配置NAT.docx
《配置NAT.docx》由会员分享,可在线阅读,更多相关《配置NAT.docx(50页珍藏版)》请在冰点文库上搜索。
配置NAT
第12章配置NAT
NAT是在用户私有IP地址与Internet上是合法IP地址之间进行转换,用以解决Internet上IP地址资源短缺和用户接入安全检查性问题的一项技术。
新的CCNA考试中,加入了对NAT技术的考察,其中既包括理论上的,也包括实际配置方面的要求。
本章主要从实验角度帮助读者理解、配置和监测NAT。
12.1NAT技术概论
NAT,即NetworkAddressTranslation,可译为网络地址转换或网络地址翻译。
当前的Internet面临两大问题,即可用IP地址的短缺和路由表的不断增大,这使得众多用户的接入出现困难。
使用NAT技术可以使一个机构内的所有用户通过有限的数个(或1个)合法的IP地址访问Internet,从而节省了Internet上的合法的IP地址的;另一方面,通过地址转换,可以隐藏内网上主机的真实IP地址,从而提高网络的安全性。
在CCNA阶段,主要考查NAT的基本技术,应试者应掌握下述的NAT术语和几个典型的地址转换类型。
1.NAT术语
在NAT中,有4个地址术语是必须正确理解的,它们是InsideLocal、InsideGlobal、OutsideLocal和OutsideGlobal。
在这些术语中,Inside(内部)是指那些由机构或企业所拥有的内部网络,这些网络上的主机通常分配有私有IP地址,这些地址不能直接在Internet上进行路由,从而也就不能直接用于对Internet的访问,必须通过网络地址的转换,以合法的IP的身份来访问Internet。
前者即InsideLocal地址,后者则为InsideGlobal地址。
Local(本地)的地址是不能在Internet上通信的IP地址;Global(全局)的地址是能在Internet上通信的地址。
Outside(外部)是指除了我们考查的内部网络之外的所有网络,主要指Internet。
有了对Inside、Outside、Local和Global的解释,让我们看一看4个地址的定义。
●InsideLocalAddress(内部本地地址)
指一个网络内部分配给网上主机的IP地址,此地址通常不是Internet上的合法地址,即不是网络信息中心(NIC)或Internet服务商(ISP)所分配的IP地址。
●InsideGlobalAddress(内部全局地址)
用来代替一个或者多个内部本地IP地址的、对外的、Internet上的合法的IP地址
●OutsideLocalAddress(外部本地地址)
一个外部主机相对于内部网所用的IP地址。
此地址需要是Internet上的合法地址,但是从内部网可以进行路由的地址空间中进行分配的。
●OutsideGlobalAddress(外部全局地址)
由主机拥有者分配给在外部网上主机的IP地址。
此地址是从一个从全局可路由的地址或网络空间中分配的。
2.静态内部源地址转换
所谓静态内部源地址转换是指将一个内部本地的IP地址转换成为惟一的内部全局地址,即私有地址和合法地址之间的静态一一映射.这种转换通常用在内部网上的主机需要对外提供服务(如WEB\E-MAIL服务等)的情况下.
3.动态内部源地址转换
在动态内部源地址转换的方式下,一组内部本地地址与一个内部全局地址池之间建立起一种动态的一一映射关系.这种地址转换形式下,内部主机可以访问外部网络,外部主机也能对内部网络进行访问,但必须是在内网IP地址与内部全局地址之间存在映射关系时才能成功,并且这种映射关系是动态的.
4.复用内部全局地址
CISCO路由器可以把内部全局地址进行复用性的转换,从而实现内部本地地址对内部全局地址的多对一的映射.地址复用被启动时,路由器在高层协议(如TCP或UDP端口号)维持有关的信息,将全局地址转换为本地地址.当多个内部本地地址映射到同一个全局地址时,端口号将用来区别不同的本地地址.复用内部全局地址的技术也被称为PAT(portaddresstranslation)
12.2实验1:
配置和监测静态内部源地址转换
本节进行静态内部源地址转换的实验,这是NAT技术中最简单的一种形式,通过此实验可以理解NAT中重要的概念和机制.
1.实验目的
通过本实验,读者可以掌握以下技能:
●配置静态内部源地址转换NAT
●查看NAT相关信息
●监测IP的转换
●监测内网和外网间的双向连通性
2.设备需求
本实验需要以下设备:
⏹CISCO路由器三台,分别命名为R1、R2和R3,其中R1要求具有1个串行接口和1个以太网接口;R2要求具有1个串行接口;R3要求具有1个以太网接口,R3也可以使用1台带网卡的PC机代替。
⏹DCE和DTE电缆各1条(或1条DCE转DTE电缆)
⏹1条交叉线序的双绞线
⏹1台终端服务器,如CISCO2590路由器,及用于反向TELNET的相应电缆
⏹1台带有超级终端程序的PC机,以及CONSOLE电缆及转接器.
3.拓扑结构及配置说明
202.1.1.2/24
L0
本实验的拓扑结构如图12-1所示
200.1.1.1/24
R2
图 12-1 实验1网络拓扑结构
172.16.1.3/24
172.16.1.1/24
200.1.1.2/24
S0
S0
E0
E0
R1
R3
R1路由器负责NAT的转换;R2作为外网节点;R3代替内网中的主机使用。
准备实验时,用DCE和DTE电缆把R1和R2路由器连接起来;使用交叉双绞线把R2和R3路由器连接起来。
各路由器使用的接口及其IP地址如图12-1中的标注。
本实验要求通过使用静态NAT实现没有路由可达性的IP节点172.16.1.3和202.1.1.2之间的双向连通。
4.实验配置及监测结果
首先进行NAT的配置,然后使用有关命令对配置结果进行查看和监测。
第1部分:
配置静态内部源地址转换
静态NAT要求实现内网IP地址(InsideLocalAddress)对外网IP地址(InsideGlobalAddress)之间的一一映射,在实验中以一对地址的映射为例进行配置。
配置清单12-1列出了各路由器配置完成后的结果。
配置清单12-1配置静态内部源地址转换
第1段:
路由器R1的配置
Version12.1
Servicetimestampsdebuguptime
Servicetimestampsloguptime
Noservicepassword-encryption
!
HostnameR1
!
ipsubnet-zero
!
interfaceethernet0
ipaddress172.16.1.1255.255.255.0
ipnatinside
!
Interfaceserial0
Ipaddress200.1.1.1255.255.255.0
Ipnatoutside
!
Ipnatinsidesourcestatic172.16.1.3200.1.1.5
Ipclassless
Iproute0.0.0.00.0.0.0200.1.1.2
Iphttpserver
!
linecon0
lineaux0
linevty04
!
End
第二段:
路由器R2的配置
Version12.1
Servicetimestampsdebuguptime
Servicetimestampsloguptime
Noservicepassword-encryption
!
HostnameR2
!
ipsubnet-zero
!
interfacelookback0
ipaddress202.1.1.2255.255.255.0
!
Interfaceserial0
Ipaddress200.1.1.2255.255.255.0
Clockrate64000
!
Ipclassless
Iphttpserver
!
linecon0
transportinputnone
lineaux0
linevty04
passwordcisco
login
!
End
第3段:
路由器R3的配置
Version12.1
Servicetimestampsdebuguptime
Servicetimestampsloguptime
Noservicepassword-encryption
!
HostnameR3
!
ipsubnet-zero
noiprouting
noipfinger
!
interfaceethernet0
ipaddress172.16.1.3255.255.255.0
noiproute-cache
!
Ipdefault-gateway172.16.1.1
Ipclassless
Iphttpserver
!
linecon0
transportinputnone
lineaux0
linevty04
passwordcisco
login
!
End
(1)本实验的重点是对R1路由器的配置。
配置R1时,除了对接口进行了通常的配置之外,在E0接口配置了ipnatinside语句,在S0接口配置了ipnatoutside语句,指定了路由器的内部接口和外部接口。
(2)为了实现从R1到了202.1.1.2的可达性,加入了一条缺省路由。
当然也可以使用指定目的的网段(202.1.1.0/24)的静态路由实现。
使用缺省路由是机构用户对internet接入时的通常做法。
(3)R1路由器配置中最核心的配置语句是:
Ipnatinsidesourcestatic172.16.1.3200.1.1.5
它建立了172.16.1.3和200.1.1.5两个IP地址之间的静态映射。
其中内部本地址是172.16.1.3;内部全局地址是200.1.1.5。
需要特别注意的是200.1.1.5不是任何接口上的IP地址,它属于网段200.1.1.0/24(S0接口所在的网段)。
可以在一台路由器上定义多对IP地址的静态映射。
(4)在R2路由器上是常规的配置,需要说明的是其上没有任何路由设置,这样保证了从R2到内部网172.16.1.0/24之间在路由上是不能连通的。
为了监测的方便,在R2上配置了VTY口令。
(5)R3路由器作为一台纯粹的主机来使用。
在配置上,首先用noiprouting命令关闭了该路由器的路由功能;然后用ipdefault-gateway命令指定了它的缺省网关为172.16.1.1,即R1路由器的E0接口,这一点和在PC机上指定缺省网关具有相同的作用。
在R3路由器上同样也配置了VTY口令。
第2部分:
查看和监测静态内部源地址转换
接下来将使用一系列命令来查看和监测静态NAT的相关信息的转换过程。
在监测清单12-1中记录了命令的使用及相应结果。
监测清单12-1查看和监测静态内部源地址转换
第1段:
监测和查看NAT操作
R3#ping
Protocol[ip]:
TargetIPaddress:
202.1.1.2
Repeatcount[5]:
5000
Datagramsize[100]:
Timeoutinseconds[2]:
Extendedcommands[n]:
Sweeprangeofsizes[n]:
Typeescapesequencetoabort.
Sending5000,100-byteICMPechosto202.1.1.2,timeoutis2seconds:
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
Term_server>1
[resumingconnection1tor1…]
R1#debugipnat
Ipnatdebuggingison
R1#
01:
57:
35:
NAT*:
s=172.16.1.3->200.1.1.5,d=202.1.1.2[1068]
01:
57:
35:
NAT*:
s=202.1.1.2,d=200.1.1.5,->172.16.1.3[1068]
01:
57:
36:
NAT*:
s=172.16.1.3->200.1.1.5,d=202.1.1.2[1069]
01:
57:
36:
NAT*:
s=202.1.1.2,d=200.1.1.5,->172.16.1.3[1069]
01:
57:
36:
NAT*:
s=172.16.1.3->200.1.1.5,d=202.1.1.2[1070]
01:
57:
36:
NAT*:
s=202.1.1.2,d=200.1.1.5,->172.16.1.3[1070]
01:
57:
36:
NAT*:
s=172.16.1.3->200.1.1.5,d=202.1.1.2[1071]
01:
57:
36:
NAT*:
s=202.1.1.2,d=200.1.1.5,->172.16.1.3[1071]
01:
57:
36:
NAT*:
s=172.16.1.3->200.1.1.5,d=202.1.1.2[1072]
01:
57:
36:
NAT*:
s=202.1.1.2,d=200.1.1.5,->172.16.1.3[1072]
…(此处删节)
01:
57:
36:
NAT*:
s=202.1.1.2,d=200.1.1.5,->172.16.1.3[1079]
01:
57:
36:
NAT*:
s=172.16.1.3->200.1.1.5,d=202.1.1.2[1080]
R1#undeball
Showipnatstatistics
Totalactivetranslations:
1(1static,0dynameic;0extended)
Outsideinterfaces:
Serial0
Insideinterfaces:
Ethernet0
Hits:
9938misses:
0
Expiredtranslations:
0
Dynameicmappings:
R1#shipnattranslations
Proinsideglobalinsidelocaloutsidelocaloutsideglobal
---200.1.1.5172.16.1.3------
第2段:
测试双向连通性
R1#
Term_server>3
[Resumingconnection3tor3…]
R3#telnet202.1.1.2
Trying202.1.1.2…Open
UserAccessVerification
Password:
(键入cisco)
R2>
R2>exit
[Connectionto202.1.1.2 closedbyforeignhost]
R3#
Term_Server>3
[Resumingconnection2tor2…]
R2#telnet200.1.1.5
Trying200.1.1.5…open
UserAccessVerification
Password:
(键入cisco)
R3>exit
[Connectionto200.1.1.5closedbyforeignhost]
R2#
R2#ping172.16.1.3
Typeescapesequencetoabort.
Sending5,100byteICMPEchosto172.16.1.3,timeoutis2seconds:
…..
Successrateis0percent(o/5)
R2#ping200.1.1.5
Typeescapesequencetoabort.
Sending5,100byteICMPEchosto200.1.1.5,timeoutis2seconds:
!
!
!
!
Successrateis100percent(5/5),round-tripmin/avg/max=40/40/40ms
(1)在监测清单的第1段中,为了有效监测R1路由器上的NAT操作,首先在R3上使用扩展的ping发出500个IP包。
(2)在R1路由器上发出debugipnat指令,打开对NAT的监测。
监测结果的第1行显示,R1路由器把从R3传来的源地址为172.16.1.3的IP包转换为源地址为200.1.1.5的IP包。
其目的地址是202.1.1.2,在这个转换过程中目的地址不变。
监测结果的第2行显示,R1路由器把从R2传来的源地址为202.1.1.2、目的地址为200.1.1.5的IP包转换为目的地址为172.16.1.3的IP包,在这个转换过程中源地址不变。
后续的若干行是前两行的重复,表明更多的IP包被R1路由器进行了双向的转换。
在第一行末尾括号内的数字是转换的序号。
(3)showipnatstatistics命令列出的R1路由器的NAT统计信息,主要信息为:
总的NAT活动转换数为1,其中静态转换数为1,其余类型的转换数为0;
NAT外部接口为串行接口0;
NAT内部接口为以太网接口0;
进行了9938次转换。
(4)showipnattranslations命令列出当前的NAT转换,其中的insideglobal和insidelocal地址正是我们在第1部分中所设定的。
(5)在第2段的实验记录中,测试了内网地址172.16.1.3和外网地址202.1.1.2的双向连通性。
选用telnet作为测试工具,是因为登录时的远程主机名可以明确地标识出真正的连接对象来,便于确认最终连接的对象。
(6)从R3到202.1.1.2的远程登录是成功的,表明从内网到外网的连通可以成功实现。
(7)从R2到R3的telnet使用的目的地址是202.1.1.5,这一地址在R1上静态映射到172.16.1.3地址上,所以真正登录的主机是R3。
远程登录的结果也是成功的,即从外网到内网的连通也是正常的。
(8)从外网到内网中已经建立静态映射主机的访问需要使用映射后的IP地址(即内部全局地址),如果使用真实地址,则访问将失败,这是因为从外网没有到达内网的路由存在。
可以看到,从R2对172.16.1.3的ping测试是失败的;而对202.1.1.5的ping测试是成功的。
12.3实验2:
配置和监测动态内部源地址转换
本节进行动态内部源地址转换的配置,同时查看和测试NAT相关信息和操作。
1.实验目的
通过本实验,读者可以掌握以下技能:
●配置动态内部源地址转换NAT
●查看NAT相关信息
●监测IP地址的转换
●测试动态内部源地址转换的双向连通性
2.设备需求
本实验所需设备与本意实验1相同,参见实验1设备需求部分。
3.拓扑结构及配置说明
本实验的拓扑结构如图12-2所示
路由器的角色安排如下:
●R1路由器负责内、外网的连接及NAT转换
●R2路由器作为外网节点,并模拟多个外网主机
●R3路由器模拟内网上的多台主机
准备实验时,用DCE和DTE电缆把R1和R2路由器连接起来;使用交叉双绞线把R2和R3路由器连接起来。
Insideglobaladdress
200.1.1.1/29
200.1.1.2/29
200.1.1.3/29
200.1.1.4/29
200.1.1.5/29
200.1.1.6/29
各路由器使用的接口及其IP地址如图12-2中的标注。
202.1.1.1/24
202.1.1.2/24
202.1.1.3/24
202.1.1.4/24
L0
198.1.1.1//30
R1
R2
10.1.1.1/24
198.1.1.2/30
S0
S0
E0
E0
R3
10.1.1.1/24
10.1.1.2/24
10.1.1.3/24
10.1.1.4/24
10.1.1.5/24
10.1.1.6/24
10.1.1.7/24
图 12-2 实验2网络拓扑结构
本实验的环境实际上是局域网通过专线(DDN)接Internet的网络拓扑.当机构用户申请通过专线接入Internet时,ISP通常会分配给用户一个可用IP地址不多的网段供内网主机分配,如图12-2中的200.1.1.0/29(即200.1.1.0255.255.255.248)网段,它有图中标注的6个可用IP地址.
本实验演示的是把内网地址和给出网段上的地址之间进行动态地址转换,实现内网对外的访问.这是在上述拓扑环境下接入internet时NAT配置方式中的一种,即动态内部源地址转换。
4.实验配置及监测结果
下面在第1部分中首先进行动态NAT的配置,第2部分对配置结果进行查看和监测。
第1部分:
配置动态内部源地址转换
对各路由器的配置见配置清单12-2
配置清单12-2配置动态内部源地址转换
第1段:
路由器R1的配置
Version12.1
Servicetimestampsdebuguptime
Servicetimestampsloguptime
Noservicepassword-encryption
!
HostnameR1
!
ipsubnet-zero
!
interfaceethernet0
ipaddress10.1.1.10255.255.255.0
ipnatinside
!
Interfaceserial0
Ipaddress198.1.1.1255.255.255.252
Ipnatoutside
!
Ipnatpoollab2200.1.1.1