1、路由参考实验二参考实验二 NAT的Inside转换实验目的学会使用配置NAT转换。实验设备1)DCR1720 两台2)MR-WIC-1T模块 两块3)CR-V35MT 一根4)CR-V35FC 一根5)PC 两台6)交叉双绞线 两根实验要求配置NAT,使得局域网内的非法的IP地址转换为有效的IP地址访问对端的有效IP地址。广域网的协议用PPP。实验环境实验步骤1) 根据拓扑图进行配置,广域网协议使用PPP。2) 在Router2 上配置NAT转换,把Router2相连的局域网地址作为内部地址转换成外部地址:10.1.1.2访问外部。3) 验证配置。配置步骤1、Router1的配置步骤Route
2、renableRouter# configRouter_config#interface fastethernet 0/0Router_config_f0/0#ip address 100.1.1.1 255.255.255.0Router_config_f0/0#interface serial 1/1Router_config_s1/1#ip address 10.1.1.1 255.255.255.0Router_config_s1/1#encapsulation ppp2、 Router2的配置步骤(在此路由器上做NAT转换)RouterenableRouter# configRout
3、er_config#interface fastethernet 0/0Router_config_f0/0#ip address 200.1.1.1 255.255.255.0Router_config_f0/0#ip nat insideRouter_config_f0/0#interface serial 1/0Router_config_s1/0#ip address 10.1.1.2 255.255.255.0Router_config_s1/0#encapsulation pppRouter_config_s1/0# ip nat outsideRouter_config_s1/0
4、#exitRouter_config # ip access-list standard list2Router_config_std_nacl# permit anyRouter_config_ std_nacl #exitRouter_config# ip nat inside source list list2 interface Serial1/0思考题1 NAT解决的问题?2 NAT通常的应用,及其实现原理?验证配置从Router2上连接的局域网中的一台PC机ping外面的地址:10.1.1.1和100.1.1.2可以ping通,而从100.1.1.2ping不通200.1.1.2。
5、同时可以通过debug ip nat detail 来察看地址转换的过程。相关配置命令详解1. clear ip nat translation 为了从翻译表项中清除动态网络地址翻译(NAT),使用clear ip nat translation 执行命令。clear ip nat translation * | inside local-ip global-ip outside local-ip global-ipclear ip nat translation tcp|udp inside local-ip local-port global-ip global-port outside
6、local-ip global-ip参数:*清除所有的动态翻译条目Inside清除包含指定全局IP地址和本地IP地址的内部翻译。global-ip指定全局IP地址local-ip指定本地IP地址outside清除包含指定全局IP地址和本地IP地址的外部翻译。tcp|udp协议global-port指定相应协议的全局端口。local-port指定相应协议的本地端口。命令模式:管理态使用说明:使用本命令可以在动态翻译条目超时之前清除他们示例:下面的例子先显示NAT翻译条目,然后将UDP翻译条目清除:Router# show ip nat translationPro Inside global I
7、nside local Outside local Outside globaludp171.69.233.209:1220 192.168.1.95:1220 171.69.2.132:53 171.69.2.132:53tcp 171.69.233.209:11012192.168.1.89:11012 171.69.1.220:23 171.69.1.220:23tcp 171.69.233.209:1067 192.168.1.95:1067 171.69.1.161:23 171.69.1.161:23Router# clear ip nat translation udp insi
8、de 171.69.233.209 1220 192.168.1.95 1220171.69.2.132 53 171.69.2.132 53Router# show ip nat translation Pro Inside global Inside local Outside local Outside globaltcp 171.69.233.209:11012 192.168.1.89:11012 171.69.1.220:23 171.69.1.220:23tcp 171.69.233.209:1067 192.168.1.95:1067 171.69.1.161:23 171.6
9、9.1.161:232. debug ip nat detial 为了调试网络地址翻译(NAT),使用debug ip nat detial 执行命令。debug ip nat detialno debug ip nat detial参数:无命令模式:管理态使用说明:使用本命令可以输出翻译过程中的细节,包括报文的源、目的IP地址,协议、端口号,以及没有成功的翻译的原因等等。示例:Router# debug ip nat detailEthernet1/1 recv ICMP Src 194.4.4.89 Dst 10.10.10.102 no link foundEthernet1/0 sen
10、d TCP Src 194.4.4.102:2000 Dst 192.2.2.1:21 no matched rule表描述了显示中的域。域描述Ethernet0/0接口的类型、号。send/recv发送/接收。ICMP/TCP/UDPICMP/TCP/UDP协议Src 194.4.4.102:2000源IP地址和端口号。Dst 192.2.2.1:21目的IP地址和端口号。 no link found 没有匹配到NAT连接。no matched rule 没有匹配到NAT规则。第1条:从Ethernet1/1接口接收到的ICMP报文(源地址是194.4.4.89,目的地址是10.10.10.
11、102;ICMP),没有找到相应的NAT连接(已经找到匹配的NAT规则)。第2条:从Ethernet1/0接口发送出去的TCP报文(源地址是194.4.4.102,目的地址是192.2.2.1;源端口是2000,目的端口是21),没有找到匹配的NAT规则。3. ip nat 使用IP NAT接口配置命令来指定来自接口的或发往接口的通信量服从NAT(网络地址翻译)。如果想禁止接口的翻译功能,使用这个命令的NO形式。ip nat inside | outsideno ip nat inside | outside参数:inside表明接口连接到内部网络(网络服从NAT翻译)outside表明接口连
12、接到外部网络(网络服从NAT翻译)缺省:离开或到达这个接口的通信量不服从NAT。命令模式:接口配置态使用说明:只有那些在“内部”和“外部”接口之间传送的报文才可以被翻译。必须为每个想使用NAT的边界路由器至少指定一个内部接口和一个外部接口。示例:下面的例子把来自192.168.1.0或192.168.2.0网络编址的内部主机间进行通信的IP地址翻译为171.69.233.208/28 网络中全局唯一的IP地址。ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240ip nat inside source list a1
13、 pool net-208!interface ethernet 0ip address 171.69.232.182 255.255.255.240ip nat outside!interface ethernet 1ip address 192.168.1.94 255.255.255.0ip nat inside!ip access-list standard a1permit 192.168.1.0 255.255.255.0.permit 192.168.2.0 255.255.255.0!4. ip nat inside destination用ip nat inside dest
14、ination全局配置命令,开启内部目的地址的NAT用这个命令的NO形式,删除和地址池的动态关联。ip nat inside destination list access-list-name pool name no ip nat inside destination list access-list-name 参数:list name标准IP访问列表的名字。 用来自被指定的池中的全局地址对带有目的地址的报文进行翻译,这些包用来发送访问列表。pool name地址池的名字,在动态翻译的过程中,从这个池中分配内部本地的IP地址。缺省:内部目的地址不被翻译命令模式:全局配置态使用说明:这个命令用
15、访问列表的格式来建立动态地址翻译。来自和标准访问列表相匹配的地址的报文,将用指定的地址池中分配的全局地址来进行地址翻译,这个地址池是用ip nat pool命令所指定的。示例:下面的例子把发往171.69.233.208 网络通信的报文翻译为目的地址位于192.168.2.208网段的内部主机地址。ip nat pool net-208 192.168.2.208 192.168.2.223 255.255.255.240ip nat inside destination list a1 pool net-208!interface ethernet 0ip address 171.69.23
16、2.182 255.255.255.240ip nat outside!interface ethernet 1ip address 192.168.1.94 255.255.255.0ip nat inside!ip access-list standar a1permit 171.69.233.208 255.255.255.240!5. ip nat inside source使用ip nat inside source全局配置命令,开启内部源地址的NAT。用这个命令的NO形式可以删除静态翻译或删除和池的动态关联。ip nat inside source list access-list
17、-name pool name overload | static local-ip global-ipno ip nat inside source list access-list-name pool name overload | static local-ip global-ip参数:List access-list-name标准IP访问列表的名字。源地址符合访问列表的报文将被用地址池中的全局地址来翻译。pool name地址池的名字,从这个池中动态地分配全局IP地址。overload(可选)使路由器对多个本地地址使用一个全局的地址。当OVERLOAD被设置后,同一个内部主机的多个会话
18、将用TCP或UDP端口号来区分。static local-ip建立一条独立的静态地址翻译;这个参数为内部网上的主机建立一个被分配给的本地IP地址。这个地址可以自由的选择,或从RFC 1918中分配。global-ip建立一条独立的静态地址翻译;这个参数为内部主机建立一个外部的网络可以唯一访问的IP地址。缺省:任何内部源地址的NAT都不存在命令模式:全局配置态使用说明:这个命令有两种形式:动态的和静态的地址翻译。带有访问列表的格式建立动态翻译。来自和标准访问列表相匹配的地址的报文,将用指定的池中分配的全局地址来进行地址翻译,这个池是用ip nat pool命令所指定的。可以作为替代方法,带有关键
19、字STATIC的语法格式创建一条独立的静态地址翻译。示例:下面的例子把来自192.168.1.0或192.168.2.0网络的内部主机间进行通信的IP地址翻译为171.69.233.208/28 网络中全局唯一的IP地址。ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240ip nat inside source list a1 pool net-208!interface ethernet 0ip address 171.69.232.182 255.255.255.240ip nat outside!interf
20、ace ethernet 1ip address 192.168.1.94 255.255.255.0ip nat inside!ip access-list standard a1permit 192.168.1.0 255.255.255.0permit 192.168.2.0 255.255.255.0!6. ip nat outside source使用ip nat outside source全局配置命令,开启外部源地址的NAT。用这个命令的NO形式,可以删除静态条目或动态关联。ip nat outside source list access-list-name pool name
21、 | static global-ip local-ipno ip nat outside source list access-list-name pool name | static global-ip local-ip参数:List access-list-name标准IP访问列表的名字。目的地址符合访问列表的报文将被用地址池中的全局地址来翻译。pool name池的名字,从这个池重动态地分配全局IP地址。Static global-ip建立一条独立的静态地址翻译;这个参数为外部网络上的主机建立一个它所拥有的本地IP地址。这个地址可以从全局可路由的网络地址空间中分配。local-ip建立
22、一条独立的静态地址翻译;这个参数为内部主机建立一个内部网络可以唯一访问的外部主机的本地IP地址。这个地址可以从内部网络可路由的地址空间中分配。(多遵从RFC 1918)缺省:不存在来自外部网络的源地址到内部网络地址的翻译命令模式:全局配置态使用说明:可能你用了不是合法的、正式分配得到的IP地址。可能你选择了已经被正式分配给其他网络的IP地址。这种IP地址既被合法的使用了(外部网)又被非法的使用着(内部网络)的情况叫做“地址重叠”(overlapping)。你可以用NAT来翻译和外部地址重叠的内部地址。如果你的单连接网络中的IP地址碰巧和分配给其他网络的合法IP地址相同,并且你需要和这些主机或路
23、由器通信,那么你可以用这个功能。这个命令有两种形式:动态的和静态的地址翻译。带有访问列表的格式建立动态地址翻译。来自和标准访问列表相匹配的地址的报文,将用指定的地址池中分配的本地地址来进行地址翻译,这个地址池是用ip nat pool命令所指定的。作为可以替代的方法,带有关键字STATIC的语法格式创建一条单独的静态翻译。示例:下面的例子把来自9.114.11.0网络的内部主机间进行通信的IP地址翻译为171.69.233.208/28 网络中全局唯一的IP地址。更进一步地,来自9.114.11.0网络(真实存在的9.114.11.0网络)编址的外部主机的报文,被翻译为以来自10.0.1.0/
24、24网络的面目出现。ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240ip nat pool net-10 10.0.1.0 10.0.1.255 255.255.255.0ip nat inside source list a1 pool net-208ip nat outside source list a1 pool net-10!interface ethernet 0ip address 171.69.232.182 255.255.255.240ip nat outside!interface ethe
25、rnet 1ip address 9.114.11.39 255.255.255.0ip nat inside!ip access-list standard a1permit 9.114.11.0 255.255.255.0!7. ip nat pool用ip nat pool全局配置命令,定义一个用于NAT的IP地址池。用这个命令的NO形式,可以从IP地址池中删除一个或多个地址。ip nat pool name start-ip end-ip netmask no ip nat pool name start-ip end-ip netmask 参数:name池的名字start-ip定义I
26、P地址池的范围:起始地址。end-ip定义IP地址池的范围:结束地址。netmask子网掩码。子网掩码表明地址中的那些位是属于网络和子网部分,而哪些位属于主机部分。指定IP池中地址所属的网络的子网掩码。缺省:没有定义IP池命令模式:全局配置态使用说明:这个命令用起始地址,结束地址以及子网掩码来定义一个地址池。所定义的池可以是一个内部全局池,或一个外部本地池。示例:下面的例子把来自192.168.1.0或192.168.2.0网络的内部主机间进行通信的IP地址翻译为171.69.233.208/28 网络中全局唯一的IP地址。ip nat pool net-208 171.69.233.208
27、171.69.233.223 255.255.255.240ip nat inside source list a1 pool net-208!interface ethernet 0ip address 171.69.232.182 255.255.255.240ip nat outside!interface ethernet 1ip address 192.168.1.94 255.255.255.0ip nat inside!ip access-list standard a1permit 192.168.1.0 255.255.255.0permit 192.168.2.0 255.
28、255.255.08. ip nat translation 用ip nat translation全局配置命令,来改变NAT翻译超时的时间值。用这个命令的NO形式,可以关闭超时。ip nat translation timeout | udp-timeout | dns-timeout | tcp-timeout | finrst-timeout seconds no ip nat translation timeout | udp-timeout | dns-timeout | tcp-timeout | finrst-timeout 参数:timeout指定用于除OVERLOAD翻译之外
29、的动态翻译的超时值。缺省值是3600秒(1小时)udp-timeout指定用于UDP端口的超时值。缺省值是300秒(5分钟)dns-timeout指定用于连到DNS的超时值。缺省值是60秒。tcp-timeout指定用于TCP端口的超时值。缺省值是3600秒(1小时)finrst-timeout指定用于Finish and Reset TCP报文的超时值,这个值用于终止一个连接。缺省值使60秒。seconds指定端口翻译的超时值。缺省值是在缺省部分所罗列出来的值。缺省:timeout is 3600 seconds (1 hours)udp-timeout is 300 seconds (5
30、minutes)dns-timeout is 60 seconds (1 minute)tcp-timeout is 3600 seconds (1 hours)finrst-timeout is 60 seconds (1 minute)命令模式:全局配置态使用说明:当配置了端口翻译之后,因为每个翻译条目包含了有关正在使用它的通信量更多的上下文信息,因此可以对翻译条目进行更好的控制。非域名系统(DNS)的UDP翻译在5分钟后超时,而域名系统的UDP翻译在1分钟后超时。如果数据流中没有RST或FIN,TCP翻译在1个小时后超时;而在有RST或FIN的情况下,将在1分钟后超时。示例:下面的例子在10分钟之后使UDP端口翻译条目超时。ip nat translation udp-timeout 6009. show ip nat statistics用show ip nat statistics命令,显示NAT统计表show ip nat statistics 参数:这个命令没有参数或关键字命令模式:管理态示例:下面是使用show ip nat statistics命令的例子的输出结果Router# show ip nat statisticsTotal
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 