實(shí)驗(yàn)十 內(nèi)外網(wǎng)結(jié)構(gòu)下的網(wǎng)絡(luò)地址轉(zhuǎn)換2013end

1、 實(shí)驗(yàn)十 內(nèi)外網(wǎng)結(jié)構(gòu)下的網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT/PAT） 【實(shí)驗(yàn)?zāi)康摹?通過(guò)本實(shí)驗(yàn)理解網(wǎng)絡(luò)地址轉(zhuǎn)換的原理和技術(shù)，掌握擴(kuò)展NAT/PAT設(shè)計(jì)、配置和測(cè)試。 【實(shí)驗(yàn)任務(wù)】 1、配置靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換并完成相應(yīng)的測(cè)試。 2、配置動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換并完成相應(yīng)的測(cè)試。 3、配置端口地址轉(zhuǎn)換（PAT）并完成相應(yīng)的測(cè)試。 建議實(shí)驗(yàn)學(xué)時(shí)：4學(xué)時(shí)。 【實(shí)驗(yàn)背景】 本次實(shí)驗(yàn)在前兩次實(shí)驗(yàn)的基礎(chǔ)上，利用NAT和PAT技術(shù)實(shí)現(xiàn)私有地址和公有地址的相互轉(zhuǎn)換，進(jìn)一步增強(qiáng)校園網(wǎng)的安全性。另外NAT和PAT也是解決IP地址不足的一個(gè)有效方法。 本次實(shí)驗(yàn)中我們有如下的應(yīng)用需求： 1、將 靜態(tài)NAT到218.58.

2、59.93。 2、將 靜態(tài)NAT到4。 3、將管理網(wǎng)段、行政網(wǎng)段的內(nèi)部私有IP動(dòng)態(tài)NAT到5和6。 4、將教學(xué)網(wǎng)段、宿舍網(wǎng)段的內(nèi)部私有IP動(dòng)態(tài)PAT到7。 學(xué)生在實(shí)驗(yàn)之前要理解網(wǎng)絡(luò)地址轉(zhuǎn)換的原理。會(huì)使用Show running-config、Show ip nat translation等命令查看訪問(wèn)控制列表是否配置成功，以及在仿真環(huán)境中測(cè)試是否達(dá)到預(yù)期結(jié)果。 ? 靜態(tài)NAT的配置。 1、Router（config）#ip nat inside source static local-

3、ip global ip 參數(shù)說(shuō)明： local-ip：內(nèi)部本地地址。被轉(zhuǎn)換的地址。 global-ip：內(nèi)部全球地址。用來(lái)轉(zhuǎn)換內(nèi)部本地地址的地址。 2、指定內(nèi)外部接口，命令格式如下： Router（config）#interface type slot#/port# Router（config-if）#ip nat inside Router（config）#interface type slot#/port# Router（config-if）#ip nat outside ? 動(dòng)態(tài)NAT的配置。 1、定義一個(gè)可以根據(jù)需要進(jìn)行分配的全球地址池。 Router（config）#ip nat

4、pool name start-ip end-ip netmask netmask| prefix-length prefix-lengh 參數(shù)說(shuō)明： name：地址池名稱。 start-ip：地址池中地址范圍的起始IP地址。 end-ip：地址池中地址范圍的結(jié)束IP地址。 netmask：網(wǎng)絡(luò)掩碼。 prefix-lengh：網(wǎng)絡(luò)掩碼中有多少位是1，規(guī)定地址池所屬的網(wǎng)絡(luò)的網(wǎng)絡(luò)掩碼。 2、定義一個(gè)標(biāo)準(zhǔn)訪問(wèn)控制列表。 Router(config )#access-list access-list-number permit source source-wildcard 3、建立動(dòng)態(tài)地址轉(zhuǎn)換，它引

5、用2中定義的訪問(wèn)控制列表。 Router(config)#ip nat inside source list access-list-number |name pool name 4、指定內(nèi)外部接口，命令格式如下： Router（config）#interface type number Router（config-if）#ip nat inside Router（config）#interface type number Router（config-if）#ip nat outside ? PAT的配置。 1、Router（config）#ip nat inside source stati

6、c local-ip global ip overload 2、指定內(nèi)外部接口，命令格式如下： Router（config）#interface type number Router（config-if）#ip nat inside Router（config）#interface type number Router（config-if）#ip nat outside ? 內(nèi)部地址和外部地址的說(shuō)明。 對(duì)于網(wǎng)絡(luò)地址轉(zhuǎn)換的理解核心在于搞清楚NAT術(shù)語(yǔ)中所提到的四個(gè)地址。 inside local(內(nèi)部本地地址)：在自有網(wǎng)絡(luò)中（歸自己管理，進(jìn)行IP規(guī)劃的網(wǎng)絡(luò)）分配給私有主機(jī)的地址，一般情況下該地址

7、是RFC1918中定義的私有地址。 inside global(內(nèi)部全局地址)：私有主機(jī)使用的非自有網(wǎng)絡(luò)的地址，通常情況下inside global地址是從合法的全球統(tǒng)一可尋址空間中分配的地址，也就是通常所說(shuō)的公有IP。 outside local(外部本地地址)：非私有主機(jī)在自有網(wǎng)絡(luò)內(nèi)表現(xiàn)出來(lái)的IP地址。該地址是自有網(wǎng)絡(luò)的管理員為本網(wǎng)絡(luò)以外的設(shè)備所準(zhǔn)備的用于在自有網(wǎng)絡(luò)內(nèi)使用的 IP地址。outside local地址的特點(diǎn)是只會(huì)出現(xiàn)在自有網(wǎng)絡(luò)內(nèi)但是是供給非私有主機(jī)使用的。 outside global(外部全局地址)：非私有主機(jī)在自有網(wǎng)絡(luò)以外的區(qū)域使用的IP地址，是非私有主機(jī)所在網(wǎng)絡(luò)的管理員

8、負(fù)責(zé)管理其分配的。outside global地址的特點(diǎn)是不會(huì)出現(xiàn)在自有網(wǎng)絡(luò)中而且不是給私有主機(jī)使用，不歸自有網(wǎng)絡(luò)的管理員負(fù)責(zé)。 【實(shí)驗(yàn)拓?fù)浜团渲脜?shù)】 實(shí)驗(yàn)拓?fù)鋱D10.1 10.1 實(shí)驗(yàn)配置參數(shù) 路由器配置信息（子網(wǎng)掩碼均為） 主機(jī)名 類型 IP 地址 RIP路由網(wǎng)絡(luò) 時(shí)鐘頻率 2620XM InsideRouter Fa0/0: Eth1/0: Eth1/1: Eth1/2:

9、 Eth1/3: EageRouter Fa0/0: 2620XM Ser0/0: 1 OutsideRouter 2620XM Fa0/0: 9600 Ser0/0: 0 PC和Server配置信息（子網(wǎng)掩碼均為） 主機(jī)名所屬網(wǎng)段 默認(rèn)網(wǎng)關(guān) IP 地址 PC0

10、 PC1 PC2 PC3 PC4 PC5 WWW FTP SMTP

11、 Outside WWW Hub配置信息交換機(jī)和主機(jī)名 類型所屬網(wǎng)段 備注Manage 2950-24 所屬校園網(wǎng)管理網(wǎng)段Administration 2950-24 所屬校園網(wǎng)行政網(wǎng)段Teach 2950-24 所屬校園網(wǎng)教學(xué)網(wǎng)段Student 2950-24 所屬校園網(wǎng)宿舍網(wǎng)段Server Area 2950-24 區(qū)DMZOutside 2950

12、-24 所屬校外網(wǎng)Hub 0 Hub-PT Hub-PT 【實(shí)驗(yàn)設(shè)備】 3 臺(tái)Cisco Router 2620XM 2950-24 6Catalyst Switch 臺(tái) 1 Hub-PT 臺(tái)Hub 5PC PC-PT 臺(tái) 4臺(tái)Server-PT Server 【實(shí)驗(yàn)步驟】 步驟1 3，配置過(guò)程如下：我們首先將 靜態(tài)轉(zhuǎn)換到步驟1.1EageRouter#config t EageRouter(config)#ip nat inside source static 3 EageRo

13、uter(config)#interface fa0/0 EageRouter(config-if)#ip nat inside EageRouter(config-if)#interface s0/0 EageRouter(config-if)#ip nat outside EageRouter(config-if)#end 我們來(lái)查看一下剛才的配置。步驟1.2 EageRouter#show ip nat translations Outside global Outside local Inside global Inside local Pro - 3 192.1

14、68.1.3 - - 以上顯示信息說(shuō)明配置已建立。 10.2Complex PDU3PC5接下來(lái)我們進(jìn)行測(cè)試，添加一個(gè)由到的格式如圖： 圖10.2 PC5到3的HTTP Complex PDU設(shè)置 在Simulation模式下我們跟蹤該P(yáng)DU如圖10.3所示： 圖10.3 Simulation模式下跟蹤PC5到3的HTTP PDU 圖10.4 PC5到3的HTTP PDU實(shí)驗(yàn)結(jié)果 圖10.4中PDU的Successful狀態(tài)說(shuō)明外網(wǎng)網(wǎng)段可以訪問(wèn)3上的HTTP資源。 步驟1.3實(shí)驗(yàn)結(jié)果分

15、析 我們?cè)贚ogical視圖中單擊EageRouter上的PDU，調(diào)出PDU Information對(duì)話框，在OSI Model選項(xiàng)卡中我們可以清楚的看到IP地址的轉(zhuǎn)換過(guò)程，OSI Model下方的英文信息說(shuō)明這一點(diǎn)。如圖10.5 所示： 圖10.5 EageRoute上PC5到3 HTTP PDU的IP地址轉(zhuǎn)換過(guò)程 步驟2 步驟2.1首先將 靜態(tài)轉(zhuǎn)換到4，配置過(guò)程如下： EageRouter#config t EageRouter(config)#ip nat inside source static

16、4 EageRouter(config)#interface fa0/0 EageRouter(config-if)#ip nat inside EageRouter(config-if)#interface s0/0 EageRouter(config-if)#ip nat outside EageRouter(config-if)#end 步驟2.2我們來(lái)查看一下剛才的配置。 EageRouter#show ip nat translations Pro Inside global Inside local Outside local Outside global -

17、 3 - - - 4 - - 以上顯示信息說(shuō)明配置完成。 接下來(lái)我們進(jìn)行測(cè)試，添加一個(gè)由PC5到4的Complex PDU格式如下： 圖10.6 PC5到4的SMTP Complex PDU設(shè)置 在Simulation模式下我們跟蹤該P(yáng)DU如圖10.7所示： 圖10.7 Simulation模式下跟蹤PC5到4的SMTP PDU 圖10.8 PC5到4的SMTP PDU實(shí)驗(yàn)結(jié)果 步驟2.3實(shí)驗(yàn)結(jié)果分析。 我們單擊Ea

18、geRouter上的PDU，調(diào)出PDU Information對(duì)話框，在OSI Model選項(xiàng)卡中我們可以清楚的看到IP地址的轉(zhuǎn)換過(guò)程，OSI Model下方的英文信息說(shuō)明這一點(diǎn)。如圖10.9所示： 圖10.9 EageRoute上PC5到3 SMTP PDU的IP地址轉(zhuǎn)換過(guò)程 步驟3 步驟3.1下面我們將管理網(wǎng)段（）、行政網(wǎng)段（）的內(nèi)部私有IP動(dòng)態(tài)轉(zhuǎn)換到5和6。配置命令如下： EageRouter#config t EageRouter(config)# access-list 1

19、permit 55 EageRouter(config)# access-list 1 permit 55 EageRouter(config)#exit EageRouter(config)#ip nat pool mypool 5 6 netmask EageRouter(config)#ip nat inside source list 1 pool mypool EageRouter(config)#interface fa0/0 Eage

20、Router(config-if)#ip nat inside EageRouter(config-if)#interface s0/0 EageRouter(config-if)#ip nat outside 步驟3.2我們來(lái)測(cè)試一下剛才的配置。 我們建立兩個(gè)Complex PDU格式如下圖所示： 圖10.10 PC2到的HTTP Complex PDU設(shè)置 圖10.11 PC0到的HTTP Complex PDU設(shè)置 結(jié)果如下圖所示 圖10.12 PC0、PC2分別到的HTTP PDU實(shí)驗(yàn)結(jié)果 圖10.12中0號(hào)PDU

21、和1號(hào)PDU的Successful狀態(tài)分別說(shuō)明管理網(wǎng)段和行政網(wǎng)段可以訪問(wèn)00.3上的HTTP資源。 此時(shí)我們用如下命令做進(jìn)一步的驗(yàn)證。 EageRouter#show ip nat translations Pro Inside global Inside local Outside local Outside global - 3 - - - 4 - - - 5 - - - 6 - - 信

22、息顯示又增加了兩個(gè)條目，正好是剛才進(jìn)行的NAT地址轉(zhuǎn)換。 步驟3.3實(shí)驗(yàn)結(jié)果分析。 我們分別調(diào)出兩個(gè)數(shù)據(jù)包在EageRouter上的PDU Information 面板，在各自O(shè)SI Model選項(xiàng)卡中我們可以清楚的看到各自的Ip地址的轉(zhuǎn)換過(guò)程，OSI Model下方的英文信息說(shuō)明這一點(diǎn)。如圖10.13和10.14所示： 圖10.13 EageRoute上PC2到 HTTP PDU的IP地址轉(zhuǎn)換過(guò)程 圖10.14 EageRoute上PC0到 HTTP PDU的IP地址轉(zhuǎn)換過(guò)程 我們看到 NAT到了5，

23、而NAT到了6。達(dá)到了預(yù)期的效果。那么 NAT到哪個(gè)IP地址呢？ 我們創(chuàng)建一個(gè)Complex PDU如圖10.15所示： 圖10.15 PC1到的HTTP Complex PDU設(shè)置 我們調(diào)出該數(shù)據(jù)包在EageRouter上的PDU Information 面板，在各自O(shè)SI Model選項(xiàng)卡中我們可以清楚的看到數(shù)據(jù)包被丟棄了。下方的英文信息說(shuō)明這一點(diǎn)，如圖所示： 圖10.16 EageRoute上PC1到 HTTP PDU的丟包過(guò)程 我們說(shuō)這也是正常的，大家可以思考一下為什么。

24、步驟4 步驟4.1我們將教學(xué)網(wǎng)段（）、宿舍網(wǎng)段（）的內(nèi)部私有IP 通過(guò)端口地址轉(zhuǎn)換轉(zhuǎn)換到7，配置命令如下： EageRouter#config t EageRouter(config)# access-list 2 permit 55 EageRouter(config)# access-list 2 permit 55 EageRouter(config-std-nacl)#exit EageRouter(config)#ip nat pool myp

25、ool1 7 7 netmask EageRouter(config)#ip nat inside source list 2 pool mypool1 overload EageRouter(config)#interface fa0/0 EageRouter(config-if)#ip nat inside EageRouter(config-if)#interface s0/0 EageRouter(config-if)#ip nat outside EageRouter(config)#end 我們建立兩個(gè)Comp

26、lex PDU格式如下圖所示： 步驟4.2我們來(lái)測(cè)試一下剛才的配置。 圖10.17 PC3到的HTTP Complex PDU設(shè)置 圖10.18 PC4到的HTTP Complex PDU設(shè)置 結(jié)果如圖10.19所示 圖10.19 PC3、PC4分別到的HTTP PDU實(shí)驗(yàn)結(jié)果 圖10.19中0號(hào)PDU和1號(hào)PDU的Successful狀態(tài)分別說(shuō)明教學(xué)網(wǎng)段和宿舍網(wǎng)段可以訪問(wèn)00.3上的HTTP資源。 此時(shí)我們用如下命令做進(jìn)一步的驗(yàn)證。 EageRouter#show ip nat translatio

27、ns Pro Inside global Inside local Outside local Outside global - 3 - - - 4 - - - 5 - - - 6 - - tcp 7:1026 :1026 :80 :1026 tcp 7:1024 :1026 2

28、:80 :1024 黑體部分就是我們剛才PAT的結(jié)果。 步驟4.3實(shí)驗(yàn)結(jié)果分析。 我們分別調(diào)出兩個(gè)數(shù)據(jù)包在EageRouter上的PDU Information 面板，在各自O(shè)SI Model選項(xiàng)卡中我們可以清楚的看到各自的IP地址的轉(zhuǎn)換過(guò)程。下方的英文信息說(shuō)明這一點(diǎn)，如圖10.20所示： 圖10.20 EageRoute上PC4到 HTTP PDU的IP地址轉(zhuǎn)換過(guò)程 圖10.21 EageRoute上PC3到 HTTP PDU的IP地址轉(zhuǎn)換過(guò)程 至此實(shí)驗(yàn)內(nèi)容全部結(jié)束。本次實(shí)驗(yàn)內(nèi)容較多，希望大家理清頭

29、緒，好好總結(jié)。 【參考配置】 EageRouter#show run version 12.2 hostname EageRouter interface FastEthernet0/0 ip address ip access-group 101 out ip nat inside duplex auto speed auto interface Serial0/0 ip address 1 ip nat outside interface Serial0/1 no ip address s

30、hutdown interface FastEthernet1/0 no ip address shutdown router rip network network ip nat pool mypool 5 6 netmask ip nat pool mypool1 7 7 netmask ip nat inside source list 1 pool mypool ip nat inside sou

31、rce list 2 pool mypool1 overload ip nat inside source static 3 ip nat inside source static 4 ip classless access-list 101 deny tcp 55 host eq 21 access-list 101 permit tcp 55 host eq 80 acce

32、ss-list 101 permit tcp 55 host eq 25 access-list 101 permit tcp host eq 80 any access-list 1 permit 55 access-list 1 permit 55 access-list 2 permit 55 access-list 2 permit 55 line

33、 con 0 end OutsideRouter#show run version 12.2 hostname OutsideRouter interface FastEthernet0/0 ip address duplex auto speed auto interface Serial0/0 ip address 0 clock rate 9600 interface Serial0/1 no ip address shutdown router rip network network ip classless line con 0 end InsideRouter#