第13章 NAT的基本配置.docx
- 文档编号:9534184
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:17
- 大小:55.74KB
第13章 NAT的基本配置.docx
《第13章 NAT的基本配置.docx》由会员分享,可在线阅读,更多相关《第13章 NAT的基本配置.docx(17页珍藏版)》请在冰豆网上搜索。
第13章NAT的基本配置
第13章NAT
13.1NAT理论指导
NAT(NetworkAddressTranslation)地址转换功能,将内部网的私有地址转换成互联网上的合法地址,使得不具有合法IP地址的用户可以通过NAT访问到外部Internet。
减少了IP地址注册的费用以及节省了目前越来越缺乏的地址空间(即IPV4)。
同时,这也隐藏了内部网络结构,从而降低了内部网络受到攻击的风险。
一个企业申请的合法InternetIP地址很少,而内部网络用户很多。
可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet进行通信。
一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。
NAT 包括有静态 NAT、动态地址 NAT 和端口多路复用地址转换三种技术类型。
静态地址转换是将内部本地私有地址与公有地址进行一对一的转换,且需要指定和哪个公有地址进行转换。
如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
动态地址转换也是将本地私有地址与公有地址一对一的转换,但是是从一组公有地址中动态地选择一个末使用的地址对内部本地私有地址进行转换。
复用动态地址转换(PortAddressTranslation。
端口地址转换)首先是一种动态地址转换,但是它可以允许多个内部本地私有地址共用一个合法地址。
这样进一步减少了公有地址的使用。
注意:
当多个用户同时使用一个IP地址,外部网络通过路由器内部利用上层的如TCP或UDP端口号等唯一标识某台计算机
私有IP地址
私有IP地址是保留地址,仅供私有内部网络使用。
带有这些地址的数据包不会通过Internet路由。
留用的内部私有地址目前主要有以下几类:
●A类:
10.0.0.0--10.255.255.255
●B类:
172.16.0.0--172.31.255.255
●C类:
192.168.0.0--192.168.255.255
NAT技术中有四个术语:
InsideLocal:
局域网内部主机的拥有的一个真实地址,一般来说是一个私有地址
InsideGlobal:
对于外部网络来说,局域网内部主机所表现的IP地址。
OutsideLocal:
外部网络主机的真实地址。
OutsideGlobalo:
对于内部网络来说,外部网络主机所表现的IP地址。
静态NAT
静态NAT使用本地地址与全局地址的一对一映射,这些映射保持不变。
静态NAT对于必须具有一致的地址、可从Internet访问的Web服务器或主机特别有用。
输入全局命令noipnatinsidesourcestatic可删除静态源地址转换。
静态NAT命令格式:
Router(config)#ipnatinsidesourcestaticlocal-ipglobal-ip
Router(config)#interfacetypenumber
Router(config-if)#ipnatinside
Router(config)#interfacetypenumber
Router(config-if)#ipnatoutside
参数说明:
local-ip:
要进行转换的内部私有网络地址。
global-ip:
可以用来转换的公有地址。
ipnatinside:
将该接口标记为与内部连接。
ipnatoutside:
将该接口标记为与外部连接。
例如:
在一个路由器上对服务器进行静态NAT配置如下:
图4-1实验拓扑图
Router(config)#ipnatinsidesourcestatic192.168.10.2172.1.10.1
Router(config)#interfacef0/1
Router(config-if)#ipnatinside
Router(config)#interfaces0/0/0
Router(config-if)#ipnatoutside
查看NAT地址转换:
Router#showipnattranslations
ProInsideglobalInsidelocalOutsidelocalOutsideglobal
---172.1.10.1192.168.10.2------
Router#
在ISP上验证:
ISP#ping172.1.10.1
Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto172.1.10.1,timeoutis2seconds:
!
!
!
!
!
Successrateis100percent(5/5),round-tripmin/avg/max=62/62/63ms
ISP#
通过showipnattranslations命令可以显示地址转换表,在表中多了一条“172.1.10.1192.168.10.2”,“172.1.10.1”是内部全局公有地址,“192.168.10.2”是内部私有地址。
动态NAT
动态NAT不是创建到单一IP地址的静态映射,而是使用内部全局地址池。
要配置动态NAT,需要创建一个ACL以仅允许那些需要转换的地址。
输入全局命令noaccess-listaccess-list-number可删除访问列表。
输入全局命令noipnatinsidesource可删除动态源地址转换。
动态态NAT命令格式:
Router(config)#ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}
Router(config)#access-listaccess-list-numberpermitsource[source-wildcard]
Router(config)#ipnatinsidesourcelistaccess-list-numberpoolname
Router(config)#interfacetypenumber
Router(config-if)#ipnatinside
Router(config)#interfacetypenumber
Router(config-if)#ipnatoutside
参数说明:
name:
地址池的名字
start-ip:
地址池中可用的最小的IP地址。
end-ip:
地址池中可用的最小的IP地址。
netmask:
网络掩码。
prefix-length:
地址池的长度。
source:
允许被转换的私有地址。
local-ip:
要进行转换的内部私有网络地址。
global-ip:
可以用来转换的公有地址。
ipnatinside:
将该接口标记为与内部连接。
ipnatoutside:
将该接口标记为与外部连接。
例如:
在图4-1的拓扑图的路由器上对内部私有网络进行动态NAT配置如下:
Router(config)#ipnatpooldtnp172.1.10.2172.1.10.7netmask255.255.255.248
Router(config)#access-list11permit192.168.1.00.0.0.255
Router(config)#ipnatinsidesourcelist11pooldtnp
Router(config)#interfacef0/0
Router(config-if)#ipnatinside
Router(config)#interfaces0/0
Router(config-if)#ipnatoutside
如果你在此时查看地址转换表时,你会发现转换表没有新的内容增加。
这是因为你的内部主机暂时还没和外部联系。
当我们在PC0上ping172.1.1.2后再看看地址转换表
Router#showipnat
ProInsideglobalInsidelocalOutsidelocalOutsideglobal
icmp172.1.10.2:
5192.168.1.2:
5172.1.1.2:
5172.1.1.2:
5
icmp172.1.10.2:
6192.168.1.2:
6172.1.1.2:
6172.1.1.2:
6
icmp172.1.10.2:
7192.168.1.2:
7172.1.1.2:
7172.1.1.2:
7
icmp172.1.10.2:
8192.168.1.2:
8172.1.1.2:
8172.1.1.2:
8
---172.1.10.1192.168.10.2------
这时你会发现在IP地址后增加了一些数字,这些是TCP端口号。
前面的Pro表示的是协议。
172.1.1.2是外部网络。
我们把192.168.1.2转换成172.1.10.2和外部通信了。
此时保留了上次的静态NAT转换结果。
如果过一段时间192.168.1.2不和172.1.1.2通信。
这些条目就会被清除。
这是因为:
动态nat的ip是大家共用,要定时清理以供大家使用。
静态NAT的条目不会被清除。
即时重启路由还是会保留。
PAT
动态NAT不是创建到单一IP地址的静态映射,而是使用内部全局地址池。
要配置动态NAT,需要创建一个ACL以仅允许那些需要转换的地址。
输入全局命令noaccess-listaccess-list-number可删除访问列表。
输入全局命令noipnatinsidesource可删除动态源地址转换。
动态态NAT命令格式:
Router(config)#ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}
Router(config)#access-listaccess-list-numberpermitsource[source-wildcard]
Router(config)#ipnatinsidesourcelistacl-numberinterfaceinterfaceoverload
Router(config)#interfacetypenumber
Router(config-if)#ipnatinside
Router(config)#interfacetypenumber
Router(config-if)#ipnatoutside
参数说明:
Name:
地址池的名字
start-ip:
地址池中可用的最小的IP地址。
end-ip:
地址池中可用的最小的IP地址。
netmask:
网络掩码。
prefix-length:
地址池的长度。
Source:
允许被转换的私有地址。
local-ip:
要进行转换的内部私有网络地址。
global-ip:
可以用来转换的公有地址。
ipnatinside:
将该接口标记为与内部连接。
ipnatoutside:
将该接口标记为与外部连接。
例如:
在图4-1的拓扑图的路由器上对内部私有网络进行动态NAT配置如下:
Router(config)#ipnatpoolfynp172.1.10.2172.1.10.2netmask255.255.255.255
Router(config)#access-list11permit192.168.1.00.0.0.255
Router(config)#ipnatinsidesourcelist11poolfynpoverload
Router(config)#interfacef0/0
Router(config-if)#ipnatinside
Router(config)#interfaces0/0
Router(config-if)#ipnatoutside
在上个实验的基础上做这个实验一定要先把list删掉或者noipnatinsidesourcelist11pooldtnp再noipnatpooldtnp172.1.10.2172.1.10.7netmask255.255.255.248。
否则会出现:
%Pooldtnpinuse,cannotdestroy。
Router#showipnat
ProInsideglobalInsidelocalOutsidelocalOutsideglobal
icmp172.1.10.2:
17192.168.1.2:
17172.1.1.2:
17172.1.1.2:
17
icmp172.1.10.2:
18192.168.1.2:
18172.1.1.2:
18172.1.1.2:
18
icmp172.1.10.2:
19192.168.1.2:
19172.1.1.2:
19172.1.1.2:
19
icmp172.1.10.2:
20192.168.1.2:
20172.1.1.2:
20172.1.1.2:
20
icmp172.1.10.2:
5192.168.1.3:
5172.1.1.2:
5172.1.1.2:
5
icmp172.1.10.2:
6192.168.1.3:
6172.1.1.2:
6172.1.1.2:
6
icmp172.1.10.2:
7192.168.1.3:
7172.1.1.2:
7172.1.1.2:
7
icmp172.1.10.2:
8192.168.1.3:
8172.1.1.2:
8172.1.1.2:
8
---172.1.10.1192.168.10.2------
你会发现内部的私有IP全都转换成了172.1.10.2。
13.2实验1:
静态NAT配置
1、实验目的
通过本实验掌握静态ACL的配置.
2、虚拟场景
假设某公司有1台服务器,100台电脑,ISP分配172.1.10.4——172.1.10.7的公有地址空间,请你做地址规划并配置NAT。
再次试验中要使服务器和外网通信。
3、实验拓扑
图4-2拓扑图
4、实验步骤
步骤1:
在各路由器上配置IP地址和串口时钟,保证直连链路的连通
在路由器Router1上按图4-2进行设置如下:
Router1>enable
Router1#configterminal
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router1(config)#interf0/0
Router1(config-if)#ipaddress192.168.10.1255.255.255.0
Router1(config-if)#noshutdown
Router1(config-if)#interf0/1
Router1(config-if)#ipaddress172.16.1.1255.255.255.252
Router1(config-if)#noshutdown
Router1(config-if)#inters0/0
Router1(config-if)#ipaddress192.168.20.1255.255.255.252
Router1(config-if)#noshutdown
Router1(config)#iproute0.0.0.00.0.0.0s0/0
在Router0上按图4-2进行设置如下:
Router0>enable
Router0#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router0(config)#inters0/0
Router0(config-if)#ipaddress192.168.20.2255.255.255.252
Router0(config-if)#clockrate64000
Router0(config-if)#noshutdown
Router0(config-if)#inters0/1
Router0(config-if)#ipaddress172.1.10.1255.255.255.248
Router0(config-if)#noshutdown
Router0(config)#iprout172.16.0.0255.255.0.0s0/0
Router0(config)#iprout192.168.0.0255.255.0.0s0/0
Router0(config)#iprout0.0.0.00.0.0.0s0/1
步骤2:
在路由器Router0上配置静态NAT
Router0(config)#ipnatinsidesourcestatic172.16.1.1172.1.10.3
Router0(config)#interfaces0/0
Router0(config-if)#ipnatinside
Route0r(config)#interfaces0/1
Router0(config-if)#ipnatoutside
5、实验调试及注意事项
查看路由器的地址转换表表
Router0(config)#doshowipnat
ProInsideglobalInsidelocalOutsidelocalOutsideglobal
---172.1.10.4172.16.1.1------
在服务器与ISP的连通性
Router#ping172.1.10.4
Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto172.1.10.4,timeoutis2seconds:
!
!
!
!
!
Successrateis100percent(5/5),round-tripmin/avg/max=62/62/63ms
SERVER>ping172.1.10.2
Pinging172.1.10.2with32bytesofdata:
Replyfrom172.1.10.2:
bytes=32time=93msTTL=253
Replyfrom172.1.10.2:
bytes=32time=80msTTL=253
Replyfrom172.1.10.2:
bytes=32time=78msTTL=253
Replyfrom172.1.10.2:
bytes=32time=94msTTL=253
Pingstatisticsfor172.1.10.2:
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=78ms,Maximum=94ms,Average=86ms
注意事项:
(1)、注意每台路由器的路由配置。
(2)、NAT是否转换成功可以用showipnattranslations命令进行测试。
(3)、可以用ping检测是否内部服务器是否和外界互通。
(4)、在超时之前清除动态条目,使用clearipnattranslation全局命令
6、实验思考问题:
(1)、按上面拓扑图所示,内部网络是否互通?
(2)、为什么要加这两条路由:
Router0(config)#iprout172.16.0.0255.255.0.0s0/0
Router0(config)#iprout192.168.0.0255.255.0.0s0/0
13.3实验2:
动态NAT配置
1、实验目的
通过本实验掌握动态NAT的配置。
2、虚拟场景
假设某公司有1台服务器,100台电脑,ISP分配172.1.10.4——172.1.10.7的公有地址空间,请你做地址规划并配置NAT。
再次试验中要使全网互通。
3、实验拓扑:
如图4-2
4、实验步骤
步骤1:
在实验1的基础上配置动态NAT
Router0(config)#ipnatpooldtnat172.1.10.5172.1.10.7netmask255.255.255.252
Router0(config)#access-list11permit192.168.0.00.0.255.255
Router0(config)#ipnatinsidesourcelist11pooldtnat
Router0(config)#interfaces0/0
Router0(config-if)#ipnatinside
Router0(config)#interfaces0/1
Router0(config-if)#ipnatoutside
5、实验调试及注意事项
查看路由器的NAT转换表
Router0#showipnatranslations
ProInsideglobalInsidelocalOutsidelocalOutsideglobal
icmp172.1.10.5:
25192.168.10.2:
25172.1.10.2:
25172.1.10.2:
25
icmp172.1.10.5:
26192.168.10.2:
26172.1.10.2:
26172.1.10.2:
26
icmp172.1.10.5:
27192.168.10.2:
27172.1.10.2:
27172.1.10.2:
27
icmp172.1.10.5:
28192.168.10.2:
28172.1.10.2:
28172.1.10.2:
28
icmp172.1.10.6:
13192.168.10.3:
13172.1.10.2:
13172.1.10.2:
13
icmp172.1.10.6:
14192.168.10.3:
14172.1.10.2:
14172.1.10.2:
14
icmp172.1.10.6:
15192.168.10.3:
15172.1.10.2:
15172.1.10.2:
15
icmp172.1.10.6:
16192.168.10.3:
16172.1.10.2:
16172.1.10.2:
16
---172.1.10.4172.16.1.2-----
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第13章 NAT的基本配置 13 NAT 基本 配置