配置实现NAT PAT.docx

1、配置实现NAT PAT实验五：配置实现NAT/PAT一、实验目的1.熟练掌握地址转换的3种实现技术，特别掌握动态NAT/及PAT的配置方法；2.掌握使用show ip nat translation和debug ip nat等命令对路由器地址转换表内容的各种查看与跟踪方法；3.能按要求利用Cisco Packet Tracer V5.00模拟配置工具绘制出本实验的网络拓扑图，并能实现拓扑的物理连接；4.熟悉配置NAT的3种方法及其基本操作步骤；掌握在存根网络中配置实现PAT的方法。二、实验环境/实验拓扑 1.每人一机，安装并配置Cisco Packet Tracer V5.00模拟配置工具；2

2、.在Cisco Packet Tracer V5.00模拟配置器中通过添加和连接设备构建出本实验的相应拓扑；本实验的网络拓扑示意图如下图所示：三、实验内容1. 每人一机，安装并配置Cisco Packet Tracer V5.00模拟配置工具；2. 用Cisco Packet Tracer V5.00模拟配置工具绘制出本实验的相应网络拓扑图；3.逐个单击网络拓扑图中的每台设备，进入该设备的命令行交互操作，分别配置实现静态NAT、动态NAT及端口复用PAT；4.利用show ip nat translation 和debug ip nat等相关查看及跟踪命令查看设备的NAT相关配置信息；5.利用

3、ping 、tranceroute、telnet、debug等相关命令，进行网络连通性检查和配置结果测试。四、实验步骤Step1:选择添加3个2620XM路由器设备至逻辑工作空间；（提示：2620XM路由器需要断电后接插WIC-2T模块才有广域网互联用的高速同步串口）Step2:将Router0路由器的主机名命名为London；将Router1路由器的主机名命名为Florence；将Router2路由器的主机名命名为Denver；（提示：注意命名顺序和原设备下标应对应）Step3:配置Florence的enable口令及VTY线路密码；（提示：将enable password设为shzu、将e

4、nable secret设为cisco、将VTY线路密码设为cisco）Step4:查看当前Florence路由器的配置文件内容（内存信息）并记录下来。（提示：用show run命令，注意区分各种密码）Step5:用正确的连接线缆将London的Serial0/1端口连接到Florence的Serial0/0端口；（提示：注意DCE/DTE端的划分：本题设定London路由器不提供时钟速率，即：时钟频率在Florence的Serial0/0端口上配）Step6:用正确的连接线缆将Florence的Serial0/1端口连接到Denver的Serial0/0端口；（提示：注意DCE/DTE端的划

5、分：本题设定Florence路由器提供时钟速率，即：时钟频率在Florence的Serial0/1端口上配）Step7:分别查看当前London、Florence、Denver路由器的路由表状态并记录下来。（提示：注意路由表项类型字符、管理距离/度量值）Step8:配置London的Serial0/1端口；（IP地址、子网掩码、封装WAN协议帧格式、激活端口）（IP地址：10.3.3.1、子网掩码：255.255.255.0、封装WAN协议帧格式：encap PPP、激活端口：no shut）Step9:配置Florence的Serial0/0端口；（时钟频率、IP地址、子网掩码、封装WAN协

6、议帧格式、激活端口）（时钟频率：clock rate 64000、IP地址：10.3.3.2、子网掩码：255.255.255.0、封装WAN协议帧格式：encap PPP、激活端口：no shut）Step10:配置Florence的Serial0/1端口；（时钟频率、IP地址、子网掩码、封装WAN协议帧格式、激活端口）（时钟频率：clock rate 64000、IP地址：173.16.1.2、子网掩码：255.255.255.252、封装WAN协议帧格式：encap PPP、激活端口：no shut）Step11:配置Denver的Serial0/0端口；（IP地址、子网掩码、封装WAN

7、协议帧格式、激活端口）（IP地址：173.16.1.1、子网掩码：255.255.255.252、封装WAN协议帧格式：encap PPP、激活端口：no shut）Step12:配置Denver的本地回环Loopback0端口；（IP地址、子网掩码、激活端口）（提示：IP地址: 202.1.1.1、子网掩码: 255.255.255.0、激活端口: no shutdown）Step13:测试相邻路由器设备节点的连通性。Step14:分别查看当前3台路由器的路由表状态并记录下来。（提示：注意路由表项类型字符、管理距离/度量值）Step15:配置London的默认静态路由表项；(提示：用ip r

8、oute 0.0.0.0 0.0.0.0 命令)Step16:查看当前London路由器的路由表状态并记录下来。（提示：用show ip route命令及show ip protocols命令。注意路由表项的类型、度量值等细节信息）Step17:配置Florence的默认静态路由；(提示：用ip route 0.0.0.0 0.0.0.0命令，注意出了Florence的Serial0/1端口之外是互联网)Step18:查看当前Florence路由器的路由表状态并记录下来。（提示：用show ip route命令及show ip protocols命令。注意路由表项的类型、度量值等细节信息）St

9、ep19:配置Denver路由器（模拟作为互联网上某个ISP的设备）上的一条指回Florence路由器内部网络的静态路由；(提示：假设London+Florence所在的组织机构在互联网上注册了一块218.1.1.0/29合法地址；用ip route命令，注意子网掩码)Step20:查看当前Denver路由器的路由表状态并记录下来。（提示：用show ip route命令及show ip protocols命令。注意路由表项的类型、度量值等细节信息）Step21:用London去ping 202.1.1.1，记录连通性测试结果并回答：为何现在还不能ping通？ 答：因为IP地址没有进行转换。S

10、tep22:分别将Florence路由器的Serial0/0端口、Serial0/1端口配置为NAT的内部接口和外部接口。(提示：进入端口子模式用ip nat inside命令、ip nat outside命令)Step23:在Florence上配置静态NAT；将10.3.3.1作为服务器对外发布出去，其内部全局地址使用218.1.1.1(提示：用ip nat inside source static命令)Step24:再次用London去ping 202.1.1.1，记录连通性测试结果并回答：为何现在能ping通？ 答：因为给London配了静态NAT，inside local IP 对应于

11、一个inside global IP。Step25:查看当前Florence路由器的NAT状态信息并记录下来。（提示：用show ip nat translations命令及debug ip nat命令。注意路由表项的细节信息，尤其是管理距离/度量值）Step26:在Florence上配置动态NAT；将10.3.3.0/24网段中的所有人都使用地址池218.1.1.2218.1.1.4中的地址访问Internet(提示：先定义地址池，再定义一个标准ACL访问控制列表，最后让该列表动态使用地址池中的合法地址)Step27:将London的Serial0/1端口地址改为10.3.3.3，用Lond

12、on去ping 202.1.1.1，记录连通性测试结果并回答问题：将London 的地址分别改为10.3.3.3、10.3.3.4、10.3.3 .5、10.3.3.6后，每做一次修改都去ping 一次202.1.1.1，什么时候将ping 不通？为什么？ 答:当把London的端口0/1的地址改为10.3.3.6时ping不通，因为地址池里的地址已经用完了。Step28:查看当前Florence路由器的NAT状态信息并记录下来。（提示：用show ip nat translations命令及debug ip nat命令）Step29:将London的Serial0/1端口地址改为10.3.3

13、.4，用London去ping 202.1.1.1，记录连通性测试结果并回答：什么时候将ping 不通？为什么？ 答：当地址池里的地址取光后就在没有地址分给想上网的用户，如果有用户将地址放回地址池，则等待的用户就可以上网。Step30:查看当前Florence路由器的NAT状态信息并记录下来。（提示：用show ip nat translations命令及debug ip nat命令）Step31:将London的Serial0/1端口地址改为10.3.3.5，用London去ping 202.1.1.1，记录连通性测试结果并回答：什么时候将ping 不通？为什么？ 答：当地址池里的地址分配完

14、了时将ping不通。因为没有地址再给需要上网的用户分了。Step32:查看当前Florence路由器的NAT状态信息并记录下来。（提示：用show ip nat translations命令及debug ip nat命令）Step33:将London的Serial0/1端口地址改为10.3.3.6，用London去ping 202.1.1.1，记录连通性测试结果并回答：什么时候将ping 不通？为什么？ 答：当地址池里的地址分配完了时将ping不通。因为没有地址再给需要上网的用户分了。地址池里总共有三个地址共用户用，所以从10.3.3.3 开始至10.3.3.5有地址分配，当10.3.3.6时

15、就没有地址可分配了。Step34:查看当前Florence路由器的NAT状态信息并记录下来。（提示：用show ip nat translations命令及debug ip nat命令）Step35:使用clear ip nat translation *去掉NAT表中的动态映射条目，同时用no ip nat命令清除步骤27中配置的动态NAT；(提示：clear ip nat translation *命令必须在特权模式下使用，且必须该命令成功后才能用no ip nat inside source list 10 pool cisco清除动态NAT的ACL与地址池的绑定关系，否则会提示%Dyn

16、amic mapping in use, cannot remove)Step36:在Florence上配置超载PAT；将10.3.3.0/24网段中的所有人都使用同一地址218.1.1.2访问Internet(提示：先定义地址池，再定义一个标准ACL访问控制列表，最后让该列表以动态超载方式使用地址池中的唯一合法地址)Step37:再次用London去ping 202.1.1.1，记录连通性测试结果并回答为什么是这一结果。 答：因为已经在Florence路由器上配了超载PAT，每个inside global IP 218.1.1.2可以有4000个端口供用户区用，10.3.3.0/24网段中最

17、多可以有256台主机，4000个端口远远多于256个用户的数量。Step38:查看当前Florence路由器的NAT状态信息并记录下来。（提示：用show ip nat translations命令及debug ip nat命令）Step39:查看当前各台路由器的路由表状态并记录下来。（提示：用show ip route命令及show ip protocols命令）Step40:测试当前各台路由器设备节点的连通性。（提示：在London上 ping Florence、Denver路由器设备的各端口）五、实验课后思考题1.3种NAT实现技术各自的适用场合？它们之间的主要区别是什么？ 答：静态NA

18、T内部网络中的每台主机都被永久映射成外部网络中的某个合法的地址，但并不能节约地址，多用于内网的服务器；动态NAT为内部网络的主机动态分配预先定义的NAT池（外部的合法地址段）中的合法地址，能一定程度上节约地址，外部用户不能主动访问内网的主机，多用于内部网络中的工作站；超载NAT(PAT)把内部地址映射到外部网络的一个IP地址的不同端口上。能大大节约IP地址，外部用户不能够主动访问内网的主机，要先定义地址池，一个地址通常可以进行4000个转换，使用于学校，网吧等用户特别多的地方用。2.端口复用PAT技术有哪些弊端？ 答：外部用户不能够主动访问内网的主机。3.如何清除NAT地址池，如何清除ACL定

19、义并重新与端口绑定？ 答：先在特权模式下使用命令clear ip nat translation *去掉NAT表中的动态映射条目，同时用no ip nat inside source list 0-99 pool 地址池名 ，用no acces-group 0-99 在端口上卸除ACL绑定。在配置模式下用“ip nat pool 地址池名称 开始IP 结束IP地址 netmask 子网掩码” 定义地址池，用“access-list 代码 permit IP源地址 通配符掩码 ”创建ACL，用“ip nat inside source list acl编号 pool 池名”创建映射关系，用“ip nat inside/outside”指定内网或外网的接口。六、实验总结及感想 这次试验虽然做的时间特别长，但是收获特别大，让我明白了在宿舍上网为什么每次都要刷新IP，上网的时网速也特别慢。之前听说过给中国分的IP已经用完了，但我们还能上网，我就搞不明白，原来是通过了NAT技术用时间来换取了空间。结合上次的ACL的配置，感觉这次试验顺手了好了，也学会了怎么配置静态nat，动态nat，和超载nat。