nat123端口映射原理 NAT特殊功能--端口映射技术

前导知识点：NAT基本工作原理、tcp/IP模型中传输层的端口概念

同学们，在前导课程中，我们对NAT的功能做了详细的介绍，其中提到了一条重要的NAT特征：屏蔽内网功能，也就是说，相对于外网的主机来说，内网主机是被隐藏的，因为内网主机在访问外网时，源ip地址会被“替换”。外网主机所看到的，是转换后的ip地址，而真实的内网ip地址，是看不到的。

但是在我们现实生活中，我们有的时候恰恰需要外网主机能够访问内网服务器。公司内网的办公OA系统，或者是邮件服务器，公司内网的网站，这些服务器在公司局域网中采用的都是私有地址，当一位公司的员工出差，想通过外网使用公司的OA系统，或者发邮件，这个时候，就会遇到出现问题，因为默认情况下，外网主机是无法知道服务器的私有ip地址的。

端口映射技术有效的解决了这个问题，我们可以把NAT设备看做是一道门，这扇门使外网主机“看不到”内网的服务器，我们可以在这扇门上“打洞”，让外网主机可以通过这个“洞”看到内网的服务器，这个“洞”就是我们服务器的端口，例如我们可以在这扇门上开通80端口，让该端口映射为内网网站的80端口，这样就可以实现外网主机就可以通过访问这个80端口，间接访问到内网的网站了！

网络拓扑图

实验步骤

1、定义客户端地址

PC0

IP：192.168.0.100、子网掩码：255.255.255.0、网关：192.168.0.1

Server0

IP：60.60.60.60、子网掩码：255.0.0.0、网关：不要设置网关！

注意点：Server0不要添加网关，PC0访问Server0的方法是通过NAT的地址转换，将原本192.168.0.100的源IP地址替换成60网段的地址，实现PC0访问Server0。

2、定义内网接口和外网接口

NAT(config)#int e1/0

NAT(config-if)#ip nat inside

NAT(config-if)#ip address 192.168.0.1 255.255.255.0

NAT(config-if)#no shutdown

NAT(config)#int f0/0

NAT(config-if)#ip nat outside

NAT(config-if)#ip address 60.0.0.1 255.0.0.0

NAT(config-if)#no shutdown

3、定义内网地址集合

NAT(config)#access-list 1 permit 192.168.0.0 0.0.0.255

4、做一个简单的基于端口的NAT

NAT(config)#ip nat inside source list 1 interface e1/1 overload

6、设置端口映射

NAT(config)#ip nat inside source static tcp 192.168.0.100 80 60.0.0.1 80

这里重点解释一下，将内网服务器192.168.0.100的tcp 80端口映射到外网接口60.0.0.1的tcp 80端口，外网主机通过访问60.0.0.1的tcp 80端口实现对内网服务器192.168.0.100的tcp 80端口访问，这样就可以看到内网的网站了。

7、验证实验效果

验证效果图：在Server0内网服务器上设置一个网站

验证效果图：在Laptop0外网主机上访问NAT外网接口地址

验证效果图：在NAT设备上查看地址翻译情况

通过show ip nat translations指令可以查询到外网主机访问60.0.0.1:80，通过NAT的端口映射功能，最终访问到192.168.0.100:80，实验完成！

课后总结

• 端口映射技术是一种很常用的NAT功能，可以实现公司内网服务器的对外发布，方便出差员工访问。
• 端口映射技术的使用，也对网络管理员维护企业网安全提出了更高的要求，合理的端口映射需要提前规划，切不可随意设置端口映射，因为端口映射规则做的越多，内网服务器的安全性就越差，所以如何平衡方便性和安全性，是管理员在实际工作中要面临的首要任务。