实验10 - 网络地址转换NAT配置temp-ok(1)

实验十 网络地址转换NAT实验

一、实验目的

理解NAT网络地址转换的原理及功能；

掌握静态NAT的配置，实现局域网访问互联网；

二、实验设备

计算机、CISCO R2621路由器、交换机、V35线缆、双绞线若干。

三、实验相关原理

私有网络IP地址，即互联网路由器均不对这些地址进行路由转发，只能应用于私有内部网络，主要用来解决IP地址不足问题，私有网络地址可以在不同单位内部自由使用，且可以重复使用。私有网络IP地址段如下：

A类私有IP地址段： 10.0.0.0 ~ 10.255.255.255 B类私有IP地址段： 172.16.0.0 ~ 172.31.255.255 C类私有IP地址段： 192.168.0.0 ~ 192.168.255.255 网络地址转换NAT（Network Address Translation），被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 默认情况下，内部IP地址是无法被路由到外网的，内部主机10.1.1.1要与外部Internet通信，IP包到达NAT路由器时，IP包头的源地址10.1.1.1被替换成一个合法的外网IP，并在NAT转发表中保存这条记录。当外部主机发送一个应答到内网时，NAT路由器受到后，查看当前NAT转换表，用10.1.1.1替换掉这个外网地址。 NAT将网络划分为内部网络和外部网络两部分，局域网主机利用NAT访问网络时，是将局域网内部的本地地址转换为全局地址（互联网合法的IP地址）后转发数据包； NAT有3 种类型：静态NAT、动态NAT和端口地址转换（PAT）。

（1）静态NAT：在静态NAT中，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。<内IP > → <外IP> （1:1）

（2）动态NAT：动态NAT首先要定义合法地址池，然后采用动态分配的方法映射到内部网络。动态NAT是动态一对一的映射。<内IP > → <外IP> （动态1:1）

（3）NAPT：把内部地址映射到外部网络的IP地址的不同端口上，从而可以实现多对一的映射。PAT对于节省IP地址是最为有效的。<内IP，内端口 > → <外IP，外端口> （n:1）

三、实验内容

1、拓扑图

2、按拓扑图连接相关设备，并且配置设备IP地址，设置默认路由策略。 (1)计算机参数配置：

WEB Server0 ：

IP 192.168.0.100/24 网关：192.168.0.1 WEB Server1 ：

IP 172.17.1.100/24 网关：172.17.1.1 PC0:

IP 192.168.0.2/24 网关：192.168.0.1 PC1:

IP 192.168.1.2/24 网关：192.168.1.1 PC2:

IP 172.16.1.2/24 网关：172.16.1.1 (2) 路由器配置IP和默认路由 Router0配置： Router>en Router#conf t

Router(config)#int fa0/0

Router(config-if)#ip add 192.168.0.1 255.255.255.0 Router(config-if)#no shut Router(config-if)#int fa0/1

Router(config-if)#ip add 192.168.1.1 255.255.255.0 Router(config-if)#no shut Router(config-if)#int s0/0

Router(config-if)#ip add 201.101.1.1 255.255.255.0

Router(config-if)#clock rate 64000 Router(config-if)#no shut Router(config-if)#exit

Router(config)#ip route 0.0.0.0 0.0.0.0 201.101.1.2 #设置默认路由

Router1配置： Router>en Router#conf t

Router(config)#int fa0/0

Router(config-if)#ip add 172.16.1.1 255.255.255.0 Router(config-if)#no shut Router(config-if)#int s0/0

Router(config-if)#ip add 201.101.1.2 255.255.255.0 Router(config-if)#no shut Router(config-if)#exit Router(config)#int fa0/1

Router(config-if)#ip add 172.17.1.1 255.255.255.0 Router(config-if)#no shut Router(config-if)#exit

Router(config)#ip route 0.0.0.0 0.0.0.0 201.101.1.1 #设置默认路由

(3) 静态NAT配置

将SERVER0 192.168.0.100 静态映射成 201.101.1.100

在Router0上配置静态NAT命令： Router#conf t

Router(config)#int fa0/0

Router(config-if)#ip nat inside #指定NAT内接口 Router(config-if)#int s0/0

Router(config-if)#ip nat outside #指定NAT外接口 Router(config-if)#exit

Router(config)#ip nat inside source static 192.168.0.100 201.101.1.100 #设置静态NAT

在Router0上查看静态NAT策略： Router#show ip nat translations

Pro Inside global Inside local Outside local Outside global --- 201.101.1.100 192.168.0.100 --- 验证静态NAT：

在PC2上使用Ping 命令测试与201.101.1.100的连通性，结果如下： PC>ping 201.101.1.100

Pinging 201.101.1.100 with 32 bytes of data:

Reply from 201.101.1.100: bytes=32 time=125ms TTL=126 Reply from 201.101.1.100: bytes=32 time=109ms TTL=126

Reply from 201.101.1.100: bytes=32 time=109ms TTL=126 Reply from 201.101.1.100: bytes=32 time=125ms TTL=126 Ping statistics for 201.101.1.100:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:

Minimum = 109ms, Maximum = 125ms, Average = 117ms

在PC2上使用Ping 命令测试与192.168.0.100的连通性，结果如下：

PC>ping 192.168.0.100

Pinging 192.168.0.100 with 32 bytes of data:

Reply from 201.101.1.100: bytes=32 time=95ms TTL=126 Reply from 201.101.1.100: bytes=32 time=125ms TTL=126 Reply from 201.101.1.100: bytes=32 time=125ms TTL=126 Reply from 201.101.1.100: bytes=32 time=125ms TTL=126

Ping statistics for 192.168.0.100:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:

Minimum = 95ms, Maximum = 125ms, Average = 117ms

在PC2上浏览WEB Server0的网站，结果如下图：

(4) 动态NAT配置

实现PC0：192.168.0.2 –>（ 202.101.1.10 ~ 202.101.1.99），PC0可以随机选择一个外部IP，实现对外网访问。

动态NAT必须和ACL列表配合使用，步骤如下：

1) 创建ACL策略并应用到相应端口上 2) 建立地址池pool

3) 使用ip nat 命令建立动态NAT

4) 使用ip nat outside命令指定NAT外接口、使用ip nat inside命令指定NAT内接口

a）在Router0上创建ACL策略并应用到相应端口上

Router(config)#access-list 10 permit 192.168.0.0 0.0.0.255

#创建标准列表10，允许192.168.0.0/24访问外网

Router(config)#access-list 10 deny any #阻止其他的访问请求 Router(config)#int fa0/0

Router(config-if)#ip access-group 10 in #将ACL应用到接口fa0/0上 b）在Router0上创建动态地址池（202.101.1.10 ~ 202.101.1.99）

Router(config)#ip nat pool dynat-pool_1 202.101.1.10 202.101.1.99 netmask 255.255.255.0 #建立动态NAT地址池 c）使用ip nat 命令建立动态NAT

Router(config)#ip nat inside source list 10 pool dynat-pool_1

d）使用ip nat outside命令指定NAT外接口、使用ip nat inside命令指定NAT内接口 Router#conf t

Router(config)#int fa0/0

Router(config-if)#ip nat inside #指定NAT内接口 Router(config-if)#int s0/0

Router(config-if)#ip nat outside #指定NAT外接口 Router(config-if)#exit

注意：这个步骤在前面静态NAT时已经做过，可以不需再重复做。

测试动态NAT：

使用命令查看NAT转换情况： Router#show ip nat translations

Pro Inside global Inside local Outside local Outside global --- 201.101.1.100 192.168.0.100 --- --- --- 202.101.1.10 192.168.0.2 --- ---

(5) PAT配置 实现PC0：（192.168.1.2 ，内端口）–>（ 202.101.1.200 ~ 202.101.1.250，外端口），PC1可以随机选择一个外部IP，且外端口可随机使用空闲端口，实现对外网访问。 PAT也必须和ACL列表配合使用，步骤如下：

1) 创建ACL策略并应用到相应端口上 2) 建立地址池pool

3) 使用ip nat 命令建立动态PAT

4) 使用ip nat outside命令指定NAT外接口、使用ip nat inside命令指定NAT内接口

a）在Router0上创建ACL策略并应用到相应端口上 Router>en Router#conf t

Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 any

#创建扩展列表101，允许192.168.1.0/24访问外网

Router(config)#access-list 101 deny ip any any #阻止其他的访问请求 Router(config)#int fa0/1

Router(config-if)#ip access-group 101 in #将ACL101应用到接口fa0/1上 b）在Router0上创建动态地址池（202.101.1.200 ~ 202.101.1.250）

Router(config)#ip nat pool pat-pool_2 202.101.1.200 202.101.1.250 netmask 255.255.255.0

c）使用ip nat 命令建立动态NAT

Router(config)#ip nat inside source list 101 pool pat-pool_2

d）使用ip nat outside命令指定NAT外接口、使用ip nat inside命令指定NAT内接口 Router#conf t

Router(config)#int fa0/0

Router(config-if)#ip nat inside Router(config-if)#int s0/0

Router(config-if)#ip nat outside Router(config-if)#exit

注意：这个步骤在前面静态NAT时已经做过，可以不需再重复做。

测试PAT：

在PC1上ping WEB Server1 Ping 172.17.1.100

在PC1上访问WEB Server1网站

使用命令查看PAT转换情况： Router#show ip nat translations

Pro Inside global Inside local Outside local Outside global --- 201.101.1.100 192.168.0.100 --- --- --- 202.101.1.10 192.168.0.2 --- --- tcp 201.101.1.200:1026 192.168.1.2:1026 172.17.1.100:80 注意：上面蓝色的字体的条目即为PAT映射 表示192.168.1.2:1026 ? 201.101.1.200:1026

Router(config-if)#ip access-group 101 in #将ACL101应用到接口fa0/1上 b）在Router0上创建动态地址池（202.101.1.200 ~ 202.101.1.250）

Router(config)#ip nat pool pat-pool_2 202.101.1.200 202.101.1.250 netmask 255.255.255.0

c）使用ip nat 命令建立动态NAT

Router(config)#ip nat inside source list 101 pool pat-pool_2

d）使用ip nat outside命令指定NAT外接口、使用ip nat inside命令指定NAT内接口 Router#conf t

Router(config)#int fa0/0

Router(config-if)#ip nat inside Router(config-if)#int s0/0

Router(config-if)#ip nat outside Router(config-if)#exit

注意：这个步骤在前面静态NAT时已经做过，可以不需再重复做。

测试PAT：

在PC1上ping WEB Server1 Ping 172.17.1.100

在PC1上访问WEB Server1网站

使用命令查看PAT转换情况： Router#show ip nat translations

Pro Inside global Inside local Outside local Outside global --- 201.101.1.100 192.168.0.100 --- --- --- 202.101.1.10 192.168.0.2 --- --- tcp 201.101.1.200:1026 192.168.1.2:1026 172.17.1.100:80 注意：上面蓝色的字体的条目即为PAT映射 表示192.168.1.2:1026 ? 201.101.1.200:1026

本文来源：https://www.bwwdw.com/article/zpdh.html