實驗十六-NAT配置

實驗十六NAT的配置網(wǎng)絡地址轉(zhuǎn)換(NAT,NetworkAddressTranslation)被廣泛應用于各種類型Internet接入方式和各種類型的網(wǎng)絡中。原因很簡單，NAT不僅完美地解決了lP地址缺乏的問題，而且還能夠有效地防止來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內(nèi)部的計算機。NAT的實現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換StaticNat、動態(tài)轉(zhuǎn)換DynamicNat和端口多路復用OverLoad。一、靜態(tài)NAT的配置實驗拓撲圖如下：一、路由器R1的配置Router>Router>enRouter#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostnameR1R1(config)#interfacefastEthernet0/0R1R1(config-if)#noshutdownR1(config-if)#ipnatinsideR1(config-if)#exitR1(config)#interfaceserial2/0R1R1(config-if)#clockrate64000R1(config-if)#noshutdownR1(config-if)#ipnatoutsideR1(config-if)#exitR1R1(config)#iproute二、路由器R2的配置Router>enRouter#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostnameR2R2(config)#linevty04R2(config-line)#passwordciscoR2(config-line)#loginR2(config-line)#exitR2(config)#interfaceloopback0R2(config-if)#exitR2(config)#interfaceserial2/0R2(config-if)#noshutdown三、PC的配置配置fastethernet的IP地址、子網(wǎng)掩碼和默認網(wǎng)關四、查看和檢測靜態(tài)內(nèi)部源地址轉(zhuǎn)換R1#debugipnatIPNATdebuggingisonPing的同時觀察R1的輸出R1#NAT:s=172.16.1.3->200.1.1.5,d=202.1.1.2[11]NAT*:s=202.1.1.2,d=200.1.1.5->172.16.1.3[11]NAT:s=172.16.1.3->200.1.1.5,d=202.1.1.2[12]NAT*:s=202.1.1.2,d=200.1.1.5->172.16.1.3[12]NAT:s=172.16.1.3->200.1.1.5,d=202.1.1.2[13]NAT*:s=202.1.1.2,d=200.1.1.5->172.16.1.3[13]NAT:s=172.16.1.3->200.1.1.5,d=202.1.1.2[14]NAT*:s=202.1.1.2,d=200.1.1.5->172.16.1.3[14]NAT:s=172.16.1.3->200.1.1.5,d=202.1.1.2[15]NAT*:s=202.1.1.2,d=200.1.1.5->172.16.1.3[15]NAT:s=172.16.1.3->200.1.1.5,d=202.1.1.2[16]NAT*:s=202.1.1.2,d=200.1.1.5->172.16.1.3[16]NAT:s=172.16.1.3->200.1.1.5,d=202.1.1.2[17]NAT*:s=202.1.1.2,d=200.1.1.5->172.16.1.3[17]NAT:s=172.16.1.3->200.1.1.5,d=202.1.1.2[18]NAT*:s=202.1.1.2,d=200.1.1.5->172.16.1.3[18]NAT:s=172.16.1.3->200.1.1.5,d=202.1.1.2[19]NAT*:s=202.1.1.2,d=200.1.1.5->172.16.1.3[19]NAT:s=172.16.1.3->200.1.1.5,d=202.1.1.2[20]NAT*:s=202.1.1.2,d=200.1.1.5->172.16.1.3[20]R1#undebugallAllpossibledebugginghasbeenturnedoffR1#showipnatstatisticsTotaltranslations:11(1static,10dynamic,10extended)OutsideInterfaces:Serial2/0InsideInterfaces:FastEthernet0/0Hits:20Misses:20Expiredtranslations:10Dynamicmappings:R1#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal---200.1.1.5172.16.1.3------Typeescapesequencetoabort.Sending5,100-byteICMPEchosto172.16.1.3,timeoutis2seconds:.....Successrateis0percent(0/5)Typeescapesequencetoabort.Sending5,100-byteICMPEchosto200.1.1.5,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=62/62/63ms二、動態(tài)NAT的配置實驗拓撲圖如下：路由器R0配置：R0>enableR0#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.R0(config)#interfacefastEthernet0/0R0(config-if)#ipnatinside//將該接口標記為與內(nèi)部連接R0(config-if)#noshutdownR0(config-if)#exitR0(config)#interfaceserial2/0R0(config-if)#clockrate64000R0(config-if)#ipnatoutside//將該接口標記為與外部連接R0(config-if)#noshutdownR0(config-if)#exitR0(config)#access-list1permit192.168.1.0.255//定義訪問控制列表R0(config)#ipnatinsidesourcelist1poollabR0(config)#iprouteR0(config)#路由器R1配置：R1>enableR1#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.R1(config)#interfaceserial2/0R1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfaceloopback0R1(config-if)#exitR1(config)#linevty04R1(config-line)#passwordciscoR1(config-line)#loginR1(config-line)#主機0配置ip：192.168.1.2主機1配置默認網(wǎng)關：192.168.1.1監(jiān)測和查看動態(tài)內(nèi)部源地址的轉(zhuǎn)換R0#debugipnatIPNATdebuggingison在主機0上ping202.1.1.1監(jiān)測R0路由器的輸出R0#NAT:s=192.168.1.2->172.1.10.2,d=202.1.1.1[1]NAT*:s=202.1.1.1,d=172.1.10.2->192.168.1.2[1]NAT:s=192.168.1.2->172.1.10.2,d=202.1.1.1[2]NAT*:s=202.1.1.1,d=172.1.10.2->192.168.1.2[2]NAT:s=192.168.1.2->172.1.10.2,d=202.1.1.1[3]NAT*:s=202.1.1.1,d=172.1.10.2->192.168.1.2[3]NAT:s=192.168.1.2->172.1.10.2,d=202.1.1.1[4]NAT*:s=202.1.1.1,d=172.1.10.2->192.168.1.2[4]在主機1上ping202.1.1.1監(jiān)測R0路由器的輸出R0#NAT:s=192.168.1.3->172.1.10.3,d=202.1.1.1[1]NAT*:s=202.1.1.1,d=172.1.10.3->192.168.1.3[5]NAT:s=192.168.1.3->172.1.10.3,d=202.1.1.1[2]NAT*:s=202.1.1.1,d=172.1.10.3->192.168.1.3[6]NAT:s=192.168.1.3->172.1.10.3,d=202.1.1.1[3]NAT*:s=202.1.1.1,d=172.1.10.3->192.168.1.3[7]NAT:s=192.168.1.3->172.1.10.3,d=202.1.1.1[4]NAT*:s=202.1.1.1,d=172.1.10.3->192.168.1.3[8]R0#undebugallAllpossibledebugginghasbeenturnedoffR0#showipnattranslations//查看NAT轉(zhuǎn)換明細ProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp172.1.10.2:10192.168.1.2:10202.1.1.1:10202.1.1.1:10icmp172.1.10.2:11192.168.1.2:11202.1.1.1:11202.1.1.1:11icmp172.1.10.2:12192.168.1.2:12202.1.1.1:12202.1.1.1:12icmp172.1.10.2:9192.168.1.2:9202.1.1.1:9202.1.1.1:9icmp172.1.10.3:5192.168.1.3:5202.1.1.1:5202.1.1.1:5icmp172.1.10.3:6192.168.1.3:6202.1.1.1:6202.1.1.1:6icmp172.1.10.3:7192.168.1.3:7202.1.1.1:7202.1.1.1:7icmp172.1.10.3:8192.168.1.3:8202.1.1.1:8202.1.1.1:8三、PAT的配置PAT，即端口地址轉(zhuǎn)換，也稱NAT超載或復用動態(tài)地址轉(zhuǎn)換，采用端口多路復用方式，內(nèi)部網(wǎng)絡的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡內(nèi)部的所有主機，有效防止來自internet的攻擊。實驗拓撲圖如下：R0路由器的配置：R0>enableR0#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.R0(config)#interfacefastEthernet0/0R0(config-if)#ipnatinsideR0(config-if)#exitR0(config)#interfaceserial2/0R0(config-if)#ipnatoutsideR0(config-if)#exitR0(config)#access-list1permit192.168.1.0.255R0(config)#ipnatinsidesourcelist1poollab2overloadR0(config)#iprouteR0(config)#exitR1路由器配置：按照拓撲圖上標識的IP進行配置R1要配置到172.1.10.2的路由在R0查看和監(jiān)測復用內(nèi)部全局地址PATR0#debugipnat在主機0和主機1上ping202.1.1.1，監(jiān)測路由器R0的輸出R0#NAT:s=192.168.1.3->172.1.10.2,d=172.1.1.2[5]NAT*:s=172.1.1.2,d=172.1.10.2->192.168.1.3[13]NAT:s=192.168.1.3->172.1.10.2,d=172.1.1.2[6]NAT*:s=172.1.1.2,d=172.1.10.2->192.168.1.3[14]NAT:s=192.168.1.3->172.1.10.2,d=172.1.1.2[7]NAT*:s=172.1.1.2,d=172.1.10.2->192.168.1.3[15]NAT:s=192.168.1.3->172.1.10.2,d=172.1.1.2[8]NAT*:s=172.1.1.2,d=172.1.10.2->192.168.1.3[16]NAT:s=192.168.1.2->172.1.10.2,d=202.1.1.1[9]NAT*:s=202.1.1.1,d=172.1.10.2->192.168.1.2[17]NAT:s=192.168.1.2->172.1.10.2,d=202.1.1.1[10]NAT*:s=202.1.1.1,d=172.1.10.2->192.168.1.2[18]NAT:s=192.168.1.2->172.1.10.2,d=202.1.1.1[11]NAT*:s=202.1.1.1,d=172.1.10.2->192.168.1.2[19]NAT:s=192.168.1.2->172.1.10.2,d=202.1.1.1[12]NAT*:s=202.1.1.1,d=172.1.10.2->192.168.1.2[20]!access-list1permit192.168.1.0.255R0#showipnattranslations//查看地址轉(zhuǎn)換詳單ProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp172.1.10.2:10192.168.1.2:10202.1.1.1:10202.1.1.1:10icmp172.1.10.2:11192.168.1.2:11202.1.1.1:11202.1.1.1:11icmp172.1.10.2:12192.168.1.2:12202.1.1.1:12202.1.1.1:12icmp172.1.10.2:9192.168.1.2:9202.1.1.1:9202.1.1.1:9icmp172.1.10.2:5192.168.1.3:5172.1.1.2:5172.1.1.2:5icmp172.1.10.2:6192.168.1.3:6172.1.1.2:6172.1.1.2:6icmp172.1.10.2:7192.168.1.3:7172.1.1.2:7172.1.1.2:7icmp172.1.10.2:8192.168.1.3:8172.1.1.2:8172.1.1.2:8R0#showipnatstatisticsTotaltranslations:8(0static,8dynamic,8extended)OutsideInterfaces:Serial2/0InsideInterfaces:FastEthernet0/0Hits:12Misses:20Expiredtranslations:12Dynamicmappings:--InsideSourceaccess-list1poollab2refCount8typegeneric,totaladdresses1,allocated1(100%),misses0R0#方法二，使用NAT地址池方式配置串行接口IP地址復用NAT，可以在上面實驗根底上做R0(config)#interfaceserial2/0R0(config-if)#exitR0(config)#ipnatpoollab3a172.1.1.1R0(config)#ipnatinsidesourcelist1poollab3aoverload在pc0上ping202.1.1.1在R0上觀察監(jiān)測的結(jié)果R0#NAT:s=192.168.1.2->172.1.1.1,d=202.1.1.1[13]NAT*:s=202.1.1.1,d=172.1.1.1->192.168.1.2[21]NAT:s=192.168.1.2->172.1.1.1,d=202.1.1.1[14]NAT*:s=202.1.1.1,d=172.1.1.1->192.168.1.2[22]NAT:s=192.168.1.2->172.1.1.1,d=202.1.1.1[15]NAT*:s=202.1.1.1,d=172.1.1.1->192.168.1.2[23]NAT:s=192.168.1.2->172.1.1.1,d=202.1.1.1[16]NAT*:s=202.1.1.1,d=172.1.1.1->192.168.1.2[24]方法三，直接配置串行接口地址復用NAT的方法，核心命令如下R0(config)#access-list1permit192.168.1.0.255R0(config)#ipnatinsidesourcelist1interfaceserial2/0overload該方法不用創(chuàng)立地址池，直接借用serial2/0的IP地址課后練習實驗PAT(基于端口的NAT)一、實驗配置拓撲圖圖一私有網(wǎng)段192.168.1.0/24通過Company路由器的PAT技術接入互連網(wǎng)二、路由器的根本配置路由器ISP的配置ISP#shstartup-config

Using582bytes

!

version12.4

servicepassword-encryption

!

hostnameISP

!

enablesecret5$1$mERr$Q1EnFeXJ8Ibdhx2QffKaQ.

enablepassword7083249401018

!

ipsshversion1

!

!

interfaceFastEthernet0/0

noipaddress

duplexauto

speedauto

shutdown

!

interfaceFastEthernet0/1

ipaddress223.1.1.1255.255.255.0

duplexauto

speedauto

!

interfaceSerial0/3/0

ipaddress221.1.1.1255.255.255.0

clockrate56000

!

interfaceSerial0/3/1

noipaddress

shutdown

!

interfaceVlan1

noipaddress

shutdown

!

ipclassless

!

nocdprun

!

linecon0

linevty04

login

!

!

end路由器Company的配置

Company#shstartup-config

Using643bytes

!

version12.4

servicepassword-encryption

!

hostnameCompany

!

!

enablepassword7083249401018

!

ipsshversion1

!

!

interfaceFastEthernet0/0

noipaddress

duplexauto

speedauto

shutdown

!

interfaceFastEthernet0/1

ipaddress192.168.1.1255.255.255.0

ipnatinside

duplexauto

speedauto

!

interfaceSerial0/3/0

ipaddress221.1.1.2255.255.255.0

ipnatoutside

!

interfaceVlan1

noipaddress

shutdown

!

ipnatinsidesourcelist1interfaceSerial0/3/0overload

ipclassless

iproute.00.0.0.0221.1.1.1

!

!

access-list1permit192.168.1.00.0.0.255

!

nocdprun

!

linecon0

linevty04

login

!

!

end在路由器Company上配置PAT的命令

Company(config)#iproute.00.0.0.0221.1.1.1\\配置默認路由

Company(config)#access-list1permit192.168.1.00.0.0.255\\配置一個標準訪問控制列表

Company(config)#ipnatinsidesourcelist1interfaceSerial0/3/0overload\\啟用PAT私有IP地址的來源來自于ACL1，使用serial0/3/0上的公共IP地址進行轉(zhuǎn)換，overload表示使用端口號進行轉(zhuǎn)換

Company(config)#intfa0/1

Company(config-if)#ipnatinside

Company(config-if)#intserial0/3/0

Company(config-if)#ipnatoutside三、校驗、查看PAT的配置及運行狀況

測試，中的主機去pingPC2，在Company上查看轉(zhuǎn)換過程和轉(zhuǎn)換結(jié)果。然后在實驗拓撲圖中再添加一臺效勞器。測試，在PC0的web瀏覽器

圖三Company#shipnattranslations

ProInsideglobal

Insidelocal

Outsidelocal

Outsideglobal

icmp221.1.1.2:23

192.168.1.3:23

223.1.1.2:23

223.1.1.2:23

icmp221.1.1.2:24

192.168.1.3:24

223.1.1.2:24

223.1.1.2:24

icmp221.1.1.2:25

192.168.1.3:25

223.1.1.2:25

223.1.1.2:25

icmp221.1.1.2:26

192.168.1.3:26

223.1.1.2:26

223.1.1.