实验十 内外网结构下的网络地址转换end.docx
《实验十 内外网结构下的网络地址转换end.docx》由会员分享,可在线阅读,更多相关《实验十 内外网结构下的网络地址转换end.docx(26页珍藏版)》请在冰点文库上搜索。
实验十内外网结构下的网络地址转换end
实验十内外网结构下的网络地址转换(NAT/PAT)
【实验目的】
通过本实验理解网络地址转换的原理和技术,掌握扩展NAT/PAT设计、配置和测试。
【实验任务】
1、配置静态网络地址转换并完成相应的测试。
2、配置动态网络地址转换并完成相应的测试。
3、配置端口地址转换(PAT)并完成相应的测试。
建议实验学时:
4学时。
【实验背景】
本次实验在前两次实验的基础上,利用NAT和PAT技术实现私有地址和公有地址的相互转换,进一步增强校园网的安全性。
另外NAT和PAT也是解决IP地址不足的一个有效方法。
本次实验中我们有如下的应用需求:
1、将192.168.1.3静态NAT到218.58.59.93。
2、将192.168.1.5静态NAT到218.58.59.94。
3、将管理网段、行政网段的内部私有IP动态NAT到218.58.59.95和218.58.59.96。
4、将教学网段、宿舍网段的内部私有IP动态PAT到218.58.59.97。
学生在实验之前要理解网络地址转换的原理。
会使用Showrunning-config、Showipnattranslation等命令查看访问控制列表是否配置成功,以及在仿真环境中测试是否达到预期结果。
●静态NAT的配置。
1、Router(config)#ipnatinsidesourcestaticlocal-ipglobal–ip
参数说明:
local-ip:
内部本地地址。
被转换的地址。
global-ip:
内部全球地址。
用来转换内部本地地址的地址。
2、指定内外部接口,命令格式如下:
Router(config)#interfacetypeslot#/port#
Router(config-if)#ipnatinside
Router(config)#interfacetypeslot#/port#
Router(config-if)#ipnatoutside
●动态NAT的配置。
1、定义一个可以根据需要进行分配的全球地址池。
Router(config)#ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-lengthprefix-lengh}
参数说明:
name:
地址池名称。
start-ip:
地址池中地址范围的起始IP地址。
end-ip:
地址池中地址范围的结束IP地址。
netmask:
网络掩码。
prefix-lengh:
网络掩码中有多少位是1,规定地址池所属的网络的网络掩码。
2、定义一个标准访问控制列表。
Router(config)#access-listaccess-list-numberpermitsource[source-wildcard]
3、建立动态地址转换,它引用2中定义的访问控制列表。
Router(config)#ipnatinsidesourcelist{access-list-number|name}poolname
4、指定内外部接口,命令格式如下:
Router(config)#interfacetypenumber
Router(config-if)#ipnatinside
Router(config)#interfacetypenumber
Router(config-if)#ipnatoutside
●PAT的配置。
1、Router(config)#ipnatinsidesourcestaticlocal-ipglobal–ipoverload
2、指定内外部接口,命令格式如下:
Router(config)#interfacetypenumber
Router(config-if)#ipnatinside
Router(config)#interfacetypenumber
Router(config-if)#ipnatoutside
●内部地址和外部地址的说明。
对于网络地址转换的理解核心在于搞清楚NAT术语中所提到的四个地址。
insidelocal(内部本地地址):
在自有网络中(归自己管理,进行IP规划的网络)分配给私有主机的地址,一般情况下该地址是RFC1918中定义的私有地址。
insideglobal(内部全局地址):
私有主机使用的非自有网络的地址,通常情况下insideglobal地址是从合法的全球统一可寻址空间中分配的地址,也就是通常所说的公有IP。
outsidelocal(外部本地地址):
非私有主机在自有网络内表现出来的IP地址。
该地址是自有网络的管理员为本网络以外的设备所准备的用于在自有网络内使用的IP地址。
outsidelocal地址的特点是只会出现在自有网络内但是是供给非私有主机使用的。
outsideglobal(外部全局地址):
非私有主机在自有网络以外的区域使用的IP地址,是非私有主机所在网络的管理员负责管理其分配的。
outsideglobal地址的特点是不会出现在自有网络中而且不是给私有主机使用,不归自有网络的管理员负责。
【实验拓扑和配置参数】
图10.1实验拓扑
表10.1实验配置参数
路由器配置信息(子网掩码均为255.255.255.0)
主机名
类型
IP地址
RIP路由网络
时钟频率
InsideRouter
2620XM
Fa0/0:
192.168.1.2
Eth1/0:
192.168.2.1
Eth1/1:
192.168.3.1
Eth1/2:
192.168.4.1
Eth1/3:
192.168.5.1
192.168.1.0
192.168.2.0
192.168.3.0
192.168.4.0
192.168.5.0
EageRouter
2620XM
Fa0/0:
192.168.1.1
Ser0/0:
218.58.59.91
192.168.1.0
218.58.59.0
OutsideRouter
2620XM
Fa0/0:
218.58.100.1
Ser0/0:
218.58.59.90
218.58.59.0
218.58.100.0
9600
PC和Server配置信息(子网掩码均为255.255.255.0)
主机名
IP地址
默认网关
所属网段
PC0
192.168.2.2
192.168.2.1
192.168.2.0
PC1
192.168.2.3
192.168.2.1
192.168.2.0
PC2
192.168.3.2
192.168.3.1
192.168.3.0
PC3
192.168.4.2
192.168.4.1
192.168.4.0
PC4
192.168.5.2
192.168.5.1
192.168.5.0
PC5
218.58.100.2
218.58.100.1
218.58.100.0
WWW
192.168.1.3
192.168.1.1
192.168.1.0
FTP
192.168.1.4
192.168.1.1
192.168.1.0
SMTP
192.168.1.5
192.168.1.1
192.168.1.0
OutsideWWW
218.58.100.3
218.58.100.1
218.58.100.0
交换机和Hub配置信息
主机名
类型
所属网段
备注
Manage
2950-24
192.168.2.0
所属校园网管理网段
Administration
2950-24
192.168.3.0
所属校园网行政网段
Teach
2950-24
192.168.4.0
所属校园网教学网段
Student
2950-24
192.168.5.0
所属校园网宿舍网段
ServerArea
2950-24
192.168.1.0
DMZ区
Outside
2950-24
218.58.100.0
所属校外网
Hub0
Hub-PT
Hub-PT
【实验设备】
CiscoRouter2620XM3台
CatalystSwitch2950-246台
HubHub-PT1台
PCPC-PT5台
ServerServer-PT4台
【实验步骤】
步骤1
步骤1.1我们首先将192.168.1.3静态转换到218.58.59.93,配置过程如下:
EageRouter#configt
EageRouter(config)#ipnatinsidesourcestatic192.168.1.3218.58.59.93
EageRouter(config)#interfacefa0/0
EageRouter(config-if)#ipnatinside
EageRouter(config-if)#interfaces0/0
EageRouter(config-if)#ipnatoutside
EageRouter(config-if)#end
步骤1.2我们来查看一下刚才的配置。
EageRouter#showipnattranslations
ProInsideglobalInsidelocalOutsidelocalOutsideglobal
---218.58.59.93192.168.1.3------
以上显示信息说明配置已建立。
接下来我们进行测试,添加一个由PC5到218.58.59.93的ComplexPDU格式如图10.2:
图10.2PC5到218.58.59.93的HTTPComplexPDU设置
在Simulation模式下我们跟踪该PDU如图10.3所示:
图10.3Simulation模式下跟踪PC5到218.58.59.93的HTTPPDU
图10.4PC5到218.58.59.93的HTTPPDU实验结果
图10.4中PDU的Successful状态说明外网网段可以访问218.58.59.93上的HTTP资源。
步骤1.3实验结果分析
我们在Logical视图中单击EageRouter上的PDU,调出PDUInformation对话框,在OSIModel选项卡中我们可以清楚的看到IP地址的转换过程,OSIModel下方的英文信息说明这一点。
如图10.5所示:
图10.5EageRoute上PC5到218.58.59.93HTTPPDU的IP地址转换过程
步骤2
步骤2.1首先将192.168.1.5静态转换到218.58.59.94,配置过程如下:
EageRouter#configt
EageRouter(config)#ipnatinsidesourcestatic192.168.1.5218.58.59.94
EageRouter(config)#interfacefa0/0
EageRouter(config-if)#ipnatinside
EageRouter(config-if)#interfaces0/0
EageRouter(config-if)#ipnatoutside
EageRouter(config-if)#end
步骤2.2我们来查看一下刚才的配置。
EageRouter#showipnattranslations
ProInsideglobalInsidelocalOutsidelocalOutsideglobal
---218.58.59.93192.168.1.3------
---218.58.59.94192.168.1.5------
以上显示信息说明配置完成。
接下来我们进行测试,添加一个由PC5到218.58.59.94的ComplexPDU格式如下:
图10.6PC5到218.58.59.94的SMTPComplexPDU设置
在Simulation模式下我们跟踪该PDU如图10.7所示:
图10.7Simulation模式下跟踪PC5到218.58.59.94的SMTPPDU
图10.8PC5到218.58.59.94的SMTPPDU实验结果
步骤2.3实验结果分析。
我们单击EageRouter上的PDU,调出PDUInformation对话框,在OSIModel选项卡中我们可以清楚的看到IP地址的转换过程,OSIModel下方的英文信息说明这一点。
如图10.9所示:
图10.9EageRoute上PC5到218.58.59.93SMTPPDU的IP地址转换过程
步骤3
步骤3.1下面我们将管理网段(192.168.2.0)、行政网段(192.168.3.0)的内部私有IP动态转换到218.58.59.95和218.58.59.96。
配置命令如下:
EageRouter#configt
EageRouter(config)#access-list1permit192.168.3.00.0.0.255
EageRouter(config)#access-list1permit192.168.2.00.0.0.255
EageRouter(config)#exit
EageRouter(config)#ipnatpoolmypool218.58.59.95218.58.59.96netmask255.255.255.0
EageRouter(config)#ipnatinsidesourcelist1poolmypool
EageRouter(config)#interfacefa0/0
EageRouter(config-if)#ipnatinside
EageRouter(config-if)#interfaces0/0
EageRouter(config-if)#ipnatoutside
步骤3.2我们来测试一下刚才的配置。
我们建立两个ComplexPDU格式如下图所示:
图10.10PC2到218.58.100.3的HTTPComplexPDU设置
图10.11PC0到218.58.100.3的HTTPComplexPDU设置
结果如下图所示
图10.12PC0、PC2分别到218.58.100.3的HTTPPDU实验结果
图10.12中0号PDU和1号PDU的Successful状态分别说明管理网段和行政网段可以访问218.58.59.100.3上的HTTP资源。
此时我们用如下命令做进一步的验证。
EageRouter#showipnattranslations
ProInsideglobalInsidelocalOutsidelocalOutsideglobal
---218.58.59.93192.168.1.3------
---218.58.59.94192.168.1.5------
---218.58.59.95192.168.2.2------
---218.58.59.96192.168.3.2------
信息显示又增加了两个条目,正好是刚才进行的NAT地址转换。
步骤3.3实验结果分析。
我们分别调出两个数据包在EageRouter上的PDUInformation面板,在各自OSIModel选项卡中我们可以清楚的看到各自的Ip地址的转换过程,OSIModel下方的英文信息说明这一点。
如图10.13和10.14所示:
图10.13EageRoute上PC2到218.58.100.3HTTPPDU的IP地址转换过程
图10.14EageRoute上PC0到218.58.100.3HTTPPDU的IP地址转换过程
我们看到192.168.2.2NAT到了218.58.59.95,而192.168.3.2NAT到了218.58.59.96。
达到了预期的效果。
那么192.168.2.3NAT到哪个IP地址呢?
我们创建一个ComplexPDU如图10.15所示:
图10.15PC1到218.58.100.3的HTTPComplexPDU设置
我们调出该数据包在EageRouter上的PDUInformation面板,在各自OSIModel选项卡中我们可以清楚的看到数据包被丢弃了。
下方的英文信息说明这一点,如图所示:
图10.16EageRoute上PC1到218.58.100.3HTTPPDU的丢包过程
我们说这也是正常的,大家可以思考一下为什么。
步骤4
步骤4.1我们将教学网段(192.168.4.0)、宿舍网段(192.168.5.0)的内部私有IP通过端口地址转换转换到218.58.59.97,配置命令如下:
EageRouter#configt
EageRouter(config)#access-list2permit192.168.4.00.0.0.255
EageRouter(config)#access-list2permit192.168.5.00.0.0.255
EageRouter(config-std-nacl)#exit
EageRouter(config)#ipnatpoolmypool1218.58.59.97218.58.59.97netmask255.255.255.0
EageRouter(config)#ipnatinsidesourcelist2poolmypool1overload
EageRouter(config)#interfacefa0/0
EageRouter(config-if)#ipnatinside
EageRouter(config-if)#interfaces0/0
EageRouter(config-if)#ipnatoutside
EageRouter(config)#end
我们建立两个ComplexPDU格式如下图所示:
步骤4.2我们来测试一下刚才的配置。
图10.17PC3到218.58.100.3的HTTPComplexPDU设置
图10.18PC4到218.58.100.3的HTTPComplexPDU设置
结果如图10.19所示
图10.19PC3、PC4分别到218.58.100.3的HTTPPDU实验结果
图10.19中0号PDU和1号PDU的Successful状态分别说明教学网段和宿舍网段可以访问218.58.59.100.3上的HTTP资源。
此时我们用如下命令做进一步的验证。
EageRouter#showipnattranslations
ProInsideglobalInsidelocalOutsidelocalOutsideglobal
---218.58.59.93192.168.1.3------
---218.58.59.94192.168.1.5------
---218.58.59.95192.168.2.2------
---218.58.59.96192.168.3.2------
tcp218.58.59.97:
1026192.168.4.2:
1026218.58.100.3:
80218.58.100.3:
1026
tcp218.58.59.97:
1024192.168.5.2:
1026218.58.100.3:
80218.58.100.3:
1024
黑体部分就是我们刚才PAT的结果。
步骤4.3实验结果分析。
我们分别调出两个数据包在EageRouter上的PDUInformation面板,在各自OSIModel选项卡中我们可以清楚的看到各自的IP地址的转换过程。
下方的英文信息说明这一点,如图10.20所示:
图10.20EageRoute上PC4到218.58.100.3HTTPPDU的IP地址转换过程
图10.21EageRoute上PC3到218.58.100.3HTTPPDU的IP地址转换过程
至此实验内容全部结束。
本次实验内容较多,希望大家理清头绪,好好总结。
【参考配置】
EageRouter#showrun
version12.2
hostnameEageRouter
interfaceFastEthernet0/0
ipaddress192.168.1.1255.255.255.0
ipaccess-group101out
ipnatinside
duplexauto
speedauto
interfaceSerial0/0
ipaddress218.58.59.91255.255.255.0
ipnatoutside
interfaceSerial0/1
noipaddress
shutdown
interfaceFastEthernet1/0
noipaddress
shutdown
routerrip
network192.168.1.0
network218.58.59.0
ipnatpoolmypool218.58.59.95218.58.59.96netmask255.255.255.0
ipnatpoolmypool1218.58.59.97218.58.59.97netmask255.255.255.0
ipnatinsidesourcelist1poolmypool
ipnatinsidesourcelist2poolmypool1overload
ipnatinsidesourcestatic192.168.1.3218.58.59.93
ipnatinsidesourcestatic192.168.1.5218.58.59.94
ipclassless
access-list101denytcp218.58.100.00.0.0.255host192.168.1.4eq21
access-list101permittcp218.58.100.00.0.0.255host192.168.1.3eq80
access-list101permittcp218.58.100.00.0.0.255host192.168.1.5eq25
access-list101permittcphost218.58.100.3e
升级会员 