实验目的：

1、掌握静态NAT的基本编写。

2、理解静态NAT的基本特性。

实验拓扑：

实验步骤：

1、依据图中拓扑，配置各个路由器的IP地址，并部署静态和默认路由，配置如下：

R1上

R1(config)# ip route 0.0.0.0 0.0.0.0 12.1.1.2

R2上

R2(config)#ip route 192.168.1.0 255.255.255.0 12.1.1.1

R2(config)#ip route 192.168.2.0 255.255.255.0 12.1.1.1

R2(config)#ip route 0.0.0.0 0.0.0.0 100.1.23.3

R4上

R4(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.2

R4(config)#line vty 0 15

R4(config-line)#no login

R4(config-line)#privilege level 15

R4(config-line)#exit

让互联网设备访问内网服务器，如下：

R3#ping 172.16.1.4


Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.1.4, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

毫无疑问，由于一般的服务器搭建在企业内网或者IDC数据中心机房，没有直接放置在互联网上，互联网主机没法之间访问到内网的服务器，而静态NAT便是用来解决这个问题，通过部署静态NAT，可以将服务器映射到公网，使公网主机可以访问。

2、在R2上部署静态NAT，配置如下：

①定义内外接口

R2(config)#int f2/0

R2(config-if)#ip nat inside

R2(config-if)#exit

R2(config)#int f1/0

R2(config-if)#ip nat outside  

R2(config-if)#exit

③执行静态NAT

R2(config)#ip nat inside source static 172.16.1.4 100.1.23.4

3、测试端口NAT，如下：

在R2上查看NAT转换表

R2#show ip nat translations

Pro Inside global      Inside local       Outside local      Outside global

--- 100.1.23.4         172.16.1.4         ---                ---

此时让R3访问R4

R3#ping 100.1.23.4


Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 100.1.23.4, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 56/72/112 ms

R3#telnet 100.1.23.4

Trying 100.1.23.4 ... Open


R4#

可以看到，通过部署静态NAT，互联网主机可以通过映射后的公网地址访问内网服务器。上面这种静态映射是直接将内部IP映射到外部IP，这样相当于将内网服务器的所有端口都开放到互联网上，非常不安全，一般需要映射到具体的端口上。

4、部署静态NAT，将R4的23端口映射到公网上，如下：

R2(config)#ip nat inside source static tcp 172.16.1.4 23 100.1.23.4 23

此映射方法只将本地服务23端口放开，保证安全性。当然，还有更加安全隐藏的映射方式，例如本地服务端口和映射端口可以不一致。

5、部署静态NAT，将R4的23端口通过2323端口映射到公网上，如下：

R2(config)#ip nat inside source static tcp 172.16.1.4 23 100.1.23.4 2323

此时让R3通过2323端口远程访问R4，如下:

R3#telnet 100.1.23.4 2323

Trying 100.1.23.4, 2323 ... Open


R4#

若只有一个公网地址，但是有多个内部服务器时，静态NAT同样可以做到地址复用。

6、部署静态NAT，将公网地址映射给多个服务器，如下：

R2(config)#ip nat inside source static tcp 172.16.1.4 23 100.1.23.4 23

R2(config)#ip nat inside source static tcp 172.16.1.5 80 100.1.23.4 80

R2(config)#ip nat inside source static tcp 172.16.1.6 443 100.1.23.4 443

查看R2上转换表

R2#show ip nat translations

Pro Inside global      Inside local       Outside local      Outside global

tcp 100.1.23.4:23      172.16.1.4:23      ---                ---

tcp 100.1.23.4:80      172.16.1.5:80      ---                ---

tcp 100.1.23.4:443     172.16.1.6:443     ---                ---

可以看到，此时通过不同端口，多个服务器映射到同一个公网地址。

此实验完成。