数时，无法实现内网所有主机同时上网，由于是动态的对应关系，所以无法根据外网地址锁定到内网地址，只能实现内网访问外网

(3)端口多路复用(PAT)

• 多对1转换（源地址转换，NAT代理上网)：内网多个IP地址转换为外网一个IP地址(外网接口IP地址)，使用不同端口号进行区分，形成的也是动态的对应关系，只能实现内网访问外网

(4)端口映射(服务器映射):目的地址转换

• 主要是将内网的某一台服务器（服务器上就会有对应的服务）映射到外网的某一个IP地址的某个端口。
• 形成的是一个永久性的对应关系，但是只能实现外网访问内网，无法实现内网访问外网
  192.168.1.100:80------>23.34.56.78:80

五、端口镜像

1、本地端口镜像

• 在一台交换机上

2、远程端口镜像

• 将交换机A的某接口数据镜像到交换机B的某个接口上

1、基本概念

1、概述

• 将一个或多个源端口的数据流量转发到某一个指定端口

2、目的

• 主要是方便—个或多个网络接口流量进行分析(IDS入侵检测)

3、功能

• 故障定位、流量分析、流量备份

1、放置装置并连接如图
设计：pc1是镜像端口，pc2是检测镜像的端口2、配置ip



3、关闭sw1的路由功能，之后主机互ping，都能ping通


4、配置端口镜像。先配置镜像端口，再配置目的端口

5、对pc2的链路进行抓包，然后PC1pingPC3,发现PC1pingPC3的数据全部都抓出来了