实验6、NAT何谓NAT?NAT将不可路由的私有内部地址转换成可路由的公有地址。NAT还能在一定程度上增加网络的私密性和安全性,因为它对外部网络隐藏了内部IP地址。R2执行NAT过程,将主机的内部私有地址转换为公有、外部、可路由的地址。IPV4地址标准中定义的私有地址:A类:10.0.0.0~10.255.255.255B类:172.16.0.0~172.31.255.255.255C类:192.168.0.0~192.168.255.255(一)NAT中的地址类型(1)内部本地地址—在运行NAT的内部网络中分配给一台主机的IP地址,这个地址通常是私有地址。图中,IP地址192.168.10.10被分配给内部网络上的主机PC1。(2)内部全局地址—当内部主机流量流出NAT路由器时分配给内部主机的有效公有地址。当来自PC1的流量发往Web服务器209.165.201.1时,路由器R2必须进行地址转换。本例中,PC1的内部全局地址使用IP地址209.165.200.226,内部全局地址一般是公有地址。(3)外部本地地址—分配给Internet上主机的可达IP地址。例如,Web服务器的可达IP地址为209.165.201.1。(4)外部全局地址—分配给外部网络上主机的本地IP地址。大多数情况下,此地址与外部设备的外部全局地址相同。但是在特殊情况下两者也有可能是不同的。(二)NAT的工作方式内部主机(192.168.10.10)希望与外部Web服务器(209.165.201.1)通信。它发送数据包给配置了NAT的网络边界网关R2。R2读取数据包的目的IP地址,并检查数据包是否符合规定的转换标准。(三)NAT转换有两种类型静态NAT:使用本地地址与全局地址的一对一映射,这些映射保持不变。静态NAT适用于网络中只有一台或者只有几台主机需要访问互联网,NAT网络中有几个私有地址需要进行转换,那么相应的需要几个公网的IP地址进行一对一的映射。动态NAT:当我们的内部网中拥有较多的主机时,我们不可能拥有足够的公有地址进行一对一的地址映射,所以在内部网络中主机数较多的时候,我们使用动态的NAT地址转换方式。(四)静态一对一NAT的工作方式R2参考NAT表,发现这是原先转换的IP地址。因此,它将内部全局地址转换成内部本地地址,然后将数据包转发给IP地址为192.168.10.10的PC1。如果它没有找到映射关系,数据包将被丢弃。(五)静态NAT配置(1)建立内部本地地址与内部全局地址之间的静态映射。R1(config)#ipnatinsidesourcestatic192.168.10.254209.165.200.225(2)将s/0/0/0设置为内部NAT接口。R1(config)#interfaces/0/0/0R1(config-if)ipnatinside(3)将s/0/1/0设置为外部NAT接口。R1(config)#interfaces/0/1/0R1(config-if)ipnatoutside3.实验步骤按照给定的文件的要求,配置静态NAT。4.实验调试(1)showipnattranslations查看NAT地址转换表•ProInsideglobalInsidelocalOutsidelocalOutsideglobal•icmp202.2.12.3:1192.168.1.2:1219.19.3.100:1219.19.3.100:1•icmp202.2.12.3:2192.168.1.2:2219.19.3.100:2219.19.3.100:2•icmp202.2.12.3:3192.168.1.2:3219.19.3.100:3219.19.3.100:3•icmp202.2.12.3:4192.168.1.2:4219.19.3.100:4219.19.3.100:4(2)debugipnat查看NAT转换过程•NAT:s=192.168.1.2-202.2.12.3,d=219.19.3.100[5]•NAT*:s=219.19.3.100,d=202.2.12.3-192.168.1.2[9]//*表示转换发生在快速交换路径如果缓存条目存在,则其余数据包经过快速交换路径。•NAT:s=192.168.1.2-202.2.12.3,d=219.19.3.100[6]//括号中的值表示IP标识号。此信息可能对调试有用,因为它与协议分析器的其它数据包跟踪相关联。•NAT*:s=219.19.3.100,d=202.2.12.3-192.168.1.2[10]•NAT:s=192.168.1.2-202.2.12.3,d=219.19.3.100[7](六)动态NAT的工作方式动态NAT:动态NAT是在进行NAT转换的路由器上配置一个公有地址池,该地址池中具有一个或多个公有IP地址,内部网络中的主机需要和互联网通信时,按先到先得的顺序,动态的按顺序使用地址池中的公有地址进行NAT转换。虽然动态NAT支持一对一的动态映射,但是这样不能很好的利用动态NAT转换的机制,通常情况下,我们使用地址复用(过载)的方式进行动态NAT,即使用一个公有地址为内部网络的所有主机进行地址转换,就是多对一的NAT地址复用,在进行地址复用的NAT转换时,我们使用不同的端口号来区分不同的链接。这种方式是目前最为普遍使用的一种NAT应用方式。当我们使用动态NAT进行地址转换时,它使用端口号(本例中为1331和1555)来识别发起数据包的客户端。NAT过载将SA变成客户端的内部全局IP地址,同样会附加端口号。如果此源端口已被使用,NAT过载会从适当的端口组0-511、512-1023或1024-65535开始分配第一个可用端口号。当没有端口可用时,如果配置了一个以上的外部IP地址,则NAT过载将会使用下一IP地址,再次尝试分配原先的源端口。NAT一般只按公有IP地址与私有IP地址之间的一对一对应关系转换IP地址。NAT过载会同时修改发送者的私有IP地址和端口号。NAT过载选择对公有网络上主机可见的端口号。NAT将传入的数据包路由给其内部目的地时,将以公有网络上主机给出的传入源IP地址为依据。利用NAT过载,一般只需一个或极少的几个公有IP地址。(6)配置动态NAT配置动态NAT过载的步骤(7)配置动态NAT实例(1)定义公有地址池R2(config)#ipnatpoolNAT_1209.2.165.200.225209.165.200.254netmask255.255.255.0(2)定义访问控制列表,设定允许转换的私有地址范围。R2(config)#access-list1permit192.168.10.00.0.0.255(3)建立动态地址转换(需要使用上一步配置的访问控制列表,同时使用overload关键字实现动态NAT过载)。R2(config)#ipnatinsidesourcelist1poolNAT_1overload(4)指定NAT入接口R2(config)#interfaces/0/0/0R2(config-if)#ipnatinside(5)指定NAT出接口R2(config)#interfaces/0/1/0R2(config-if)#ipnatoutside分解实验2:动态NAT配置实验1.实验目的(1)在路由器上配置动态NAT(2)NAT过载的特征(3)overload的使用(3)掌握调试与查看动态NAT转换过程2.实验拓扑同上一节实验拓扑3.根据实验要求配置动态NAT转换4.实验调试(1)showipnattranslations•ProInsideglobalInsidelocalOutsidelocalOutsideglobal•icmp202.2.12.3:1192.168.1.4:1219.19.3.100:1219.19.3.100:1•icmp202.2.12.3:2192.168.1.4:2219.19.3.100:2219.19.3.100:2•icmp202.2.12.3:3192.168.1.4:3219.19.3.100:3219.19.3.100:3•icmp202.2.12.3:4192.168.1.4:4219.19.3.100:4219.19.3.100:4(2)showipnatstatistics查看NAT转换的统计信息•Totaltranslations:4(0static,4dynamic,4extended)•OutsideInterfaces:Serial0/0/0•InsideInterfaces:FastEthernet0/1•Hits:3Misses:4•Expiredtranslations:0•Dynamicmappings:•--InsideSource•access-list1poolPOOLrefCount4•poolPOOL:netmask255.255.255.0•start202.2.12.3end202.2.12.100•typegeneric,totaladdresses98,allocated1(1%),misses0(3)debugipnat•NAT:s=192.168.1.4-202.2.12.3,d=219.19.3.100[5]•NAT*:s=219.19.3.100,d=202.2.12.3-192.168.1.4[4]•NAT:s=192.168.1.4-202.2.12.3,d=219.19.3.100[6]•NAT*:s=219.19.3.100,d=202.2.12.3-192.168.1.4[5]•NAT:s=192.168.1.4-202.2.12.3,d=219.19.3.100[7]•NAT*:s=219.19.3.100,d=202.2.12.3-192.168.1.4[6]•NAT:s=192.168.1.4-202.2.12.3,d=219.19.3.100[8]•NAT*:s=219.19.3.100,d=202.2.12.3-192.168.1.4[7]