NAT實驗

NAT（Network Address Translation，網絡地址轉換）：

1. NAT技術的介紹：

   隨著Internet用戶的快速增長，以及地址分配不均等因素，IPv4地址（約40億的空間地址）已經陷入不敷使用的窘境。為了解決這個問題，IETF 提出了 NAT 解決方案。IP地址分為公有地址（Global Address）和私有地址（Private Address）。公有地址由 IANA 統一分配，用于 Internet 通訊；私有地址可以自由分配，用于網絡內部通訊。NAT技術的主要作用就是將私有地址轉換成共有地址，使私有網絡中的主機可以通過共享少量公有地址訪問 Internet。

   NAT只是一種過渡技術，從根本上解決地址供需問題的方式是采用支持更大地址空間的下一代IP技術——IPv6 協議。

2. NAT核心原理：

   • 出方向（私→公）：將私網IP+端口映射為公網IP+端口。
   • 入方向（公→私）：根據映射表將公網IP+端口還原為私網IP+端口。
   • 關鍵表項：設備動態維護 NAT Session表（記錄映射關系）和 NAT地址池（公網地址資源）。
   • IPv4單播地址預留地址段（Private Address Space）：
     • 10.0.0.0/8*（10.0.0.0 ~ 10.255.255.255）*
     • 172.16.0.0/12*（172.16.255.255 ~ 172.31.255.255）*
     • 192.168.0.0/16*（192.168.0.0 ~ 192.168.255.255）*

3. NAT分類：

   • 靜態NAT：
     • 原理：
       將一個私網IP固定綁定一個公網IP（無端口轉換），建立雙向靜態映射。
     • 特點：
       • 公網IP永久獨占，浪費地址資源
       • 支持入站訪問（公網可直接訪問私網主機）
       • 無會話超時機制
   • 基本NAT（動態NAT）：
     • 原理：
       私網IP動態分配公網IP（不轉換端口），地址池耗盡時新連接失敗。
     • 特點：
       • 不支持端口復用，一個私網連接獨占一個公網IP
       • 會話超時后地址回收
       • 不支持入站訪問
   • NAPT（Network Address Port Translation）：
     • 原理：
       多個私網IP共享公網地址池，通過端口號區分不同會話（IP+端口同時轉換）。
     • 特點：
       • 高效利用IP（1個公網IP支持數萬并發）
       • 僅支持出站訪問
       • 需維護復雜Session表
   • Easy IP：
     • 原理：
       NAPT的特例，直接使用公網接口的IP作為轉換地址（無需地址池）。
     • 特點：
       • 節省配置（尤其適合動態獲取公網IP的場景）
       • 單IP支撐整個私網出口
       • 家庭寬帶/小型企業首選
   • NAT Server：
     • 原理：
       將公網IP的指定端口靜態映射到私網服務器的指定端口（支持協議類型）。
     • 特點：
       • 精準控制入站流量
       • 支持端口重定向（如公網8080→私網80）
       • 與防火墻策略配合保障安全

4. 決策圖：

   

實驗：

一、實驗拓撲

二、實驗需求

1. 按照圖示配置 IP地址
2. 在 R1 和 R3 上配置默認路由指向公網，使私網A、B接入互聯網
3. 私網A按照圖示配置 VLAN ，通過R1單臂路由訪問互聯網
4. 私網A通過在 R1 上配置 NAPT使 VLAN10 和 VLAN20 都使用 R1 的公網地址訪問互聯網
5. 私網B通過在 R3 上配置 EASY IP 訪問互聯網
6. 私網A配置 NAT SERVER 把 FTP-A 的 FTP 服務映射到公網，使用 PCB 訪問 FTP-A 的 FTP 服務

三、實驗步驟

1. 按照圖示配置 IP地址，略

2. 在 R1 和 R3 上配置默認路由指向公網，使私網A、B接入互聯網，略
   靜態路由實驗：配置簡單的高安全低消耗的可控性強路由
   三個靜態路由實驗：一篇文章教會你怎么配置靜態路由

3. 私網A按照圖示配置 VLAN ，通過R1單臂路由訪問互聯網，略
   單臂路由網絡隔離與跨 VLAN 通信實驗

4. 私網A通過在 R1 上配置 NAPT使 VLAN10 和 VLAN20 都使用 R1 的公網地址訪問互聯網

   [R1]acl basic 2000
   [R1-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
   [R1-acl-ipv4-basic-2000]rule permit source 192.168.2.0 0.0.0.255
   [R1-acl-ipv4-basic-2000]qu
   

   [R1]nat add
   [R1]nat address-group 1
   [R1-address-group-1]address 100.1.1.1 100.1.1.1
   [R1-address-group-1]qu
   

   [R1]int g0/1
   [R1-GigabitEthernet0/1]nat outbound 2000 address-group 1
   [R1-GigabitEthernet0/1]qu
   

5. 私網B通過在 R3 上配置 EASY IP 訪問互聯網

   [R3]acl basic 2000
   [R3-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
   [R3-acl-ipv4-basic-2000]qu
   

   [R3]int g0/0
   [R3-GigabitEthernet0/0]nat ou
   [R3-GigabitEthernet0/0]nat outbound 2000
   [R3-GigabitEthernet0/0]qu
   

6. 在 FTP-A 上配置 FTP 服務,略
   實驗環境下的網絡協議比較：FTP文件傳輸、TELNET遠程登錄與SSH安全通信

7. 私網A配置 NAT SERVER 把 FTP-A 的 FTP 服務映射到公網，使用 PCB 訪問 FTP-A 的 FTP 服務

   [R1]int g0/1
   [R1-GigabitEthernet0/1]nat server protocol tcp global current-interface 20 21 in
   side 192.168.1.1 20 21
   [R1-GigabitEthernet0/1]qu
   

   <PCB>ftp 100.1.1.1
   Press CTRL+C to abort.
   Connected to 100.1.1.1 (100.1.1.1).
   220 FTP service ready.
   User (100.1.1.1:(none)): wiltjer
   331 Password required for wiltjer.
   Password: 
   530 Login authentication failed
   ftp: Login failed.
   Remote system type is UNIX.
   Using binary mode to transfer files.
   ftp>