|
CISCO基本NAT配置路由交換機(jī):思科 2007-08-01 13:37:56 閱讀2299 評(píng)論1 字號(hào):大中小 訂閱
基本NAT配置
一. 實(shí)驗(yàn)?zāi)康?
本實(shí)驗(yàn)的目的是通過(guò)配置靜態(tài)地址傳輸�����,動(dòng)態(tài)地址傳輸��,讓學(xué)員對(duì)NAT的工作原理有初步的認(rèn)識(shí)�����,掌握NAT在路由器上的配置方法,對(duì)NAT在網(wǎng)絡(luò)上的應(yīng)用有更深的了解����。
二. 實(shí)驗(yàn)原理
1. 什么是NAT?
NAT即Network Address Translation,它可以讓那些使用私有地址的內(nèi)部網(wǎng)絡(luò)連接到Internet或其它IP網(wǎng)絡(luò)上��。NAT路由器在將內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包發(fā)送到公用網(wǎng)絡(luò)時(shí)���,在IP包的報(bào)頭把私有地址轉(zhuǎn)換成合法的IP地址���。
2.在NAT實(shí)驗(yàn)中需要理解的術(shù)語(yǔ):
1) 內(nèi)部局部地址(Inside Local):在內(nèi)部網(wǎng)絡(luò)中分配給主機(jī)的私有IP地址��。
2) 內(nèi)部全局地址(Inside Global):一個(gè)合法的IP地址��,它對(duì)外代表一個(gè)或多個(gè)內(nèi)部局部IP地址����。
3) 外部全局地址(Outside Global):由其所有者給外部網(wǎng)絡(luò)上的主機(jī)分配的IP地址�����。
4) 外部局部地址(Outside Local):外部主機(jī)在內(nèi)部網(wǎng)絡(luò)中表現(xiàn)出來(lái)的IP地址����。
3.NAT的優(yōu)點(diǎn)和缺點(diǎn):
NAT的優(yōu)點(diǎn):
(1) 對(duì)于那些家庭用戶或者小型的商業(yè)機(jī)構(gòu)來(lái)說(shuō),使用NAT可以更便宜��,更有效率地接入Internet�。
(2) 使用NAT可以緩解目前全球IP地址不足的問(wèn)題。
(3) 在很多情況下��,NAT能夠滿足安全性的需要��。
(4) 使用NAT可以方便網(wǎng)絡(luò)的管理,并大大提高了網(wǎng)絡(luò)的適應(yīng)性��。
NAT的缺點(diǎn):
(1) NAT會(huì)增加延遲,因?yàn)橐D(zhuǎn)換每個(gè)數(shù)據(jù)包包頭的IP地址,自然要增加延遲.
(2) NAT會(huì)使某些要使用內(nèi)嵌地址的應(yīng)用不能正常工作.
4.NAT的工作原理:
當(dāng)內(nèi)部網(wǎng)絡(luò)中的一臺(tái)主機(jī)想傳輸數(shù)據(jù)到外部網(wǎng)絡(luò)時(shí)�����,它先將數(shù)據(jù)包傳輸?shù)絅AT路由器上���,路由器檢查數(shù)據(jù)包的報(bào)頭���,獲取該數(shù)據(jù)包的源IP信息,并從它的NAT映射表中找出與該IP匹配的轉(zhuǎn)換條目�,用所選用的內(nèi)部全局地址(全球唯一的IP地址)來(lái)替換內(nèi)部局部地址,并轉(zhuǎn)發(fā)數(shù)據(jù)包�。
當(dāng)外部網(wǎng)絡(luò)對(duì)內(nèi)部主機(jī)進(jìn)行應(yīng)答時(shí),數(shù)據(jù)包被送到NAT路由器上��,路由器接收到目的地址為內(nèi)部全局地址的數(shù)據(jù)包后�,它將用內(nèi)部全局地址通過(guò)NAT映射表查找出內(nèi)部局部地址��,然后將數(shù)據(jù)包的目的地址替換成內(nèi)部局部地址�����,并將數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部主機(jī)。
5.NAT配置中的常用命令:
ip nat {inside|outside}:接口配置命令�。以在至少一個(gè)內(nèi)部和一個(gè)外部接口上啟用NAT。
ip nat inside source static local-ip global-ip:全局配置命令���。在對(duì)內(nèi)部局部地址使用靜態(tài)地址轉(zhuǎn)換時(shí)��,用該命令進(jìn)行地址定義���。
access-list access-list-number {permit|deny} local-ip-address:使用該命令為內(nèi)部網(wǎng)絡(luò)定義一個(gè)標(biāo)準(zhǔn)的IP訪問(wèn)控制列表。
ip nat pool pool-name start-ip end-ip netmask netmask [type rotary]:使用該命令為內(nèi)部網(wǎng)絡(luò)定義一個(gè)NAT地址池�����。
ip nat inside source list access-list-number pool pool-name [overload]:使用該命令定義訪問(wèn)控制列表與NAT內(nèi)部全局地址池之間的映射���。
ip nat outside source list access-list-number pool pool-name [overload]:使用該命令定義訪問(wèn)控制列表與NAT外部局部地址池之間的映射�����。
ip nat inside destination list access-list-number pool pool-name:使用該命令定義訪問(wèn)控制列表與終端NAT地址池之間的映射���。
show ip nat translations:顯示當(dāng)前存在的NAT轉(zhuǎn)換信息。
show ip nat statistics:查看NAT的統(tǒng)計(jì)信息。
show ip nat translations verbose:顯示當(dāng)前存在的NAT轉(zhuǎn)換的詳細(xì)信息�。
debug ip nat:跟蹤NAT操作,顯示出每個(gè)被轉(zhuǎn)換的數(shù)據(jù)包���。
Clear ip nat translations *:刪除NAT映射表中的所有內(nèi)容.
三. 實(shí)驗(yàn)設(shè)備
Cisco路由器兩部���,帶超級(jí)終端的PC機(jī)三臺(tái),Cisco集線器兩臺(tái)���。
四. 實(shí)驗(yàn)步驟
(一) 靜態(tài)NAT��,單向動(dòng)態(tài)NAT和PAT:
此主題相關(guān)圖片如下:
1�����、配置路由器端口的IP地址��,并在RouterB和RouterC上配置到202.116.78.0網(wǎng)段的靜態(tài)路由��。
2��、在RouterA上分別為RouterB和RouterC配置一條到達(dá)內(nèi)部全局地址的靜態(tài)路由���。完成配置后使用show ip route,show interface,show running-configuration查看路由配置的正確性��。
RouterA#config t
RouterA(config)#ip route 202.116.65.0 255.255.255.0 202.116.64.1
RouterA(config)#ip route 202.116.67.0 255.255.255.0 202.116.66.1
3�����、在RouterA的f0端口配置ACL過(guò)濾掉所有私有地址����。
(1)靜態(tài)NAT:
以RouterB為例
RouterB#config t
RouterB(config)# ip nat inside source static 10.0.1.2 202.116.65.1
RouterB(config)#int f0
RouterB(config-if)#ip nat inside
RouterB(config-if)#int s0
RouterB(config-if)#ip nat outside
查看靜態(tài)NAT的配置:
RouterB#show ip nat translations
RouterB#show ip nat statistics
RouterB#show ip nat translations verbose
RouterB#debug ip nat
檢驗(yàn)靜態(tài)NAT:
在Host_1上ping 202.116.65.1是否成功?
在Host_3上ping Host_1是否成功�����?
現(xiàn)在再由Host_1 ping 202.116.65.1是否成功�����?
為什么����?
(2)動(dòng)態(tài)NAT(先刪除靜態(tài)NAT的配置):
以RouterB為例NAT
RouterB#config t
RouterB(config)# ip nat pool CISCO 202.116.65.1 202.116.65.254 netmask 255.255.255.0
RouterB(config)# access-list 1 permit 10.0.1.2 0.0.0.255
RouterB(config)#ip nat inside source list 1 pool CISCO
RouterB(config)#int f0
RouterB(config-if)#ip nat inside
RouterB(config-if)#int s0
RouterB(config-if)#ip nat outside
用(1)中的命令查看動(dòng)態(tài)NAT的配置。
檢驗(yàn)動(dòng)態(tài)NAT�。
(3)PAT(刪除所有NAT配置,保留ACL的配置):
以RouterB為例
RouterB(config)#int loop0
RouterB(config-if)#ip address 202.116.65.1 255.255.255.0
RouterB(config-if)#no shut
RouterB(config)#ip nat inside source list 1 interface loop0 overload
*************************************************************
cisco路由器端口NAT映射cisco 常用實(shí)例 2009-06-04 02:57:29 閱讀198 評(píng)論0 字號(hào):大中小 訂閱
2621>en
2621#conf t
2621(config)#int fa0/0
2621(config-if)#ip add 192.168.1.1 255.255.255.0 //定義端口的ip地址
2621(config-if)#no sh //激活端口
2621(config-if)#ip nat inside //定義fa0/0為內(nèi)部端口
2621(config-if)#exit //退回全局配置模式 這一步不是必須的�,也可以直接用int fa0/1 切換到fa0/1端口
2621(config)#int fa0/1
2621(config-if)# ip add 211.82.20.129 255.255.255.252
2621(config-if)#no sh
2621(config-if)#ip nat outside //定義fa0/1為外部端口
2621(config-if)#exit
2621(config)#access-list 9 permit 192.168.1.0 0.0.0.255 //定義需要訪問(wèn)Internet的本地網(wǎng)絡(luò)的訪問(wèn)列表
2621(config)#ip nat pool isp 211.82.20.129 211.82.20.129 netmask 255.255.255.252 //定義NAT地址池��,這一步可以省略����,由于此IP地址位于路由器的端口����,所以,可以不定義NAT池��,只使用 ip nat inside source list 命令即可!
2621(config)#ip nat inside source list 9 pool isp overload //定義端口復(fù)用地址轉(zhuǎn)換�,注意,這里是使用了地址池的情況�����,如果沒(méi)有定義nat地址
池�,可以使用 ip nat inside source list 9 interface fa0/1 overload 來(lái)啟用端口復(fù)用轉(zhuǎn)換。
2621(config)#ip nat inside source static tcp 192.168.1.2 80 211.82.20.129 80 //定義web服務(wù)器的靜態(tài)端口轉(zhuǎn)換
2621(config)#ip nat inside source static tcp 192.168.1.2 21 211.82.20.129 21 //定義FTP服務(wù)器的靜態(tài)端口轉(zhuǎn)換
2621(config)# ip route 0.0.0.0 0.0.0.0 interface fa0/1 //定義靜態(tài)路由�,如果你內(nèi)網(wǎng)不需要訪問(wèn)Internet ,這一步可以省掉��。
2621#copy run start //保存配置
*******************************************************************
近整理了CCNA所有的筆記�,清理一下自己的思維,算是對(duì)以前知識(shí)的溫習(xí)���,如果不太懂地址轉(zhuǎn)換(NAT)就進(jìn)來(lái)看看 ���,希望凡子能幫上忙
復(fù)習(xí)Cisco三種Nat配置筆記
*******************************全部采用端口************************
ISP分配的IP202.99.160.129
interface fastethernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
in nat inside
no shutdown
interface fastethernet0/1
ip address 192.168.2..1 255.255.255.0
duplex auto
speed auto
in nat outside
no shutdown
ip nat pool OnlyYou 202.99.160.130 202.99.160.130 netmask 255.255.255.252
//OnlyYou代表地址池的名稱。 2個(gè)202.99.160.130是代表只用一個(gè)ip做轉(zhuǎn)換后ip.
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
ip nat inside source list1 pool OnlyYou overload
***********************動(dòng)態(tài)地址轉(zhuǎn)換+端口***********************
ISP分配的IP 有:202.99.160.130~190 255.255.255.192
Interface fastethernet0/1
Ip address 192.168.1.1 255.255.255.0
Ip address 192.168.2.1 255.255.255.0 secondary
Duplex auto
Speed auto
Ip nat inside
No shutdown
Interface serial 0/0
Ip address 202.99.160.129 255.255.255.192
Duplex auto
Speed auto
Ip nat outside
No shutdwon
Ip nat pool OutPort 202.99.160.190 202.99.160.190 netmask 255.255.255.192
Ip nat pool OutPool 202.99.160.130 202.99.160.190 netmask 255.255.255.192
Ip nat inside source list1 pool OutPort //192.168.1.0段主機(jī)全部轉(zhuǎn)成202.99.160.190
Ip nat inside source list2 pool OutPool
//出于訪問(wèn)ftp站點(diǎn)等考慮:192.168.2.0和192.168.3.0段主機(jī)全部
//轉(zhuǎn)成202.99.160.130到202.99.160.189中的所有地址�����。
Access-list1 permit 192.168.1.0 0.0.0.255
Access-list2 permit 192.168.2.0 0.0.0.255
Access-list2 permit 192.168.3.0 0.0.0.255
***********************靜態(tài)地址轉(zhuǎn)換***********************
ISP分配的IP地址是:211.82.220.80~211.82.220.87
211.82.220.81 255.255.255.248
要求Intranet上的Web.E-mail.Ftp.Media可以被外部訪問(wèn).
Interface fastethernet0/0
Ip address 192.168.1.1 255.255.255.0
Duplex auto
Speed auto
Ip nat inside
No shutdown
Interface fastethernet0/1
Ip address 211.82.220.81 255.255.255.248
Speed auto
Duplex auto
Ip nat outside
No shutdown
Ip nat pool Outpool 211.82.220.86 211.82.20.86 netmask 255.255.255.248
Access-list 1 permit 192.168.1.2 0.0.0.255
Access-list 1 permit 192.168.1.3 0.0.0.255
Access-list 1 permit 192.168.1.4 0.0.0.255
Access-list 1 permit 192.168.1.5 0.0.0.255
Ip nat inside source list1 pool Outpool overload
Ip nat inside source static 192.168.1.2 211.82.220.82
Ip nat inside source static 192.168.1.3 211.82.220.83
Ip nat inside source static 192.168.1.4 211.82.220.84
Ip nat inside source static 192.168.1.5 211.82.220.85
******************NAT映射****************************
如果ISP提供的IP地址比較多還可以,但如果不是的時(shí)候(如就兩個(gè)時(shí)),一個(gè)用于內(nèi)網(wǎng)地址轉(zhuǎn)換,另一個(gè)用于對(duì)外網(wǎng)提供服務(wù).
ISP提供的內(nèi)網(wǎng)上網(wǎng)IP
Interface ethernet0
Ip address 192.168.1.1 255.255.255.0
Duplex auto
Speed auto
Ip nat inside
No shutdown
Interface fastethernet0/0
Ip address 211.82.220.129 255.255.255.248
Duplex auto
Speed auto
Ip nat outside
No shutdown
Access-list 1 permit 192.168.1.0 0.0.0.255
Ip nat pool Everybody 211.82.220.130 211.82.220.130 network 255.255.255.252
Ip nat inside source list1 pool Everybody overload
Ip nat inside source static tcp 192.168.1.2 80 202.99.220.130 80
Ip nat inside source static tcp 192.168.1.3 21 202.99.220.130 21
Ip nat inside source static tcp 192.168.1.4 25 202.99.220.130 25
Ip nat inside source static tcp 192.168.1.5 110 202.99.220.130 110
*******************利用地址轉(zhuǎn)換實(shí)現(xiàn)負(fù)載均衡********************
;當(dāng)有如象騰訊公司似的多服務(wù)器時(shí),使用路由器實(shí)現(xiàn)負(fù)載平衡,可以使它們有平等的訪問(wèn)機(jī)會(huì).
Interface fastethernet0/1
Ip address 192.168.1.1 255.255.255.0
Duplex auto
Speed auto
Ip nat inside
No shutdown
Interface fastethernet0/0
Ip address 202.110.198.81 255.2555.255.248
Duplex auto
Speed auto
Ip nat outside
Access-list 1 permit 202.110.198.82
Access-list 2 permit 202.110.198.83
Access-list 3 permit 192.168.1.0 0.0.0.255
Ip nat pool Webser 192.168.1.2 192.168.1.3 255.255.255.248 type rotary
Ip nat pool Ftpser 192.168.1.4 192.168.1.5 255.255.255.248 type rotary
Ip nat pool normal 202.110.198.84 202.110.198.84 netmask 255.255.255.248
Ip nat inside destination list 1 pool Webser
Ip nat inside destination list 2 pool Ftpser
|
