实验13 静态NAT及NAPT实验

广东轻工职业技术学院实训报告姓名龚汉升学号06 班级计算机141 实训名称《网络设备配置与管理》实训课程名称网络设备配置与管理教材《交换机与路由器配置管理任务教程（第二版）》实训 13 NAT 配置实训目的1. 通过配置静态地址转换，动态地址转换，让学员对NAT的工作原理有初步的认识。

2．掌握NAT在路由器上的配置方法，对 NAT在网络上的应用有更深的理解。

实训步骤1.按图示搭好环境2、配置路由器端口的IP地址，并在RouterB 和RouterC 上配置到202.116.78.0网段的静态路由。

2、在 RouterA上分别为RouterB和RouterC配置一条到达内部全局地址的静态路由。

完成配置后使用show ip route，show interface，show running-configuration 查看路由配置的正确性。

3、在 RouterA的f0端口配置ACL过滤掉所有私有地址。

配置命令PC0 PC1 PC2IP 地址192.168.1.2 202.116.78.2 10.0.1.2子网掩码255.255.255.0 255.255.255.0 255.255.255.0网关 192.168.1.1 202.116.78.1 10.0.1.1RouterB(config)#ip route 202.116.78.0 255.255.255.0 202.116.64.2 RouterC(config)#ip route 202.116.78.0 255.255.255.0 202.116.66.2 RouterA#config tRouterA(config)#ip route 202.116.65.0 255.255.255.0 202.116.64.1 RouterA(config)#ip route 202.116.67.0 255.255.255.0 202.116.66.1 （1）静态 NAT 实训：以 RouterB为例RouterB#config tRouterB(config)# ip nat inside source static 10.0.1.2 202.116.65.1 RouterB(config)#int f0RouterB(config-if)#ip nat insideRouterB(config-if)#int s0RouterB(config-if)#ip nat outside查看静态NAT的配置：RouterB#showRouterB#showRouterB#showip nat translationsip nat statisticsip nat translations verboseRouterB#debug ip配置命令PC0 PC1 PC2IP 地址192.168.1.2 202.116.78.2 10.0.1.2子网掩码255.255.255.0 255.255.255.0 255.255.255.0网关 192.168.1.1 202.116.78.1 10.0.1.1RouterB(config)#ip route 202.116.78.0 255.255.255.0 202.116.64.2 RouterC(config)#ip route 202.116.78.0 255.255.255.0 202.116.66.2 RouterA#config tRouterA(config)#ip route 202.116.65.0 255.255.255.0 202.116.64.1 RouterA(config)#ip route 202.116.67.0 255.255.255.0 202.116.66.1（2）动态 NAT（先删除静态 NAT 的配置）实训：以 RouterB为例RouterB#config tRouterB(config)# ip nat pool CISCO 202.116.65.1 202.116.65.254 netmask 255.255.255.0RouterB(config)# access-list 1 permit 10.0.1.2 0.0.0.255RouterB(config)#ip nat inside source list 1 pool CISCORouterB(config)#int f0RouterB(config-if)#ip nat insideRouterB(config-if)#int s0RouterB(config-if)#ip nat outside查看静态NAT的配置：RouterB#show ip nat translationsRouterB#show ip nat statisticsRouterB#show ip nat translations verboseRouterB#debug ip nat检验动态NAT。

napt实验心得NAPT实验心得近期，我在网络技术实验课程中进行了一次关于NAPT（Network Address and Port Translation，网络地址和端口转换）的实验。

通过这次实验，我对NAPT的原理和应用有了更深入的了解，并获得了一些有价值的心得体会。

我想简要介绍一下NAPT的原理。

NAPT是一种网络地址转换技术，它通过在网络层和传输层之间进行转换，将私有IP地址映射为公共IP地址，并在端口层面进行转换，以实现多个内部主机共享一个公共IP地址的功能。

NAPT在现今的互联网中得到广泛应用，尤其在IPv4地址不足的情况下，它能够有效地解决IP地址不够的问题。

在实验中，我首先搭建了一个简单的网络拓扑，包括一个NAPT设备、多台内部主机和一个外部网络。

通过配置NAPT设备，我将多台内部主机的私有IP地址转换为公共IP地址，并在转换的过程中为每个连接分配唯一的端口号。

这样，通过NAPT设备，多台内部主机就可以使用同一个公共IP地址与外部网络进行通信了。

在实验中，我发现NAPT有以下几个重要的应用和优点。

首先，NAPT 能够实现多个内部主机共享一个公共IP地址，从而有效地解决了IPv4地址不足的问题。

其次，NAPT还可以提高网络的安全性。

通过NAPT设备，内部主机的私有IP地址对外部网络是不可见的，这样可以有效地隐藏内部网络的结构，增加了攻击者进行网络入侵的难度。

此外，NAPT还能够提供端口转换的功能，使得多个内部主机可以使用同一个公共IP地址进行网络通信。

在实验过程中，我还遇到了一些挑战和问题。

首先，配置NAPT设备需要一定的网络知识和技术，对于初学者来说可能会有一定的难度。

其次，由于NAPT将私有IP地址映射为公共IP地址，导致了一定程度上的网络地址不可用，可能会影响某些特定的应用或服务。

此外，NAPT还存在一定的性能瓶颈，当内部主机数量较多或者网络负载较大时，可能会导致网络延迟或速度下降。

华为实训13-1NAPT配置【实验技术原理】一、NAT简介NAT（Network Address Translation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。

在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。

这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于减缓可用IP地址空间的枯竭。

私有IP地址是指内部网络或主机的IP地址，公有IP地址是指在因特网上全球唯一的IP地址。

RFC1918为私有网络预留出了三个IP地址块，如下：A类：10.0.0.0～10.255.255.255B类：172.16.0.0～172.31.255.255C类：192.168.0.0～192.168.255.255上述三个范围内的地址不会在因特网上被分配，因此可以不必向ISP或注册中心申请而在公司或企业内部自由使用。

二、NAT实现的功能1.多对多地址转换及地址转换的控制从图1-1的地址转换过程可见，当内部网络访问外部网络时，地址转换将会选择一个合适的外部地址，来替代内部网络数据报文的源地址。

在图1-1中是选择NAT网关出接口的IP地址（公有地址）。

这样所有内部网络的主机访问外部网络时，只能拥有一个外部的IP地址，因此，这种情况同时只允许最多有一台内部主机访问外部网络，这称为“一对一地址转换”。

当内部网络的多台主机并发的要求访问外部网络时，“一对一地址转换”仅能够实现其中一台主机的访问请求。

NAT也可实现对并发性请求的响应，允许NAT网关拥有多个公有IP地址。

当第一个内部主机访问外网时，NAT选择一个公有地址IP1，在地址转换表中添加记录并发送数据报；当另一内部主机访问外网时，NAT选择另一个公有地址IP2，以此类推，从而满足了多台内部主机访问外网的请求。

这称为“多对多地址转换”。

2.NAPTNAPT（Network Address Port Translation，网络地址端口转换）是NAT的一种变形，它允许多个内部地址映射到同一个公有地址上，也可称之为“多对一地址转换”或“地址复用”。

实训：Napt 的配置
一、项目背景
下图为某学校网络拓扑模拟图，在接入交换机S2上划分了办公网和学生网。

为了保证网络的稳定性，接入层和汇聚层通过两条链路相连，汇聚层交换机S1通过接口F0/1与核心RA 相连，核心RA 和RB 相连，RB 接入Internet 。

学院在ISP 申请专线连接互联网，申请到1个静态IP ：200.1.1.X/28（注：最后一位组号），网关：200.1.1.15。

RA
RB
办公网学生网
F0/23
F0/23F0/24F0/24
F0/10
F0/1F0/1F0/0
F0/0S1S2
服务器
参考文件”任务2配置命令及配置步骤.txt ”进行配置，每一步都需要测试。

完成后上交到172.17.0.31/lyd/zuoye
二、 要求
1、全网都能上Internet 。

2、学校服务器的内网IP 是172.16.100.10/24，学校在服务器上建有学校网站，并
对外发布，外网用户通过公网IP可以访问。

3、安全设置：
（1）、在接入交换机配置端口安全功能，安全地址最大数为4个，违例策略设置为shutdown。

（2）、学生不能访问学校服务器的FTP服务，其他没限制。

4、所有设备能通过管理IP进行远程配置。

NAT-T 实验报告一、实验拓扑二、实验要求分部与总部之间互访需要使用IPsec 保护，在RT4上做静态PAT 转化，不能影响内网用户正常访问外网三、 实验配置1、首先配置好基本信息及接口配置2、在RT1上配置ip route 0.0.0.0 0.0.0.0 192.168.2.2 在RT2上配置ip route 0.0.0.0 0.0.0.0 172.1.2.1 在RT3上配置ip route 0.0.0.0 0.0.0.0 172.1.3.1 在RT4上配置ip route 0.0.0.0 0.0.0.0 172.1.1.1ip route 192.168.0.0 255.255.0.0192.168.2.13、IPsec 的配置 RT1crypto isakmp policy 10 encr 3desRT2hash md5authentication pre-sharegroup 2crypto isakmp key cisco address 172.1.2.2crypto isakmp key cisco address 172.1.3.2crypto ipsec transform-set t esp-3des esp-md5-hmaccrypto map mymap 10 ipsec-isakmpset peer 172.1.2.2set transform-set tmatch address 10crypto map mymap 20 ipsec-isakmpset peer 172.1.3.2set transform-set tmatch address 102access-list 101 permit ip 192.168.0.0 0.0.255.255 192.168.36.0 0.0.0.255access-list 102 permit ip 192.168.0.0 0.0.255.255 192.168.44.0 0.0.0.255int e0/0crypto map mymapRT2crypto isakmp policy 10encr 3deshash md5authentication pre-sharegroup 2crypto isakmp key cisco address 172.1.1.2crypto ipsec transform-set t esp-3des esp-md5-hmaccrypto map mymap 10 ipsec-isakmpset peer 172.1.1.2set transform-set tmatch address 101access-list 101 permit ip 192.168.36.0 0.0.0.255 192.168.0.0 0.0.255.255int e0/0crypto map mymapRT3crypto isakmp policy 10encr 3deshash md5authentication pre-sharegroup 2crypto isakmp key cisco address 172.1.1.2crypto ipsec transform-set t esp-3des esp-md5-hmaccrypto map mymap 10 ipsec-isakmpset peer 172.1.1.2set transform-set tmatch address 102access-list 102 permit ip 192.168.44.0 0.0.0.255 192.168.0.00.0.255.255int e0/0crypto map mymap4、PAT配置：RT4interface Ethernet0/0ip nat outsideinterface Ethernet0/1ip nat insideaccess-list 111 deny ip 192.168.0.0 0.0.255.255 192.168.0.00.0.255.255access-list 111 permit ip 192.168.0.0 0.0.255.255 anyip nat inside source list 111 interface Ethernet0/0 overloadip nat inside source static udp 192.168.2.1 4500 interface Ethernet0/0 4500ip nat inside source static udp 192.168.2.1 500 interface Ethernet0/0 500四、连通性测试：。

路由器的动态NAPT配置及应用配置静态NA T工作任务你是某公司的网络管理员，公司办公网需要接入互联网，公司只向ISP申请了一条专线，该专线分配了一个公网IP地址，通过配置实现公司与外界有业务往来的主机都能访问外网。

将路由器与外网相连的接口从S0改为Fa1，假设申请的公网IP地址为200.1.1.1，外网内有一Web服务器地址为200.1.1.100，公司内部有二个网段分别为192.168.1.0及192.168.2.0，其中，192.168.1.0网段可以访问外网。

首先在路由器上进行配置，并设置缺省路由指向Fa1，然后在路由器配置动态NAPT端口地址转换，实现对Internet的访问。

第1步：路由器的基本配置路由器RouterA：R >enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0/0 注释：fa 0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 0/1 注释：fa 1 RouterA (config-if)#ip address 200.1.1.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface fastethernet 1/0 注释：fa 2 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 0.0.0.0 0.0.0.0 fa 0/1第2步：定义内部及外部端口定义Fa 0及Fa 2为内网接口RouterA (config)#interfast fastethernet 0/0RouterA (config-if)#ip nat insideRouterA (config-if)#exitRouterA (config)#interfast fastethernet 1/0RouterA (config-if)#ip nat insideRouterA (config-if)#exit定义Fa 1为外网接口RouterA (config)#interfast fastethernet 0/1RouterA (config-if)#ip nat outsideRouterA (config-if)#exit第3步：定义内部全局地址池地址池名称为to_internet，范围为从200.1.1.1到200.1.1.1。

实验报告17静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。

也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。

动态转换可以使用多个合法外部地址集。

当ISP提供的合法IP地址略少于网络内部的计算机数量时。

可以采用动态转换的方式。

端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PA T，Port Address Translation).采用端口多路复用方式。

内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。

同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。

因此，目前网络中应用最多的就是端口多路复用方式。

【注意事项】1.在配置的时候不要把inside和outside应用接口弄错2.要加上能能使数据包外发的路由协议。

该实验所需要的简单实验拓扑。

请用模拟器拓扑替换此图。

实验拓扑图实验步骤及命令清单本次实验步骤对锐捷机架真实设备和思科模拟器均可。

本节实验报告由三个实验组成。

注意：PC机和路由器之间用交叉线相连。

实验步骤:参看电子书——CCNA实验指导实验。

实验二十：静态地址转换实验二十一：动态地址转换实验二十二：PAT一、静态地址转换：通过实验掌握静态NAT的配置方法及实际应用。

根据需要将内部主机PC1:192.168.1.1和PC2:192.168.1.2私有地址转为能上外网的公有地址。

网络工程实验四NAT和PAT配置一、实验环境一台装有Boson NetSim for CCNP和Boson Network Designer软件的PC 机。

二、实验目的本实验的目的是通过配置静态地址传输，动态地址传输，对NAT的工作原理有初步的熟悉，把握NAT在路由器上的配置方法，对NAT在网络上的应用有更深的了解。

三、实验步骤1、通过Boson Network Designer画出实验拓扑图。

2、配置静态NAT，查看配置并用Ping命令检验3、配置动态NAT，同样查看配置并检验4、配置动态PAT四、实验过程Step1：在Boson Network Designer画出实验拓扑图如图3-1所示。

图3-1 实验拓扑图Step2：配置各个路由器端口的IP地址，并在RouterB和RouterC上配置到网段的静态路由。

而在RouterA上分别为RouterB和RouterC配置一条到达内部全局地址的静态路由。

如图4-1，4-2，4-3，4-4，4-5，4-6所示。

图 4-1Host_1IP图 4-2Host_1IP图 4-3Host_1IP图 4-4RouterA各端口和静态路由配置图 4-5RouterB各端口和静态路由配置图 4-6RouterC各端口和静态路由配置Step3：在RouterB上配置静态NAT，将Host_2的内部局部地址10.0.1.2转化为外部全局地址。

如图4-7所示。

图 4-7在RouterB配置静态NAT在Host_1主机上使用Ping检验静态NAT，如图4-8所示可以Ping通，证明静态NAT配置成功。

图 4-8使用Ping命令检验静态NATStep4：在RouterB上配置静态NAT，允许Host_3所在网段通过外部全局地址到地址访问Internet。

如图4-9所示。

图 4-9在RouterC上配置动态NATStep5：配置PAT，先删除所有NAT配置，保留ACL的配置。