網路位址轉換 動態NAT配置

2021-10-01 10:34:53 字數 4870 閱讀 3686

2.1 實驗目的

(1)理解動態nat和靜態對映的區別;

(2)掌握nat位址池的配置;

(3)掌握nat轉換中訪問控制列表的應用;

(4)掌握靜態nat的配置

2.2 實驗原理

1.動態nat

動態轉換(亦稱nat pool)是指不建立內部位址和全域性位址的一對一的固定對應關係。而通過共享nat位址池的ip位址動態建立nat的對映關係。當內網主機需要進行nat位址轉換時,路由器會在nat位址池中選擇空閒的全域性位址進行對映,每條對映記錄是動態建立的,在連線終止時也被收回。

圖3  動態nat的工作原理

如圖9-3所示,內網主機a的報文經過邊緣路由器時,路由器會在預先配置好的nat位址池中選出空閒的內部全域性位址進行對映。如圖9-3所示,nat位址池中只有202.80.20.2是空閒的,所以路由器選取該位址和172.16.10.10建立對映關係,172.16.10.10ßà202.80.20.2。因此資料報1的源ip位址將會替換為202.80.20.2。資料報從外網返回則替換目的ip位址。

2.動態nat配置命令

動態nat的配置過程如表3所示:

表3  動態nat的配置步驟

配置說明

命令步驟1

配置內部介面、和外部介面

//配置外部介面

router(config-if)#inte***ce  inte***ce-id

router(config-if)#ip nat outside

//配置內部介面

router (config-if)#inte***ce  inte***ce-id

router (config-if)#ip nat inside

步驟2配置轉換位址池

router (config)#ip nat pool name start-ip end-ip

步驟3配置需要進行位址轉換源ip訪問控制列表

router(config) # access-list  number permit x.x.x.x(網路號)  x.x.x.x (子網掩碼)

步驟4配置nat轉換

router(config)# ip nat inside source list number pool pool-name

步驟4檢查nat的執行結果

router #show ip nat translations

210.20.20.10~210.20.20.15,子網掩碼為255.255.255.0。配置命令如下:

r1(config)# ip nat pool  nat-pool  210.20.20.10  210.20.20.15  netmask 255.255.25.0

//主要配置以下引數:

//位址池名稱: test_pool

r1(config)# access-list 1 permit 192.168.20.0

r1(config)# ip  nat  inside  source  list 1  pool nat-pool

3.動態nat配置例項

網路拓撲圖如圖4所示:

圖4  動態nat網路拓撲圖

表4 動態nat網路ip位址表

裝置介面

ip位址

子網掩碼

r0fa 0/0

10.10.10.2

/24fa0/1

192.168.1.1

/24fa1/0

192.168.2.1

/24r1

s2/0

210.38.220.1

/24fa0/0

10.10.10.1

/24r2

s2/0(dce)

210.38.220.2

/24pc1

nic192.168.1.10

/24pc2

nic192.168.1.20

/24pc3

nic192.168.2.10

/24背景說明:對於一些公司,它們可能會一次性申請很多個公網ip來為公司各個部門提供上網服務。我們假設某公司申請了6個公網ip,所屬網段為: 210.38.220.10à 210.38.220.15,子網掩碼為255.255.255.0;合法的公網ip位址不夠每人分配乙個,但該公司一般情況下有1/2的人員在外跑業務或做技術支援,在公司的員工也不會一直需要提供網路服務,據此,我們可以通過動態分配全域性位址的位址轉換技術來解決該公司的需要。

實驗步驟:

步驟1:r0配置

r0(config)# inte***ce f0/0

r0(config-if)# ip address 10.10.10.2  255.255.255.0  //配置介面ip位址

r0(config-if)# no shutdown

r0(config)# inte***ce f0/1

r0(config-if)# ip address 192.168.1.1  255.255.255.0  //配置介面ip位址

r0(config-if)# no shutdown

r0(config)# inte***ce  f1/0

r0(config-if)# ip address 192.168.2.1  255.255.255.0  //配置介面ip位址

r0(config-if)# no shutdown

r0(config-if)#ip route 0.0.0.0 0.0.0.0 f0/0   //配置r0預設路由。

步驟2:r1的配置。

r1(config)# inte***ce f0/0

r1(config-if)# ip address 10.10.10.1  255.255.255.0  //配置介面ip位址

r1(config-if)#ip nat inside                //配置f0/0為內部介面

r1(config-if)# no shutdown

r1(config)# inte***ce s2/0

r1(config-if)# ip address 210.38.220.1  255.255.255.255  //配置介面ip位址

r1(config-if)#ip nat outside             //配置s2/0為外部介面

r1(config-if)# no shutdown

r0(config-if)#ip route 0.0.0.0 0.0.0.0  s2/0   //配置預設路由。

r1(config)#access-list 1 permit 192.168.1.0 0.0.0.255//配置匹配內網ip位址訪問控制列表

//配置nat位址池

r1(config)#ip nat pool test_pool 210.38.220.10 210.38.220.15 netmask 255.255.255.0 

r1(config)#ip nat inside source list 1 pool test_pool //配置動態nat轉換

步驟3:r2的配置。

r2(config)#int s2/0

r2(config-if)#ip address 210.38.220.2  255.255.255.255

r2(config-if)# clock rate 64000

r2(config-if)#no shutdown

步驟4:檢查配置結果與測試

(1)動態nat的對映關係不是靜態建立的,而是通過資料流觸發建立的,因此每次建立的對映關係可能是不一樣的,在沒有觸發流量的時候,檢視nat對映表。

r2#sh ip nat translations

r2#可以看到對映表是空的,說明對映關係並沒有建立。

我們分別從pc1、pc2觸發流量,在觀察nat對映表的情況。

r1#sh ip nat translations

pro  inside global     inside local       outside local      outside global

icmp 210.38.220.10:21  192.168.1.10:21    210.38.220.2:21    210.38.220.2:21

icmp 210.38.220.10:22  192.168.1.10:22    210.38.220.2:22    210.38.220.2:22

icmp 210.38.220.11:15  192.168.1.20:15    210.38.220.2:15    210.38.220.2:15

icmp 210.38.220.11:16  192.168.1.20:16    210.38.220.2:16    210.38.220.2:16

可以看到192.168.1.10 à210.38.220.10,192.168.1.20 à210.38.220.11,說明位址轉換起到效果。

(2)使用debug命令檢視到的轉換過程。

r1#debug ip nat

ip nat debugging is on

r1#nat: s=192.168.1.10->210.38.220.11, d=210.38.220.2 [21]   // s表示源位址轉換

nat*: s=210.38.220.2, d=210.38.220.11->192.168.1.10 [32]  //d表示目的位址轉

nat: s=192.168.1.10->210.38.220.11, d=210.38.220.2 [22]

nat*: s=210.38.220.2, d=210.38.220.11->192.168.1.10 [33]

(3) 動態nat對映表條目存在一定生存時間,時間超過時轉換條目將會被自動刪除。一對一的動態nat超時時間為10分鐘(600秒);基於埠的動態nat超時時間為1分鐘(60秒)。

注意事項:

1)不要把inside和outside應用的介面弄錯:

網路位址轉換 動態 NAT

改進的解決方案 動態nat 想實現的需求 1.僅僅允許內網的 pc 1 和 pc 2 訪問外網 2.內網其他主機,沒有辦法訪問外網 3.申請的公網ip位址為 110.1.1.1 24 110.1.1.3 24 110.1.1.4 24 思路 1.建立acl,抓取感興趣流量 2.配置 nat 位址組,...

網路位址轉換 動態NAT

將內部位址192.168.100.2192.168.100.54轉換為合法位址61.159.62.13161.159.62.190,以便訪問internet 定義訪問控制列表 router confi access list 1 permit 192.168.100.0 0.0.0.255 rout...

網路位址轉換NAT配置

原文傳送門 goto 理解nat網路位址轉換的原理及功能 掌握靜態nat的配置,實現區域網訪問網際網路 你是某公司的網路管理員,欲發布公司的www服務。現要求將內網web伺服器ip位址對映為全域性ip位址,實現外部網路可以訪問公司內部web伺服器。網路位址轉換nat network address ...