第五章配置NATWord文档下载推荐.docx

1、PAT可以支持同时连接64500个TCPIP、UDPIP，但实际可以支持的工作站个数会少一些。因为许多Internet应用如HTTP，实际上由许多小的连接组成。PAT在远程访问产品中得到了大量的应用，特别是在远程拨号用户使用的设备中。在Internet中使用PAT时，所有不同的TCP和UDP信息流看起来仿佛都来源于同一个IP地址。这个优点在小型办公室（SOHO）内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过PAT接入Internet。实际上，许多SOHO远程访问设备支持基于PPP的动态IP地址。这样，ISP甚至不需要支持PAT，就可以做到多个内部IP地址共用一个外部IP地址上In

2、ternet。虽然这样会导致信道的一定拥塞，但考虑到节省的ISP上网费用和易管理的特点，用PAT还是很值得的。3、 NAT应用（1）、一个公有地址对应一个私有地址。（2）、几个私有地址对应几个公有地址。（3）、一个公有地址对应一大群私有地址。4、 实现NAT的途径（1）、在路由器创建NAT（如图1所示） 图1 NAT路由器拓扑图NAT路由器具备二个端口：一个内部端口（Inside），一个外部端口（Outside）上图为建立在NAT路由器上的内部试验子网192.168.0.0，192.168.0.0属于B类保留地址，不能直接访问Internet，但通过NAT路由器翻译来自内部网络的IP包，把它的

3、IP地址映射成地址池（PooledAddresses）中的合法IP地址后，内部网可以访问Internet上的任何服务器，Internet上的任何主机也能通过TCP或UDP访问到内部网。（2）、在Windows或LINUX服务器上创建NAT（3）、通过已经单独集成NAT功能的设备，实现IP地址的转换；5、 与NAT有关的其它概念（1）、内部本地地址（Inside local address）指一个网络内部分配给网上主机的IP地址，此地址通常不是Internet上的合法地址，即不是NIC或ISP所提供的IP地址，它不能够直接在Internet上通信。（2）、内部全局地址（Inside global

4、 address）用来替代一个或多个内部本地IP地址的、对外的、Internet上合法的IP地址。此地址是由需要向NIC或ISP所提供取得的IP地址，能够直接在Internet上通信。（3）、外部本地地址（Outside Local Address）一个外部主机相对于内部网所用的IP地址。此IP地址需要是Internet上合法的地址，但是从内部网可以进行路由的地址进行分配的。（4）、外部全局地址（Outside Global Address）由主机拥有分配给在外部网上主机的IP地址。此地址是从一个全局可路由的地址或网络空间中分配的。（5）、逻辑接口（LoopBack）LoopBack接口，也称

5、为回送接口，其配置IP地址与物理接口配置IP地址的方式相同； 创建逻辑接口：int loopback num /*num范围为：02147473647 删除逻辑接口：no int loopback num二、 配置NAT常用命令NAT路由器配置（1）、路由器的静态地址转换基本配置：A、在全局设置状态下，设定IP地址的映射关系： Ip nat inside source static内部本地地址 内部全局地址 例：ip nat inside source static 172.13.1.3 200.1.1.5 该命令建立了172.16.1.3和200.1.1.5两个IP地址之间的静态映射； 其中

6、172.13.1.3为内部本地地址； 其中200.1.1.5为内部全局地址；B、在端口设置状态下指定连接网络的内部端口、连接外部网络的外部端口； ip nat inside 指定路由器的某个端口为连接内部网络的内部端口； ip nat outside 指定路由器的某个端口为连接外部网络的外部端口；（2）、路由器的动态地址转换基本配置：A、在全局设置状态下，定义内部合法地址池： ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码 /*其中地址池名称可以任意设定ip nat pool NHL 200.1.1.2 200.1.1.5 netmask 255.255.255.0

7、该命令建立了名为NHL的内部合法地址池； 该地址池的起始地址：200.1.1.2 终止地址为：200.1.1.5；该地址池里的所有地址的子网掩码是：255.255.255.0B、在全局设置状态下，定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换； Access-list 标号 permit 源地址 通配符 /*其中标号为199之间的整数access-list 1 permit 192.168.0.0 0.0.0.255 该命令定义了名为1的访问列表，并定义了该表的地址范围为192.168.0.0/24的网段，即是内网网段； 0.0.0.255为255.255.25

8、5.0的反掩码，即是用广播地址（255.255.255.255）减去掩码地址所得的地址；C、在全局设置状态下，将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换； ip nat inside source list 访问列表标号 pool内部合法地址池名字ip nat inside source list 1 pool NHL 该命令建立了访问列表1中的地址和地址池NHL中的地址映射关系；D、在端口设置状态下指定连接网络的内部端口、连接外部网络的外部端口；三、 NAT配置拓扑结构图A、静态NAT配置拓扑结构图（图2）图2 静态NAT配置拓扑结构图说明：1、RA路由器

9、负责NAT转换；RB作为外网节点。2、要求通过使用静态NAT实现172.16.1.3和202.1.1.2之间的双向连通。3、RA连接DCE，RB连接DTE，RA通过交叉双绞线与RC连接。B、动态NAT配置拓扑结构图（图3）图3 动态NAT配置1、RA路由器负责NAT转换，并建立地址池；2、内部全局地址200.1.1.37由ISP分配的IP地址。3、在RB的回送接口loopback0上模拟5个外网主机；4、在RC的fa0/0上模拟5个内网主机；5、RA连接DCE，RB连接DTE，RA通过交叉双绞线与RC连接。四、 实验部分（一）、静态NAT配置步骤（取用图2拓扑结构图）A、实验目的1、配置静态内

10、部源地址转换NAT。2、查看NAT相关信息。3、监测IP的转换。4、测试内网和外网间的双向连通性。B、实验设备1、Cisco2600XM系列路由器三台。2、交叉线序网线一条。3、带网卡及装有超级终端的计算机一台。4、控制台专用线一根。5、DCE、DTE线缆各一条C、实验网络拓扑图 取用图3拓扑结构图D、实验配置过程及结果监测（1）、配置路由器RA的各个端口IP，并配置静态NAT映射关系RouterenRouter#conf tRouter（config）#hostn RARA（config）#int fa0/0RA（config-if）#ip addr 172.16.1.1 255.255.2

11、55.0 /：在fa0/0端口上配置内部本地地址172.16.1.1；RA（config-if）#ip nat inside /：指定fa0/0端口为连接网络的内部端口；RA（config-if）#no shutRA（config-if）#int s0/0RA（config-if）#ip address 200.1.1.1 255.255.255.0 /：在S0/0端口内部全局地址；RA（config-if）#clockrate 64000RA（config-if）#ip nat outside /：指定S0/0端为连接外部网络的外部端口；RA（config-if）#exitRA（config

12、）#ip nat inside source static 172.16.1.3 200.1.1.5 /：建立IP地址之间的静态映射，172.16.1.3为内部本地地址 200.1.1.5内部全局地址；RA（config）#ip route 0.0.0.0 0.0.0.0 200.1.1.2 /：配置默认静态路由；RA（config）#endRA#（2）、配置路由器RB的S0端口以及Loopback端口的IP地址Router（config）#hostn RBRB（config）#int loopback0 /：配置回送接口loopback0，用于模拟外网IP地址；RB（config-if）#i

13、p addr 202.1.1.2 255.255.255.0RB（config-if）#no shutRB（config-if）#int s0/0RB（config-if）#ip address 200.1.1.2 255.255.255.0RB（config）#line vty 0 4 /：配置终端登录密码；RB（config-line）#password ciscoRB（config-line）#enable password cisco2 /：配置使能密码，即是登录特权模式密码；RB（config-if）#endRB#（3）、配置路由器RC的fa0/0端口的IP地址Router（conf

14、ig）#hostn RCRC（config）#int fa0/0RC（config-if）#ip addr 172.16.1.3 255.255.255.0RC（config-if）#no shutRC（config-if）#exitRC（config）#ip default-gateway 172.16.1.1 配置RC的缺省网关，指RA的fa0/0接口的IP地址；RC（config）# no ip routing /：关闭RC的路由功能，让RC只作内部网主机来使用；RC（config）#line vty 0 4 /：RC（config-line）#password ciscoRC（conf

15、ig-line）#enable password cisco2 /：RC（config-if）#endRC#（4）、查看和监测静态内部地址转换信息RC#pingProtocol ip: /：使用默认TCP/IP协议Target IP address: 202.1.1.2 /：目标地址为202.1.1.2；Repeat count 5: 200 /：发送IP包（即是ICMP Echos包）数量为200，缺省为5；Datagram size 100: /：IP包的缺省值为100比特；Timeout in seconds 2:设定逸出时间，缺省为2秒；Extended commands n: /：是

16、否扩充命令，缺省为N；Sweep range of sizes n:Type escape sequence to abort. /：按ESC键退出；Sending 200, 100-byte ICMP Echos to 202.1.1.2, timeout is 2 seconds:!Success rate is 100 percent （200/200）, round-trip min/avg/max = 20/23/28 msRA#sh ip nat stat /：show ip nat statistics 列出RA的NAT统计信息；Total active translations

17、: 1 （1 static, 0 dynamic; 0 extended）当前NAT活动转换数为1，其中表态转换数为1，动态转换数为0，其它转换数为0；Outside interfaces:连接外部网络的外部端口 Serial0/0； Serial0/0Inside interfaces:连接内部网络的内部端口 FastEthernet0/0； FastEthernet0/0Hits: 425 Misses: 0 /：进行了425次NAT转换，丢失转换（不成功的转换）为0；Expired translations: 0Dynamic mappings:RA#sh ip nat tran /：s

18、how ip nat translations查看当前进行的NAT转换Pro Inside global Inside local Outside local Outside global- 200.1.1.5 172.16.1.3 - -（5）、测试双向连通性RC#telnet 202.1.1.2 /：远程登录202.1.1.2（即是RB上回送接口上模拟的外部主机）Trying 202.1.1.2 . Open /：登录成功，即是内网到外网已经成功连通；User Access VerificationPassword:输入密码（CISCO）；RB输入密码（CISCO2）进入RB的特权模式；R

19、B#telnet 200.1.1.5 远程登录200.1.1.5（即是RC，此地址已表态映射到172.16.1.3地址上）Trying 200.1.1.5 . Open /：登录成功，即是外网到内网已经成功连通；RC输入密码（CISCO2）进入RC的特权模式；RB#ping 172.16.1.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.1.3, timeout is 2 seconds:. Success rate is 0 percent （0/5） 外网访问内网中已建立表态映射的主机，必须使

20、用映射后的IP地址；外网没有到内网的路由；RB#ping 200.1.1.5Sending 5, 100-byte ICMP Echos to 200.1.1.5, timeout is 2 seconds:外网能够访问内网主机映射后的IP地址；Success rate is 100 percent （5/5）, round-trip min/avg/max = 28/29/32 ms（二）、动态NAT配置步骤1、配置动态内部源地址转换NAT。4、测试内网和外网间的双向连通性。（1）、配置路由器RA的各个端口IP，并配置动态NAT映射关系RA（config-if）#ip addr 172.16

21、.1.1 255.255.255.0RA（config-if）#ip nat insideRA（config-if）#ip addr 192.168.1.1 255.255.255.0RA（config-if）#ip nat outsideRA（config-if）#no shRA（config-if）#exit /：回到全局配置下，对地址池、路由表、访问列表进行设置；RA（config）#ip nat pool NHL 200.1.1.3 200.1.1.7 netmask 255.255.255.0建立了名为NHL（NHL为自定义）的内部合法地址池（200.1.1.37），掩码为255.2

22、55.255.0；RA（config）#ip nat inside source list 1 pool NHL 建立了访问列表1中的IP地址和地址池NHL中的IP地址映射关系；RA（config）#ip route 0.0.0.0 0.0.0.0 serial0/0 /：RA（config）#access-list 1 permit 172.16.1.0 0.0.0.255 定义名为1的访问列表，并定义了该表的地址范围为172.16.0.0/24的网段，即是内网网段IP地址；RA# 从上面配置过程看出NAT地址池独立于端口存在，即是它不属于任何端口的；RB（config）#int l0 /：

23、配置回送接口loopback0，用于模拟多个同一网段的外网IP地址；RB（config-if）#ip addr 202.1.1.3 255.255.255.0 secondary RB（config-if）#ip addr 202.1.1.4 255.255.255.0 seco /：参数secondary，配置次级IP地址：RB（config-if）#ip addr 202.1.1.5 255.255.255.0 secoRB（config-if）#ip addr 202.1.1.6 255.255.255.0 secoRB（config-if）#no shuRB（config-if）#ip

24、 addr 192.168.1.2 255.255.255.0RB（config-if）#exitRB（config）#ip route 200.1.1.0 255.255.255.0 s0/0RB（config）#line vty 0 4RB（config-line）#enable password ciscoRB（config）#endRC（config）#no ip routing /：禁用路由功能；RC（config）#int fa0/0 /：配置fa0/0接口，用于模拟多个同一网段的内网IP地址；RC（config-if）#ip addr 172.16.1.4 255.255.255.0 seco /：RC（config-if）#ip addr 172.16.1.5 255.255.255.0 secoRC（co