实验十 内外网结构下的网络地址转换(2013end)

实验十内外网结构下的网络地址转换（NAT/PAT）【实验目的】通过本实验理解网络地址转换的原理和技术，掌握扩展NAT/PAT设计、配置和测试。【实验任务】1、配置静态网络地址转换并完成相应的测试。2、配置动态网络地址转换并完成相应的测试。3、配置端口地址转换（PAT）并完成相应的测试。建议实验学时：4学时。【实验背景】本次实验在前两次实验的基础上，利用NAT和PAT技术实现私有地址和公有地址的相互转换，进一步增强校园网的安全性。另外NAT和PAT也是解决IP地址不足的一个有效方法。本次实验中我们有如下的应用需求：1、将静态NAT到3。2、将静态NAT到4。3、将管理网段、行政网段的内部私有IP动态NAT到5和6。4、将教学网段、宿舍网段的内部私有IP动态PAT到7。学生在实验之前要理解网络地址转换的原理。会使用Showrunning-config、Showipnattranslation等命令查看访问控制列表是否配置成功，以及在仿真环境中测试是否达到预期结果。静态NAT的配置。1、Router（config）#ipnatinsidesourcestaticlocal-ipglobal–ip参数说明：local-ip：内部本地地址。被转换的地址。global-ip：内部全球地址。用来转换内部本地地址的地址。2、指定内外部接口，命令格式如下：Router（config）#interfacetypeslot#/port#Router（config-if）#ipnatinsideRouter（config）#interfacetypeslot#/port#Router（config-if）#ipnatoutside动态NAT的配置。1、定义一个可以根据需要进行分配的全球地址池。Router（config）#ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-lengthprefix-lengh}参数说明：name：地址池名称。start-ip：地址池中地址范围的起始IP地址。end-ip：地址池中地址范围的结束IP地址。netmask：网络掩码。prefix-lengh：网络掩码中有多少位是1，规定地址池所属的网络的网络掩码。2、定义一个标准访问控制列表。Router(config)#access-listaccess-list-numberpermitsource[source-wildcard]3、建立动态地址转换，它引用2中定义的访问控制列表。Router(config)#ipnatinsidesourcelist{access-list-number|name}poolname4、指定内外部接口，命令格式如下：Router（config）#interfacetypenumberRouter（config-if）#ipnatinsideRouter（config）#interfacetypenumberRouter（config-if）#ipnatoutsidePAT的配置。1、Router（config）#ipnatinsidesourcestaticlocal-ipglobal–ipoverload2、指定内外部接口，命令格式如下：Router（config）#interfacetypenumberRouter（config-if）#ipnatinsideRouter（config）#interfacetypenumberRouter（config-if）#ipnatoutside内部地址和外部地址的说明。对于网络地址转换的理解核心在于搞清楚NAT术语中所提到的四个地址。insidelocal(内部本地地址)：在自有网络中（归自己管理，进行IP规划的网络）分配给私有主机的地址，一般情况下该地址是RFC1918中定义的私有地址。insideglobal(内部全局地址)：私有主机使用的非自有网络的地址，通常情况下insideglobal地址是从合法的全球统一可寻址空间中分配的地址，也就是通常所说的公有IP。outsidelocal(外部本地地址)：非私有主机在自有网络内表现出来的IP地址。该地址是自有网络的管理员为本网络以外的设备所准备的用于在自有网络内使用的IP地址。outsidelocal地址的特点是只会出现在自有网络内但是是供给非私有主机使用的。outsideglobal(外部全局地址)：非私有主机在自有网络以外的区域使用的IP地址，是非私有主机所在网络的管理员负责管理其分配的。outsideglobal地址的特点是不会出现在自有网络中而且不是给私有主机使用，不归自有网络的管理员负责。【实验拓扑和配置参数】图10.1实验拓扑表10.1实验配置参数路由器配置信息（子网掩码均为）主机名类型IP地址RIP路由网络时钟频率InsideRouter2620XMFa0/0:Eth1/0:Eth1/1:Eth1/2:Eth1/3:EageRouter2620XMFa0/0:Ser0/0:1OutsideRouter2620XMFa0/0:Ser0/0:09600PC和Server配置信息（子网掩码均为）主机名IP地址默认网关所属网段PC0PC1PC2PC3PC4PC5WWWFTPSMTPOutsideWWW交换机和Hub配置信息主机名类型所属网段备注Manage2950-24所属校园网管理网段Administration2950-24所属校园网行政网段Teach2950-24所属校园网教学网段Student2950-24所属校园网宿舍网段ServerArea2950-24DMZ区Outside2950-24所属校外网Hub0Hub-PTHub-PT【实验设备】CiscoRouter 2620XM 3台CatalystSwitch 2950-24 6台Hub Hub-PT 1台PC PC-PT 5台Server Server-PT 4台【实验步骤】步骤1步骤1.1我们首先将静态转换到3，配置过程如下：EageRouter#configtEageRouter(config)#ipnatinsidesourcestatic3EageRouter(config)#interfacefa0/0EageRouter(config-if)#ipnatinsideEageRouter(config-if)#interfaces0/0EageRouter(config-if)#ipnatoutsideEageRouter(config-if)#end步骤1.2我们来查看一下刚才的配置。EageRouter#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal---3------以上显示信息说明配置已建立。接下来我们进行测试，添加一个由PC5到3的ComplexPDU格式如图10.2：图10.2PC5到3的HTTPComplexPDU设置在Simulation模式下我们跟踪该PDU如图10.3所示：图10.3Simulation模式下跟踪PC5到3的HTTPPDU图10.4PC5到3的HTTPPDU实验结果图10.4中PDU的Successful状态说明外网网段可以访问3上的HTTP资源。步骤1.3实验结果分析我们在Logical视图中单击EageRouter上的PDU，调出PDUInformation对话框，在OSIModel选项卡中我们可以清楚的看到IP地址的转换过程，OSIModel下方的英文信息说明这一点。如图10.5所示：图10.5EageRoute上PC5到3HTTPPDU的IP地址转换过程步骤2步骤2.1首先将静态转换到4，配置过程如下：EageRouter#configtEageRouter(config)#ipnatinsidesourcestatic4EageRouter(config)#interfacefa0/0EageRouter(config-if)#ipnatinsideEageRouter(config-if)#interfaces0/0EageRouter(config-if)#ipnatoutsideEageRouter(config-if)#end步骤2.2我们来查看一下刚才的配置。EageRouter#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal---3---------4------以上显示信息说明配置完成。接下来我们进行测试，添加一个由PC5到4的ComplexPDU格式如下：图10.6PC5到4的SMTPComplexPDU设置在Simulation模式下我们跟踪该PDU如图10.7所示：图10.7Simulation模式下跟踪PC5到4的SMTPPDU图10.8PC5到4的SMTPPDU实验结果步骤2.3实验结果分析。我们单击EageRouter上的PDU，调出PDUInformation对话框，在OSIModel选项卡中我们可以清楚的看到IP地址的转换过程，OSIModel下方的英文信息说明这一点。如图10.9所示：图10.9EageRoute上PC5到3SMTPPDU的IP地址转换过程步骤3步骤3.1下面我们将管理网段（）、行政网段（）的内部私有IP动态转换到5和6。配置命令如下：EageRouter#configtEageRouter(config)#access-list1permit55EageRouter(config)#access-list1permit55EageRouter(config)#exitEageRouter(config)#ipnatpoolmypool56netmaskEageRouter(config)#ipnatinsidesourcelist1poolmypoolEageRouter(config)#interfacefa0/0EageRouter(config-if)#ipnatinsideEageRouter(config-if)#interfaces0/0EageRouter(config-if)#ipnatoutside步骤3.2我们来测试一下刚才的配置。我们建立两个ComplexPDU格式如下图所示：图10.10PC2到的HTTPComplexPDU设置图10.11PC0到的HTTPComplexPDU设置结果如下图所示图10.12PC0、PC2分别到的HTTPPDU实验结果图10.12中0号PDU和1号PDU的Successful状态分别说明管理网段和行政网段可以访问00.3上的HTTP资源。此时我们用如下命令做进一步的验证。EageRouter#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal---3---------4---------5---------6------信息显示又增加了两个条目，正好是刚才进行的NAT地址转换。步骤3.3实验结果分析。我们分别调出两个数据包在EageRouter上的PDUInformation面板，在各自OSIModel选项卡中我们可以清楚的看到各自的Ip地址的转换过程，OSIModel下方的英文信息说明这一点。如图10.13和10.14所示：图10.13EageRoute上PC2到HTTPPDU的IP地址转换过程图10.14EageRoute上PC0到HTTPPDU的IP地址转换过程我们看到NAT到了5，而NAT到了6。达到了预期的效果。那么NAT到哪个IP地址呢？我们创建一个ComplexPDU如图10.15所示：图10.15PC1到的HTTPComplexPDU设置我们调出该数据包在EageRouter上的PDUInformation面板，在各自OSIModel选项卡中我们可以清楚的看到数据包被丢弃了。下方的英文信息说明这一点，如图所示：图10.16EageRoute上PC1到HTTPPDU的丢包过程我们说这也是正常的，大家可以思考一下为什么。步骤4步骤4.1我们将教学网段（）、宿舍网段（）的内部私有IP通过端口地址转换转换到7，配置命令如下：EageRouter#configtEageRouter(config)#access-list2permit55EageRouter(config)#access-list2permit55EageRouter(config-std-nacl)#exitEageRouter(config)#ipnatpoolmypool177netmaskEageRouter(config)#ipnatinsidesourcelist2poolmypool1overloadEageRouter(config)#interfacefa0/0EageRouter(config-if)#ipnatinsideEageRouter(config-if)#interfaces0/0EageRouter(config-if)#ipnatoutsideEageRouter(config)#end我们建立两个ComplexPDU格式如下图所示：步骤4.2我们来测试一下刚才的配置。图10.17PC3到的HTTPComplexPDU设置图10.18PC4到的HTTPComplexPDU设置结果如图10.19所示图10.19PC3、PC4分别到的HTTPPDU实验结果图10.19中0号PDU和1号PDU的Successful状态分别说明教学网段和宿舍网段可以访问00.3上的HTTP资源。此时我们用如下命令做进一步的验证。EageRouter#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal---3---------4---------5---------6------tcp7:1026:1026:80:1026tcp7:1024:1026:80:1024黑体部分就是我们刚才PAT的结果。步骤4.3实验结果分析。我们分别调出两个数据包在EageRouter上的PDUInformation面板，在各自OSIModel选项卡中我们可以清楚的看到各自的IP地址的转换过程。下方的英文信息说明这一点，如图10.20所示：图10.20EageRoute上PC4到HTTPPDU的IP地址转换过程图10.21EageRoute上PC3到HTTPPDU的IP地址转换过程至此实验内容全部结束。本次实验内容较多，希望大家理清头绪，好好总结。【参考配置】EageRouter#showrunversion12.2hostnameEageRouterinterfaceFastEthernet0/0ipaddressipaccess-group101outipnatinsideduplexautospeedautointerfaceSerial0/0ipaddress1ipnatoutsideinterfaceSerial0/1noipaddressshutdowninterfaceFastEthernet1/0noipaddressshutdownrouterripnetworknetworkipnatpoolmypool56netmaskipnatpoolmypool177netmaskipnatinsidesourcelist1poolmypoolipnatinsidesourcelist2poolmypool1overloadipnatinsidesourcestatic3ipnatinsidesourcestatic4ipclasslessaccess-list101denytcp55hosteq21access-list101permittcp55hosteq80access-list101permittcp55hosteq25access-list101permittcphosteq80anyaccess-list1permit55access-list1permit55access-list2permit55access-list2permit55linecon0endOutsideRouter#showrunversion12.2hostnameOutsideRouterinterfaceFastEthernet0/0ipaddressduplexautospeedautointerfaceSerial0/0ipaddress0clockrate9600interfaceSer