动态、静态NAT
体会:
1.静态路由:
(1)将各个接口的IP地址配置好(并在serial接口设置“clock rate 9600”,各个serial接口的clock rate 值必须一样)。
Router(config)#interface serial 2/0
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config-if)#clock rate 9600
Router(config-if)#no shutdown
(2)配置静态路由。要连通几个与该路由器不直接相连的网段就必须设置几条路由。
Router(config)# ip route 192.168.1.0255.255.255.0192.168.3.1
目标网段目标网络子网掩码下一跳IP地址
(3)查看路由表:
Router#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is not set
C 192.168.1.0/24 is directly connected, FastEthernet1/0
C 192.168.2.0/24 is directly connected, FastEthernet0/0
S 192.168.3.0/24 [1/0] via 192.168.5.2
S 192.168.4.0/24 [1/0] via 192.168.5.2
C 192.168.5.0/24 is directly connected, Serial2/0
(3)各个网段的终端要想相互ping得通,这些终端就得设置网关。以PC2 ping Server1为例,网关设置为:
PC2:192.168.1.1
Server1:192.168.4.1
若此时将Server2的网关删掉,则PC2 ping不通Server1。这种情况可以用静态NAT来解决。
2.静态Nat:以(Router1左端为内网,右端的192.168.4.0网段为外网)为例
(1)用静态NAT实现PC2对Server1的访问:
Router(config)# interface serial2/0
Router(config-if)# ip nat inside
Router(config)# interface f0/1
Router(config-if)# ip nat outside
Router(config)# ip nat inside source static 192.168.2.10192.168.4.20
内部本地地址内部全局地址
【当PC2 ping Server1 ( 即192.168.2.10 ping 192.168.4.10 ),PC2的流量流出NAT路由器Router1,内部本地地址(192.168.2.10)会静态转换为内部全局地址(192.168.4.20),此时192.168.4.20 与192.168.4.10(Server1)属于同一网络,因此可以ping通。】
(2)查看NAT表:
Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 192.168.4.20 192.168.2.10 --- ---
【注:内部本地地址:内部主机的私有地址
内部全局地址:内部主机流量流出NA T路由器时分配给内部主机的有效公有地址】
3.动态NAT:
(3)用动态NAT实现PC0所在的整个网络对Server1的访问:
Router(config)#ip nat pool dongtaiNAT 192.168.4.50192.168.4.100 netmask 255.255.255.0
Poolname Start IP address End IP address
//配置动态NAT转换的地址池
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
//配置允许动态NAT转换的内部地址(此处用ACL)
Router(config)#ip nat inside source list 1 pool dongtaiNA T
//配置动态NAT映射,将NA T地址池与ACL绑定
(4)清除动态NAT表项:
Router#show ip nat translations //查看NAT表
Pro Inside global Inside local Outside local Outside global
icmp 192.168.4.52:17 192.168.1.20:17 192.168.4.10:17 192.168.4.10:17 (动)icmp 192.168.4.52:18 192.168.1.20:18 192.168.4.10:18 192.168.4.10:18 (动)icmp 192.168.4.52:19 192.168.1.20:19 192.168.4.10:19 192.168.4.10:19 (动)
icmp 192.168.4.52:20 192.168.1.20:20 192.168.4.10:20 192.168.4.10:20 (动)--- 192.168.4.20 192.168.2.10 --- --- (静)【在静态映射时,NAT表一直存在,
在动态映射时,显示的是动态NA T表和静态NAT表,
动态NA T表删除后,显示的是静态NAT表。】
Router#clear ip nat translation *
Router#show ip nat translations
Pro Inside global Inside local Outside local Outside global
--- 192.168.4.20 192.168.2.10 --- ---
(5)实现PC3对Server0的访问(静态路由):
【代码写在Router0上,以192.168.1.0为外网,192.168.3.0为内网】
Router(config)#interface serial 2/0
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#interface fastEthernet 1/0
Router(config-if)#ip nat outside
Router(config-if)#exit
Router(config)#ip nat inside source static 192.168.3.10 192.168.1.20
大学计算机科学与技术学院 课程设计说明书 题目: NAT实验 课程:网络设计与施工课程设计院(部):计算机科学与技术学院 专业:网络工程 班级:网络 学生姓名: 学号: 指导教师: 完成日期:
目录 课程设计说明书 (1) 课程设计任务书 (2) NAT 实验 (3) 一、设计背景 (3) 二、实验目的 (3) 三、实验要求 (3) 四、实验内容 (4) (一)路由器上配置动态NA T (4) 1.NAT (4) 2.路由器上配置动态NA T (6) (二)路由器上配置静态NA T (14) 1.静态路由转换的实现方式 (14) 2.路由器上配置静态NA T (15) 五、总结 (20) 课程设计指导教师评语 (21)
大学计算机科学与技术学院 课程设计任务书 指导教师(签字): 教研室主任(签字): 设计题目 NAT 实验 已知 技术参数 和设计要 求 网络地址转换(NAT,Network Address Traslation)被广泛应用于各种类型 Internet 接入方式和备种类型的网络中。原因很简单, NAT 不仅完美地解 决了 lP 地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐 藏并保护网络内部的计算机。 虽然 NAT 可以借助于某些代理服务器未实现,但考虑到运算成本和网 络性能,很多时候都是在路由器上来实现的。 设计内容与步骤 1. 熟悉 NAT 的实现方式有三种 2. 熟悉静态转换、动态转换和端口多路复用的特点 3. 熟悉网络地址转换(NAT)的实现 4. 了解静态和动态转换的命令和特点 设计工作计划与进度安排 1.知识准备,整体思路设计 2 小时 2.了解 NAT 的相关知识 4 小时 3.在路由器上配置动态和静态 NAT 12 小时 4.通过 show 、 debug 命令查看配置的效果 12 小时 5.课程设计说明书 10 小 设计考核要求 1.出勤 20% 2.答辩或演示30% 3.课程设计说明书 50%
实验报告 NAT作用:地址转换(映射) Nat的三种实现方式:静态转换 动态转换 端口多路复用 动态转换:轮流使用地址池内的ip地址(人少) 静态转换:内部地址映射外网的地址 端口多路复用:绑定端口ip地址(端口负担大,阻塞端口占用带宽) NAT的优点:节省公有合法ip地址 处理地址交叉 增强灵活性 安全性 缺点:不能根除地址不足 占用router资源,增大延时命令:
lear ip nat translation * (清除nat转换表中的所有条目) Clear ip nat translation outside local-ip global-ip (清除包含外部转换的简单转换条目) 实验 对于nat技术的简单理解 实验背景: 公司对因特网的访问需求逐步提升,新申请了一段合法的ip地址用于连接互联网,作为网络管理员,需要对路由器上的nat配置进行重新规划设置 使用网络拓扑图进行网络环境的模拟10.1.1.0和172.16.1.0子网分别作为内部子网,通过地址翻译访问对方网络
路由器A (1)进入全局模式创建访问控制列表Router>en Router#conf t Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255 (2)配置动态转换地址池 Router(config)#ip nat pool text0 ?(地址池名称—随意) A.B.C.D Start IP address Router(config)#ip nat pool text0 192.168.1.3 192.168.1.6 ?、 (地址池范围—写一段) netmask Specify the network mask
随着internet的网络迅速发展,IP地址短缺已成为一个十分突出的问题。为了解决这个问题,出现了多种解决方案。下面几绍一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。 一、NAT简介 NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。 二、NAT 的应用环境: 情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。 情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置: 设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。 内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。 四、关于NAT的几个概念: 内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。 内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法: NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-m ail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 静态地址转换基本配置步骤: (1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入:Ip nat inside source static 内部本地地址内部合法地址 (2)、指定连接网络的内部端口在端口设置状态下输入: ip nat inside (3)、指定连接外部网络的外部端口在端口设置状态下输入: ip nat outside 注:可以根据实际需要定义多个内部端口及多个外部端口。 实例1: 本实例实现静态NAT地址转换功能。将2501的以太口作为内部端口,同步端口0作为外部端口。其中10.1.1.2,10.1.1.3,10.1.1.4的内部本地地址采用静态地址转换。其内部合法地址分别对应为192.1.1.2,192.1.1.3,192.1.1.4。 路由器2501的配置: Current configuration: version 11.3
NAT讲解 https://www.doczj.com/doc/3c19131581.html,work Address Translation,网络地址转换,是将IP 数据包头中的IP 地 址转换为另一个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用IP地址空间的枯竭。 2.NAT功能:NAT不仅能解决IP地址不足的问题,而且还能够有效地避免来自 网络外部的攻击,隐藏并保护网络内部的计算机。 1.宽带分享:这是 NAT 主机的最大功能。 2.安全防护:NAT 之内的 PC 联机到 Internet 上面时,它所显示的 IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行 portscan(端口扫描)的时候,就侦测不到源Client 端的 PC 。 3.NAT实现方式:NAT的实现方式有三种,即静态转换Static Nat、动态转换 Dynamic Nat和端口多路复用OverLoad。 静态转换是指将内部网络的私有IP地址永久固定得转换为公有IP地址,借助于静态转换,可以实现外部网络对内部网络中某些特定设备的访问。多用于服务器 动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。即只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。 端口多路复用(Port Address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation). 采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。 4.现在IP地址的适用情况,私有 IP 地址是指内部网络或主机的IP 地址,公 有IP 地址是指在因特网上全球唯一的IP 地址。RFC 1918 为私有网络预留出了三个IP 地址块,如下: A 类:10.0.0.0~10.255.255.255
浅谈网络地址转换(NAT)的三种方式 由于互联网用户的迅猛发展,IP地址越来越不够用,网络地址转换(NAT)的出现解决了这一问题。本文通过实例着重阐述了NAT的三种网络地址转换方式及地址的转换过程。 标签:NAT 静态转换动态转换端口多路复用 由于互联网用户的迅猛发展,IP地址越来越不够用,怎么办呢?网络地址转换(NAT)的出现解决了这一问题。NAT提供了局域网共享上网的简单方案,内部网络用户连接互联网时,NAT将用户的内部IP地址转换成一个外部公共IP 地址,反之,数据从外部返回时,NAT反向将目标地址替换成初始的内部用户的地址。简言之,NAT的作用就是把内网的私有地址,转化成外网的公有地址,使得内部网络上的(被设置为私有IP地址的)主机可以访问Internet。 那么NAT有哪些方式可以实现网络地址的转换呢?怎么实现? 在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT。通常情况下,连接到用户内部网络的接口是NAT 内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。 ①静态转换是指将内部网络的私有IP地址转换为公有IP地址时,IP地址是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 实例分析: 假设内部局域网使用的lP地址段为192.168.0.1——192.168.0.254,路由器局域网端(即默认网关)的IP地址为192.168.0.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为66.158.68.128——66.158.68.135,路由器在广域网中的IP地址为66.158.68.129,子网掩码为255.255.255.248可用于转换的IP地址范围为66.158.68.130——66.158.68.134。要求将内部网址192.168.0.2——192.168.0.6分别转换为合法IP地址66.158.68.130——66.158.68.134。 第一步,设置外部端口。 interface serial 0 ip address 66.158.68.129 255.255.255.248 ip nat outside
静态NAT配置实例 NAT的实现方式有三种,即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。 静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,而是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。但在一个时间点上,同时访问外网的主机数量不会多于地址中的公有IP 地址数量。只有释放后才能被其它的内网主机重新获取分配。即:在一个时间点上是一对一的关系,在一个时间段上是一对多的关系。 端口多路复用是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,PortAddressTranslation),采用端口多路复用方式。内部网络的所有主机均可共享一个(或多个地址池中的)合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。实现一对多的对应关系 【背景描述】 现假设某单位创建了PC1和 PC2,这两台PC机不但允许内部用户(IP 地址为 172.16.1.0/24 网段)能够相互访问,而且要求 Internet 上的外网用户也能够访问。为实现此功能,本单位向当地的ISP申请了一段公网的IP地址210.28.1.0/24(210.28.1.10和210.28.1.11)。通过静态NAT转换,当Internet 上的用户访问这两台PC时,实际访问的是210.28.1.10和210.28.1.11这两个公网的IP地址,但用户的访问数据被路由器R1(NAT)分别转换为172.16.1.10
static 静态NA T 配置: 1.首先设定R1的ip地址和开启端口 conf#inter e0/0 if# ip add 192.168.1.1 255.255.255.0 if# no shut conf#inter e0/1 if# ip add 10.0.0.1 255.255.255.0 if# no shut 2.然后设置NA T静态转换 conf# ip nat ins source static 192.168.1.10 10.0.0.1 将内部地址192.168.1.1 转换成10.0.0.1 conf# ip nat ins source static 192.168.1.20 10.0.0.1 3.再开启NA T conf# inter e0/0 conf# ip nat inside conf# inter e0/1 conf# ip nat outside 4.设置静态路由 conf# ip route 0.0.0.0 0.0.0.0 10.0.0.0 完成,可以show ip nat translations 查看
动态NA T 配置: 1.首先设定R1的ip地址和开启端口 conf#inter e0/0 if# ip add 192.168.1.1 255.255.255.0 if# no shut conf#inter e0/1 if# ip add 10.0.0.1 255.255.255.0 if# no shut 2.定义内部网络中允许访问外部网络的IP Conf#access-list permit 192.168.1.10 0.0.0.255 (允许192.168.1.10 访问外部网络,0.0.0.255 为反子网掩码具体参考ACCESS链路访问规则) Conf#access-list permit 192.168.1.20 0.0.0.255 3.定义地址池 Conf# ip nat pool jiangqi 192.168.1.10 192.168.1.20 netmask 255.255.255.0 (将192.168.1.10 到192.168.1.20 的IP 定义为地址池jiangqi 子网为255.255.255.0) 4.实现网络地址转换 Conf# ip nat inside source list 1 pool jiangqi (将ACCESS LIST 制定的内部地址,与制定的全局地址进行转换) 5. 再开启NA T conf# inter e0/0 conf# ip nat inside conf# inter e0/1 conf# ip nat outside 6. 设置静态路由 conf# ip route 0.0.0.0 0.0.0.0 10.0.0.0
实验静态内部源地址转换NAT 实验目的 掌握内网中一台服务器连接到Internet网时的静态内部源地址转换。 背景描述 你是某公司的网络管理员,内部网络有FTP服务器可以为外部网络提供服务,服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 实现功能 一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。 实验拓扑 实验设备 Router805(2台) 实验步骤 1.基本配置: R1配置: Router>enable Router#conf t Router(config)#host R1
R1(config-if)#int s0 R1(config-if)#ip add 211.67.0.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#clock rate 64000 R1(config)#int e0 R1(config-if)#ip add 192.168.0.254 255.255.255.0 R1(config-if)#no shut R1(config-if)#end R2配置: Router>enable Router#conf t Router(config)#host R2 R2(config-if)#int s0 R2(config-if)#ip add 211.67.0.2 255.255.255.0 R2(config-if)#no shut R2(config)#int e0 R2(config-if)#ip add 202.0.0.254 255.0.0.0 R2(config-if)#no shut R2(config-if)#end PC机配置: PC1:IP address 192.168.0.1 netmask 255.255.255.0 default-gateway 192.168.0.254 PC2:IP address 202.0.0.1 netmask 255.0.0.0 default-gateway 202.0.0.254 验证测试:R2#ping 211.67.0.1 (能ping通) R2#ping 192.168.0.1 (不能ping通) 2.配置静态NAT映射 R1(config)#ip nat inside source static 192.168.0.1 211.67.0.3 ;定义静态映射一一匹配 R1(config)#int e0 R1(config-if)#ip nat inside ;定义内部接口 R1(config)#int s0 R1(config-if)#ip nat outside ;定义外部接口 验证测试:R1#show ip nat translations
实验三十三:静态路由-网络地址转换 一、实验介绍: 1、实验名称: 2、实验目的: 3、实验设备: 4、实验时间:30 实验步骤: 二、多网段的NAT 地址转换 1、路由器 R2600 >enable !进入全局模式 # configure terminal !进入特权模式 (config)# interface fastethernet 0 !进入路由器B 的以太网接口 (config-if)# ip address 192.168.19.18 255.255.255.0 !定义路由器以太网接口IP 地址 (config-if)# no shutdown !开启以太网接口 (config-if)# exit !退出以太网口,返回到特权模式 (config)# interface S 2 !进入广域网口WAN0配置模式 (config-if)# ip address 10.20.30.2 255.255.255.0 !定义DCE 的W AN0口IP 地址 (config-if)# no shutdown !开启DCE 的WAN0口 (config-if)# exit !退出W AN0口,返回到特权模式 (config)# ip route 0.0.0.0 0.0.0.0 192.168.19.100 (config)# ip route 172.16.0.0 255.255.0.0 10.20.30.1 PC1 IP:172.16.1.2/24 GW:172.16.1.1 PC2 IP:172.16.2.2/24 GW:172.16.2.1 PC3 IP:172.16.3.2/24 GW:172.16.3.1
配置NAT的静态转换、动态转换和PAT 实验人: 实验名称:配置NAT的静态转换、动态转换和PAT 实验目的:掌握配置NAT的静态转换、动态转换和PAT的方法实验原理: 用小凡搭建如图实验环境 配置静态NAT: 在R1路由器上,配置静态NAT(ip nat inside source static 192.168.1.1 202.96.1.3 和ip nat inside source static 192.168.1.2 202.96.1.4),打开debug ip nat 功能,查看地址转换情况,即192.168.1.1转换为202.96.1.3 ,192.168.1.2 转换为202.96.1.4 即实验成功! 配置动态NAT:
在R1路由器上,配置动态NAT(access-list 1 permit 192.168.1.0 0.0.0.255(配置访问控制列表)ip nat pool cisco 202.96.1.5 202.96.1.6 netmask 255.255.255.0(配置分配IP的地址池)ip nat inside source list 1 pool cisco(访问控制列表和地址池的绑定)),打开debug ip nat 功能,查看地址转换情况,若其中两台PC机可以ping通,有一台不能ping通,即实验成功! 配置网络地址端口转换PAT: 在R1路由器上,配置网络地址端口转换PAT,(access-list 1 permit 192.168.1.0 0.0.0.255(配置访问控制列表)ip nat pool cisco 202.96.1.8 202.96.1.8 netmask 255.255.255.0(配置分配IP 的地址池)ip nat inside source list 1 pool cisco overload(访问控制列表和地址池的绑定)),打开debug ip nat 功能,查看地址转换情况,若PC1、PC2和PC3的地址都转换为202.96.1.8,即实验成功! 实验过程: 配置静态NAT
实验二十二网络地址转换(静态内部源地址转换NAT) 实验名称 静态内部源地址转换NAT。 实验目的 掌握内网中的一台计算机转接到Internet网时的静态内部源地址转换。 实现功能 企业内部有一台服务器,不想让外部网络用户知道自己内部网络结构,现在通过NAT将内部网络与外部Internet隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。 实验设备 锐捷R2624路由器2台,网线2根,V.35串口线一对,计算机2台。 背景描述 一个公司中的内部网络中有一WEB服务器,现在为了加强企业的自身宣传,需要向Internet用户提供服务,但是为了增强其安全性,需要将服务器放在内网中。这就需要在路由器上进行配置,服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 假设我的ISP的路由器的地址是202.202.32.32。公司内部IP用的是192.168.1.0/24,WEB服务器的内部IP是192.168.1.100,ISP分配给公司的地址是202.202.32.100。路由器的内网接口地址为192.168.1.1,外网地址是ISP分配的202.202.32.101。 实验步骤 1.用2根网线从路由器的以太网口分别连到2台计算机,模拟内、外网的计算机。将内网 的计算机IP设为192.168.1.100,外网的计算机IP设为202.202.32.0/24。并在内网的计算机192.168.1.100上安装和开启WEB服务。 2.连到内网路由器Rin,对路由器Rin进行配置。 3.对路由器Rin进行基本配置。 Hostname Rin configure terminal interface serial1/2 ip address 202.202.32.101 255.255.255.0 clock rate 64000 no shutdown end interface fa1/0 ip address 192.168.1.1 255.255.255.0 no shutdown Red-Giant(config)#hostname rin rin(config)#interface serial 1/2 rin(config-if)#ip address 202.202.32.101 255.255.255.0 rin(config-if)#clock rate 64000 rin(config-if)#no shutdown rin(config-if)#exit
正向NAT和反向NAT建立映射关系 当你与外部网络进行通信时,你可以转换自己的私有IP地址到全局唯一的IP地址。可以通过静态或动态NAT来实现以上目的。静态NAT在内部本地址和内部全局地址之间建立一对一的映射关系,而动态NAT建立一个内部本地址到一个全局地址池的映射关系。 一、静态NAT工作原理 静态NAT是最基本的NAT方式,也是最常用的NAT方式之一。本节要利用网络拓扑结构和具体的示例介绍Cisco设备上的静态NAT 基本配置步骤。示例中的基本网络拓扑结构如图1所示。NAT路由器的两个接口(s0和s1)分别连接了内、外两个不同的网络(10.10.10.0/24和171.16.68.1/24)。现要使内部网络中的10.10.01.1主机和外部网络中的171.16.68.5主机间进行数据包传输。 图1 静态NAT基本配置示例网络结构 在上一篇说到了,NAT的应用可以是单方向(包括正向或反向),也可以是双方向的地址转换。我们把内部网络中的地址转换成外部网络中的地址,称之为正向转换,使用的NAT命令为“ip nat inside source static {local-ip global-ip}”,把本地网络的本地址转换成外部网络的全局地址。把外部网络中的地址转换成内部网络中的地址称之为反向转
换,使用的NAT命令为“ip nat outside source staticglobal-ip local-ip}”,把外部网络的全地址转换成本地网络的本地地址。对比可以看出,两个命令中的本地IP地址(local-ip)和全局IP地址(global-ip)的位置是相互调换的。而把需要同时具有两方面的转换,称之为双向转换。正向转换时只需要定义内部本地址和内部全局地址;反方向的转换时则需要定义外部本地址和外部全局地址;双向转换时则需要同时定义内部本地址、内部全局地址、外部本地址和外部全局地址。下面分别予以介绍。 1. 正向NAT地址转换配置 仅需要正向NAT转换时,只需要定义内部本地地址和内部全局地址。下面是一个配置示例(网络结构参见图1),要实现以下目的:当NAT 路由器的内部网络s0接口上接收到一个源地址为10.10.10.1内部本地地址的数据包时,源地址被转换成171.16.68.5内部全局地址。同样,当在NAT路由器的外部网络接口s1上接收源地址为172.16.68.5内部全局地址的数据包时,目的地址将被转换成10.10.10.1这个内部本地地址。 (1)使用ip nat inside source static全局配置命令创建从内网到外网的静态NAT IP地址转换。 Router(config)#ip nat inside source static10.10.10.1 171.16.68.5 # 在内部网络本地地址10.10.10.1与内部网络全局地址171.16.68.5之间建立静态NAT转换关系,使内部网络主机知道要以171.16.68.5这个地址到达外部网络主机
其实在很多时候,网络中的服务器既为网络内部的客户提供网络服务,又同时为Internet中的用户提供访问服务。因此,如果采用端口复用地址转换或动态地址转换,将由于无法确定服务器的IP地址,而导致Internet用户无法实现对网络内部服务器的访问。此时,就应当采用静态地址转换+端口复用地址转换的NAT方式。也就是说,对服务器采用静态地址转换,以确保服务器拥有固定的合法IP地址。而对普通的客户计算机则采用端口复用地址转换,使所有用户都享有访问Internet的权力。 网络环境为: 局域网采用10Mb/s光纤,以城域网方式接入Internet。路由器选用拥有2个10/100 Mb/s自适应端口的Cisco 2611。内部网络使用的IP地址段为 10.18.100.1~10.18.104.254,局域网端口Ethernet 0的IP地址为10.18.100.1,子网掩码为255.255.0.0。网络分配的合法IP地址范围为211.82.220.80~211.82.220.87,连接ISP的端口Ethernet 1的IP地址为211.82.220.81,子网掩码为255.255.255.248。要求网络内部的所有计算机均可访问Internet,并且在Internet中提供Web、E-mail、FTP和Media等4种服务。 案例分析: 既然网络内的服务器要求能够被Internet访问到,那么,这部分主机必须拥有合法的IP地址,也就是说,服务器必须采用静态地址转换。其他计算机由于没有任何限制,所以,可采用端口复用地址转换的NAT方式。因此,服务器可采用内网址 10.18.100.1~10.18.100.254,并分别映射为一个合法的IP地址。其他计算机则采用内部网址10.18.101.1~172.16.104.254,并全部转换为一个合法的IP地址。 配置清单: interface fastethernet0/0 ip address 10.18.100.1 255.255.0.0 //定义局域网口IP地址 duplex auto speed auto ip nat inside //定义局域网口 ! interface fastethernet0/1 ip address 211.82.220.81 255.255.255.248 //定义广域网口IP地址 duplex auto speed auto ip nat outside //定义广域网口 ! ip nat pool every 211.82.220.86 211.82.220.86 netmask 255.255.255.248 //定义合法IP地址池 access-list 1 permit 10.18.101.0 0.0.0.255 //定义本地访问列表1 access-list 1 premit 10.18.102.0 0.0.0.255 access-list 1 premit 10.18.103.0 0.0.0.255 access-list 1 premit 10.18.104.0 0.0.0.255 ip nat inside source list1 pool every overload //定义列表达1采用端口复用地址转换 ip nat inside source static 10.18.100.10 211.82.220.82 //定义静态地址转换 ip nat inside source static 10.18.100.11 211.82.220.83
什么是NAT(网络地址转换)? 网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。 静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 静态配置命令 ip nat inside source static 内部本地地址内部合法地址。 拓扑图 假设我们在ISP那已经申请IP地址,192.192.192.1—192.192.192.4,拿路由器XFZ充当ISP,ONLY5 为你家外部路由器,下面我们配置静态的NA T,就是1对1进行IP地址转换。 配置信息 PC1—PC3的 IP地址为192.168.1.2 --- 192.168.1.4 子网掩码为255.255.255.0 网关为192.168.1.1
配置信息 ONLY5 Router>enable Router#config t Router(config)#hostname ONLY5 ONLY5(config)#int f0/0 ONLY5(config-if)#no shu ONLY5(config)#int f0/0 ONLY5(config-if)#ip address 192.168.1.1 255.255.255.0 ONLY5(config)#int s0/0 ONLY5(config-if)#ip address 192.192.192.1 255.255.255.0 ONLY5(config-if)#clock rate 64000 // 配置静态NA T ONLY5(config)#ip nat inside source static 192.168.1.2 192.192.192.2 ONLY5(config)#ip nat inside source static 192.168.1.3 192.192.192.3 ONLY5(config)#ip nat inside source static 192.168.1.4 192.192.192.4 ONLY5(config)#int f0/0 ONLY5(config-if)#ip nat inside // 设置该端口为内部端口 ONLY5(config)#int s0/0 ONLY5(config-if)#ip nat ou ONLY5(config-if)#ip nat outside // 设置该端口为外部部端口
1、静态地址转换:将局域网内部主机的私有地址,一对一地映射到公网地址。这种转换方法有多少个私有地址就需要多少个公网地址。 (1)公网地址与私有地址建立一对一映射 Ip nat inside source static 私有地址公有地址 Ip nat inside source static 192.168.100.1 193.1.1.1 (2)公网地址的某个端口与私有地址的某个端口建立一对一的映射Ip nat inside source static tcp|udp 私有地址端口号公有地址端口号Ip nat inside source static tcp|udp 192.168.100.1 20 193.1.1.1 20 Ip nat inside source static tcp 192.168.100.1 80 193.1.1.1 80 2、动态地址转换:动态地址转换需要一个可用来供转换使用的公网地址池。当内网用户访问因特网时,路由器从地址池中选择一个未用的公网地址,然后将该内网主机的私有地址动态映射到该公网地址,从而建立起暂时的一对一的映射关系。当访问结束后,这种映射关系将被解除,以供下一个主机转换使用。 Ip nat inside source list列表号pool地址池名称 注:(1)先建立有访问控制列表,允许内网转换的地址,如:Access-list 1 permit 192.168.0.0 0.0.7.255 (2)建立地址池,如: Ip nat pool abc 193.1.1.1 193.1.1.3 netmask 255.255.255.0 3、网络地址端口转换:就是用一个公网地址的一个端口来对应一
NAT转换三种方式 一、实验目的 通过本实验可掌握 ●静态NAT、动态NAT、基于端口的转换(PA T) ●静态NAT、动态NAT、基于端口的转换(PA T)基本配置和调试 二、实验拓扑 实验设备:2个路由器,5个PC机和2个交换机 三、实验要求 ●学习三种NA T转换的相关配置指令。 ●撰写实验报告 参考指令: 静态转换: interface FastEthernet0/0 ip nat inside interface FastEthernet0/0 ip nat outside ip nat inside source static 192.168.1.10 200.1.1.100 动态转换: interface FastEthernet0/0 ip nat inside interface FastEthernet0/0
ip nat outside ip nat pool a1 200.1.1.120 200.1.1.150 netmask 255.255.255.0 access-list 1 permit 192.168.1.0 0.0.0.255 ip nat inside source list 1 pool a1 基于端口的转换: interface FastEthernet0/0 ip nat inside interface FastEthernet0/0 ip nat outside ip nat pool a2 200.1.1.1 200.1.1.1 netmask 255.255.255.0 access-list 1 permit 192.168.1.0 0.0.0.255 ip nat inside source list 1 pool a2 overload 显示地址翻译的命令: show ip nat translations 四、配置步骤 静态转换 R1配置 Router>en Router#conf t Router(config)#hostname r1 Router(config)#int f0/1 Router(config-if)#ip nat outside Router(config-if)#ip add 200.1.1.1 255.255.255.0 Router(config-if)#no shut Router(config-if)#int f0/0 Router(config-if)#ip nat inside Router(config-if)#ip add 192.168.1.1 255.255.255.0 Router(config-if)#no shut Router(config)#router rip Router(config-router)#network 200.1.1.0 Router(config-router)#exit Router(config)#ip nat inside source static 192.168.1.20 200.1.1.10
NAT的配置1.0静态转换 随着网络的发展,公网IP 地址的需求与日俱增。为了缓解公网IP 地址的不足,并且保护公司内部服务器的私网地址,可以使用网络地址转换(Network Address Translation,NAT)技术将私网地址转化成为公网地址,以缓解IP 地址的不足,并且隐藏内部服务器的私网地址。NAT 是一个很有用的工具,接下来首先介绍NAT的功能和术语。 1. NAT的概念 NAT (Network Adderss Translation,网络地址转换)通过将内部网络的私网IP 地址翻译成全球唯一的公网IP 地址,使内部网络可以连接到互联网等外部网络上,广泛应用于各种类型的互联网接入方式和各种类型的网络中。NAT 不仅解决了IP 地址不足的问题,而且还能够隐藏内部网络的细节,避免来自网络外部的攻击,可起到一定的安全作用。 借助于NAT,私有保留地址的内部网络通过路由器发送数据包时,私有地址被转换成合法的IP 地址,这样一个局域网只需要少量地址(甚至是一个)即可实现私有地址网络中的所有计算机与互联网的通信需求。 NAT 将自动修改IP包头中的源IP地址或目的IP地址,IP地址的校验则在NAT 处理过程中自动完成。有一些应用程序将源IP 地址嵌入到IP 数据包的数据部分中,所以还需要同时对数据部分进行修改,以匹配IP 包头中己经修改过的源IP 地址。否则,在数据包的数据部分嵌人了IP 地址的应用程序不能正常工作。令人遗憾的是,Cisco 的NAT 虽然可以处理很多应用,但还是有一些应用无法支持。 2. NAT的实现方式 NAT的实现方式有以下三种 ?静态转换(Static Translation)。 ?动态转换(Dynamic Translation)。 ?端口多路复用(Port Address Translation, PAT)。 静态转换就是将内部网络的私网IP地址转换为公用合法的IP 地址,IP 地址的对应关系是一对一的,而且是不变的,即某个私网IP 地址只转换为某个国足的合法的外部IP 地址。借助于静态转换,能实现外部网络对内部网络中某些特定设备(如服务器)的访问。 关键代码如下: Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface f0/0 Router(config-if)#no shutdown Router(config-if)#ip address 192.168.10.1 255.255.255.0