Nat转换配置

NAT配置实例

一、网络拓扑

说明：用作NAT的路由器不能用不带型号的路由器，本实例用的是AR1220。 二、配置目标： 在R1上配置NAT，使得192.168.2.0/24及192.168.3.0/24的PC机，可以通过将私网地址转换为公网地址（220.173.141.1-3/29）而访问ISP的lo1假设PC3的IP地址为192.168.2.253，通过NAT将该地址静态绑定到220.173.141.5，使lo1以通过220.173.141.5这个IP地址访问到PC3。 三、配置步骤

1、配置PC机。按下表配置三个IP机，子网掩码均为255.255.255.0。 设备 IP地址 默认网关 PC1 192.168.2.2 192.168.2.254 PC2 192.168.3.4 192.168.3.254 PC3 192.168.3.253 192.168.3.254 2、LSW１配置 (1) 划分vlan 2，并将e0/0/1划分到vlan 2。相关配置命令如下：

sys [Huawei]vlan 2

[Huawei-vlan2]int e0/0/1

[Huawei-Ethernet0/0/1]port link-type acce

NAT配置实例

一、网络拓扑

说明：用作NAT的路由器不能用不带型号的路由器，本实例用的是AR1220。 二、配置目标： 在R1上配置NAT，使得192.168.2.0/24及192.168.3.0/24的PC机，可以通过将私网地址转换为公网地址（220.173.141.1-3/29）而访问ISP的lo1假设PC3的IP地址为192.168.2.253，通过NAT将该地址静态绑定到220.173.141.5，使lo1以通过220.173.141.5这个IP地址访问到PC3。 三、配置步骤

1、配置PC机。按下表配置三个IP机，子网掩码均为255.255.255.0。 设备 IP地址 默认网关 PC1 192.168.2.2 192.168.2.254 PC2 192.168.3.4 192.168.3.254 PC3 192.168.3.253 192.168.3.254 2、LSW１配置 (1) 划分vlan 2，并将e0/0/1划分到vlan 2。相关配置命令如下：

sys [Huawei]vlan 2

[Huawei-vlan2]int e0/0/1

[Huawei-Ethernet0/0/1]port link-type acce

防火墙路由引入

需要的设备：三个路由器、一个交换机、一个ASA防火墙

交换机上的配置 SW1> SW1>en

SW1#vlan database SW1(vlan)#vlan 2 VLAN 2 added:

Name: VLAN0002 SW1(vlan)#vlan 3 VLAN 3 added:

Name: VLAN0003 SW1(vlan)# SW1(vlan)#exit SW1#conf t

SW1(config)#int f0/2

SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config-if)#int f0/11

SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config)#int range f0/3 , f0/12

SW1(config-if-range)#switchport mode acc SW1(config-if-range)#switchport mode

防火墙路由引入

需要的设备：三个路由器、一个交换机、一个ASA防火墙

交换机上的配置 SW1> SW1>en

SW1#vlan database SW1(vlan)#vlan 2 VLAN 2 added:

Name: VLAN0002 SW1(vlan)#vlan 3 VLAN 3 added:

Name: VLAN0003 SW1(vlan)# SW1(vlan)#exit SW1#conf t

SW1(config)#int f0/2

SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config-if)#int f0/11

SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config)#int range f0/3 , f0/12

SW1(config-if-range)#switchport mode acc SW1(config-if-range)#switchport mode

实验十 网络地址转换NAT实验

一、实验目的

理解NAT网络地址转换的原理及功能；

掌握静态NAT的配置，实现局域网访问互联网；

二、实验设备

计算机、CISCO R2621路由器、交换机、V35线缆、双绞线若干。

三、实验相关原理

私有网络IP地址，即互联网路由器均不对这些地址进行路由转发，只能应用于私有内部网络，主要用来解决IP地址不足问题，私有网络地址可以在不同单位内部自由使用，且可以重复使用。私有网络IP地址段如下：

A类私有IP地址段： 10.0.0.0 ~ 10.255.255.255 B类私有IP地址段： 172.16.0.0 ~ 172.31.255.255 C类私有IP地址段： 192.168.0.0 ~ 192.168.255.255 网络地址转换NAT（Network Address Translation），被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 默认情况下，内部IP地址是无法被路由到外网的，内部主机10.1.1.1要与外部Internet通信，IP包到达NAT路由器

实验九 NAT配置

一、实验目的

掌握Basic NAT的配置方法 掌握NAPT的配置方法 掌握Easy IP的配置方法 掌握NAT Server的配置方法

二、实验描述及组网图

网络迅速发展，IPv4地址不敷使用，为了解决IPv4地址短缺的问题，IETF提出了NAT解决方案。

NAT技术主要作用是将私有地址转换成公有地址。Basic NAT虽然可以实现私有地址和公有地址的转换但不如NAPT普及，NAPT采用端口号更能提高公网IP的利用效率，适用与私网作为客户端访问公网服务器的场合；Easy IP配置最为简单，一般用于拨号接入Internet或动态获得IP地址的场合；NAT Server则用于私网对外提供服务，由公网主动向私网设备发起连接的场合。

实验组网如图所示，实验使用两台主机(PC_A,PC_B)、三台MSR路由器(jiance1, jiance2, jiance3)。

PC_A,PC_B位于私网，网关为jiance1。jiance2为NAT设备，有一个私网接口S1/0和一个公网接口E1/0,公网接口与公网路由器jiance3互连，地址池范围是：200.1.1.11~200.1.1.11。公网jiance3上loopbac

实验九 NAT配置

一、实验目的

掌握Basic NAT的配置方法 掌握NAPT的配置方法 掌握Easy IP的配置方法 掌握NAT Server的配置方法

二、实验描述及组网图

网络迅速发展，IPv4地址不敷使用，为了解决IPv4地址短缺的问题，IETF提出了NAT解决方案。

NAT技术主要作用是将私有地址转换成公有地址。Basic NAT虽然可以实现私有地址和公有地址的转换但不如NAPT普及，NAPT采用端口号更能提高公网IP的利用效率，适用与私网作为客户端访问公网服务器的场合；Easy IP配置最为简单，一般用于拨号接入Internet或动态获得IP地址的场合；NAT Server则用于私网对外提供服务，由公网主动向私网设备发起连接的场合。

实验组网如图所示，实验使用两台主机(PC_A,PC_B)、三台MSR路由器(jiance1, jiance2, jiance3)。

PC_A,PC_B位于私网，网关为jiance1。jiance2为NAT设备，有一个私网接口S1/0和一个公网接口E1/0,公网接口与公网路由器jiance3互连，地址池范围是：200.1.1.11~200.1.1.11。公网jiance3上loopbac

配置server-map表

Server-map表是一个通过少量关键元素来记录部分特殊服务连接状态的特殊表项。

ASPF（Application Specific Packet Filter）是指系统为了转发一些多通道协议报文，通过解析报文数据载荷，识别多通道协议自动协商出来的端口号，并自动生成相应的Server-map表项的功能。

目的

在严格包过滤的情况下，设备通常只允许内网用户单方向主动访问外网。但是在使用NAT或ASPF功能的情况下，可能存在外网用户通过随机端口主动访问内网服务器的情况。由于会话表的五元组限制过于严格，会导致这些特殊服务不能正常运行。引入Server-map表是为了解决这一问题。 ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议会在通信过程中自动协商一些随机端口，在严格包过滤的情况下，这些随机端口发出的报文同样不能得到正常转发。通过ASPF功能可以对这些协议的应用层数据进行解析，识别这些协议协商出来的端口号，从而自动为其开放相应的访问规则，解决这些协议不能正常转发的问题。

原理描述

Server-map表的引入

通常情况下，如果在设备上配置严格包过滤，那么设备将只允许内网用户单方向主动访问外网。但在实际

配置server-map表

Server-map表是一个通过少量关键元素来记录部分特殊服务连接状态的特殊表项。

ASPF（Application Specific Packet Filter）是指系统为了转发一些多通道协议报文，通过解析报文数据载荷，识别多通道协议自动协商出来的端口号，并自动生成相应的Server-map表项的功能。

目的

在严格包过滤的情况下，设备通常只允许内网用户单方向主动访问外网。但是在使用NAT或ASPF功能的情况下，可能存在外网用户通过随机端口主动访问内网服务器的情况。由于会话表的五元组限制过于严格，会导致这些特殊服务不能正常运行。引入Server-map表是为了解决这一问题。 ASPF是为了解决多通道协议这种特殊服务的转发而引入的。这些协议会在通信过程中自动协商一些随机端口，在严格包过滤的情况下，这些随机端口发出的报文同样不能得到正常转发。通过ASPF功能可以对这些协议的应用层数据进行解析，识别这些协议协商出来的端口号，从而自动为其开放相应的访问规则，解决这些协议不能正常转发的问题。

原理描述

Server-map表的引入

通常情况下，如果在设备上配置严格包过滤，那么设备将只允许内网用户单方向主动访问外网。但在实际

网络地址转换(NAT)实验

第十三章 网络地址转换（NAT）

一、网络拓扑图

二、实验步骤

任务一、静态NAT的配置（一个内部地址对一个外部地址）

（一）、先在路由器R-A上配置

1、先把主机名配置为：R-A

Router(config)#hostname R-A

2、配置接口F0/0、S1/0的IP地址

R-A(config)#int f0/0

R-A(config-if)#ip address 10.1.1.1 255.255.255.0

R-A(config-if)#no shu

R-A(config)#int s1/0

R-A(config-if)#ip address 192.168.1.1 255.255.255.0

R-A(config-if)#no shu

3、配置路由协议（可以是静态、默认、动态、OSPF等的一种，我这用默认路由） R-A(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2

网络地址转换(NAT)实验

（二）、在路由器R-B上配置

1、先把主机名配置为：R-B

Router(config)#hostname R-B

2、配置接口F0/0、S1/0的IP地址

R-B(config)#int f0/0

R-