计算机网络实验指导4.7-NAT配置

网络层第4

章郑宏宿红毅编著计算机网络实验指导4.1VLANIF配置4.2单臂路由器配置4.3静态路由与默认路由配置4.4RIP配置与分析4.5OSPF配置4.6

IPv6网络配置与分析4.7

NAT配置4.7

NAT配置3实验4.7.1静态NAT配置实验4.7.2动态NAT配置实验4.7.3NAPT配置实验目的1．理解专用地址和全球地址的区别。2．理解NAT的作用和工作原理，了解NAT地址转换表结构。3．掌握静态NAT的配置方法。4．掌握动态NAT的配置方法。5．掌握网络地址与端口号转换NAPT的配置方法。4实验装置1．华为eNSP软件。2．ping。3．Wireshark。4.7

NAT配置实验原理（1/2）NAT（NetworkAddressTranslation，网络地址转换）是解决IPv4地址紧缺的一种有效方法，主要用于实现专用互联网或本地互联网（简称专用网，使用专用IP地址）访问外部互联网（简称外网，使用全球IP地址）。RFC1918规定了三块专有地址作为本地网络使用。这三个地址块是：（1）10.0.0.0到10.255.255.255（记为10.0.0.0/8，又称为24位块）。（2）172.16.0.0到172.31.255.255（记为172.16.0.0/12，又称为20位块）。（3）192.168.0.0到192.168.255.255（记为192.168.0.0/16，又称为16位块）。54.7

NAT配置实验原理（2/2）NAT转换方式主要有三种类型：静态NAT：专用网IP地址与全球IP地址是一对一静态绑定的。支持双向互访。动态NAT：M个专用网用户共用N个全球IP地址，但专用网IP地址与全球IP地址的映射关系是动态的。本质上还是一对一映射的。网络地址与端口号转换NAPT（NetworkAddressPortTranslation）：基于运输层端口进行转换，允许多个专用网IP地址映射到同一个全球IP地址上，使多个专用网用户可共用一个全球IP地址同时访问外部网络。能解决IP地址紧缺问题。NAT设备维护NAT地址转换表（或映射表），该表记录了IP数据报出（离开专用网）和报入（进入专用网）时，专用网IP地址与全球IP地址及端口的映射关系。64.7

NAT配置任务要求（1/3）：某网络如图所示。招生就业部和学生工作部的电脑位于校园网不同的IP网段。由于业务需要，两个部门的用户需要交换数据，且都需要访问外部互联网。校园网提供了两个全球IP地址202.168.211.10/24和202.168.211.30/24，用于这两个部门访问外部互联网，并规定：仅允许招生就业部的电脑PC-10-1使用202.168.211.10，学生工作部的电脑PC-20-1使用202.168.211.30。请在交换机上配置VLAN，在路由器上配置静态或默认路由和静态NAT，实现不同部门之间的通信和对外部互联网的访问。7实验4.7.1

静态NAT配置任务要求（2/3）：8图4-17配置静态NAT实现对外部互联网的访问实验4.7.1

静态NAT配置任务要求（3/3）：9表4-25VLAN、PC和端口的IPv4地址和子网掩码以及允许使用的全球IP地址定义

IPv4地址子网掩码默认网关VLAN10192.168.10.0255.255.255.0

PC-10-1192.168.10.11255.255.255.0192.168.10.1PC-10-2192.168.10.12255.255.255.0192.168.10.1VLAN30192.168.30.0255.255.255.0

PC-30-1192.168.30.11255.255.255.0192.168.30.1PC-30-2192.168.30.12255.255.255.0192.168.30.1路由器

RTA

GE0/0/0192.168.10.1255.255.255.0

GE0/0/1192.168.30.1255.255.255.0

GE0/0/2202.168.211.1255.255.255.0

路由器

RTB

GE0/0/2202.168.211.2255.255.255.0

静态

NAT

PC-10-1出：202.168.211.10PC-30-1出：202.168.211.30实验4.7.1

静态NAT配置实验步骤（1/4）：步骤1：创建拓扑。向空白工作区中添加2台路由器、2台交换机和PC。按指定端口将交换机、路由器和PC互连路。步骤2：配置PC的IP地址。为PC配置IPv4地址、子网掩码和默认网关。保存创建的拓扑。步骤3：启动设备。10实验4.7.1

静态NAT配置11实验步骤（2/4）：创建的网络拓扑实验4.7.1

静态NAT配置实验步骤（3/4）：步骤4：在各交换机上配置VLAN。步骤5：为各路由器配置端口IP地址。在RTA上配置静态默认路由，允许访问外部网络。步骤6：配置验证。检查PC-10-1是否能与PC-10-2、PC-30-2和RTA通信。

ping192.168.10.12

能：正确；

不能：错误。

ping192.168.30.12 能：正确；

不能：错误。

ping202.168.211.1 能：正确；

不能：错误。12注：若彼此不能ping通，则不能进入后续步骤。请检查交换机、路由器和电脑的配置，排除故障，直到能彼此ping通为止。实验4.7.1

静态NAT配置实验步骤（4/4）：步骤7：为路由器RTA配置静态NAT。在端口GE0/0/2上配置一对一的NAT映射。查看NAT地址转换表所有表项的详细信息。步骤8：测试验证。1.开启路由器RTA端口GE0/0/0和GE0/0/2的数据抓包。2.从PC-10-1

ping路由器RTB:ping202.168.211.2

能：正确；不能：错误。3.从PC-10-2

ping路由器RTB:ping202.168.211.2

能：错误；不能：正确。4.分析抓取到的ping通信，回答下列问题：执行上述2个ping命令时，进入和离开路由器RTA的IP数据报的源和目的IP地址分别是什么？完成并提交实验报告13实验4.7.1

静态NAT配置任务要求（1/3）：某网络如图所示。招生就业部和学生工作部的电脑位于校园网不同的IP网段。由于业务需要，两个部门的用户需要交换数据，且都需要访问外部互联网。为允许从任何一台电脑访问外部互联网，校园网提供了8个全球IP地址，用于这两个部门访问外部互联网。允许招生就业部的所有电脑都可以使用202.168.211.10~202.168.211.13/24，学生工作部的所有电脑都可以使用202.168.211.30~202.168.211.33/24。请在交换机上配置VLAN，在路由器上配置静态或默认路由和动态NAT，实现不同部门之间的通信和对外部互联网的访问。14实验4.7.2动态NAT配置任务要求（2/3）：15图4-18配置动态NAT实现对外部互联网的访问实验4.7.2动态NAT配置任务要求（3/3）：16表4-28VLAN、PC和端口的IPv4地址和子网掩码以及允许使用的全球IP地址定义

IPv4地址子网掩码默认网关VLAN10192.168.10.0255.255.255.0

PC-10-1192.168.10.11255.255.255.0192.168.10.1PC-10-2192.168.10.12255.255.255.0192.168.10.1VLAN30192.168.30.0255.255.255.0

PC-30-1192.168.30.11255.255.255.0192.168.30.1PC-30-2192.168.30.12255.255.255.0192.168.30.1路由器

RTA

GE0/0/0192.168.10.1255.255.255.0

GE0/0/1192.168.30.1255.255.255.0

GE0/0/2202.168.211.1255.255.255.0

路由器

RTB

GE0/0/2202.168.211.2255.255.255.0

动态NAT

招生就业部的所有电脑出：202.168.211.10-202.168.211.13学生工作部的所有电脑出：202.168.211.30-202.168.211.33实验4.7.2动态NAT配置实验步骤（1/5）：步骤1：加载拓扑。1.打开实验4.7.1中保存的拓扑文件，将其加载到工作区。当然，也可以创建拓扑。2.检查、设置各PC的IP地址、子网掩码和默认网关的设置，使其与表4-28中的定义一致。3.保存拓扑。步骤2：启动设备。17实验4.7.2动态NAT配置18实验4.7.2动态NAT配置实验步骤（2/5）：创建的网络拓扑实验步骤（3/5）：步骤3：在各交换机上配置VLAN。步骤4：为各路由器配置端口IP地址。在RTA上配置静态默认路由，允许访问外部网络。步骤5：配置验证。检查PC-10-1是否能与PC-10-2、PC-30-2和RTA通信。

ping192.168.10.12

能：正确；

不能：错误。

ping192.168.30.12 能：正确；

不能：错误。

ping202.168.211.1 能：正确；

不能：错误。19注：若彼此不能ping通，则不能进入后续步骤。请检查交换机、路由器和电脑的配置，排除故障，直到能彼此ping通为止。实验4.7.2动态NAT配置实验步骤（4/5）：步骤6：为路由器RTA配置动态NAT。1.配置2个地址池。2.配置ACL（AccessControlList，访问控制列表），允许特定地址进行NAT地址转换。3.在端口GE0/0/2上配置出方向动态NAT。4.查看NAT地址转换表所有表项的详细信息。20实验4.7.2动态NAT配置实验步骤（5/5）：步骤7：测试验证。1.开启路由器RTA端口GE0/0/0和GE0/0/2的数据抓包。2.从PC-10-1

ping路由器RTB:ping202.168.211.2

能：正确；不能：错误。3.从PC-10-2

ping路由器RTB:ping202.168.211.2

能：正确；不能：错误。4.从PC-30-2

ping路由器RTB:ping202.168.211.2

能：正确；不能：错误。5.分析抓取到的ping通信，回答下列问题：执行上述3个ping命令时，进入和离开路由器RTA的IP数据报的源和目的IP地址分别是什么？完成并提交实验报告21实验4.7.2动态NAT配置任务要求（1/3）：某网络如图所示。招生就业部和学生工作部的电脑位于校园网不同的IP网段。由于业务需要，两个部门的用户需要交换数据，且都需要访问外部互联网。为节省地址，且允许所有电脑同时访问外部互联网，校园网提供了1个全球IP地址202.168.211.10/24用于192.168.0.0/19网段的所有电脑同时访问外部互联网。处于该网段的招生就业部和学生工作部的所有电脑都可以使用该地址。请在交换机上配置VLAN，在路由器上配置静态或默认路由和NAPT，实现不同部门之间的通信，允许所有电脑同时访问外部互联网。22实验4.7.3

NAPT配置任务要求（2/3）：23图4-19配置NAPT实现对外部互联网的访问实验4.7.3

NAPT配置任务要求（3/3）：24表4-31VLAN、PC和端口的IPv4地址和子网掩码以及允许使用的全球IP地址定义

IPv4地址子网掩码默认网关VLAN10192.168.10.0255.255.255.0

PC-10-1192.168.10.11255.255.255.0192.168.10.1PC-10-2192.168.10.12255.255.255.0192.168.10.1VLAN30192.168.30.0255.255.255.0

PC-30-1192.168.30.11255.255.255.0192.168.30.1PC-30-2192.168.30.12255.255.255.0192.168.30.1路由器

RTA

GE0/0/0192.168.10.1255.255.255.0

GE0/0/1192.168.30.1255.255.255.0

GE0/0/2202.168.211.1255.255.255.0

路由器

RTB

GE0/0/2202.168.211.2255.255.255.0

NAPT

192.168.0.0/19网段的所有电脑出：202.212.211.10实验4.7.3

NAPT配置实验步骤（1/5）：步骤1：加载拓扑。1.打开实验4.7.2中保存的拓扑文件，将其加载到工作区。当然，也可以创建拓扑。2.检查、设置各PC的IP地址、子网掩码和默认网关的设置，使其与表4-31中的定义一致。3.保存拓扑。步骤2：启动设备。25实验4.7.3

NAPT配置26实验4.7.3

NAPT配置实验步骤（2/5）：创建的网络拓扑实验步骤（3/5）：步骤3：在各交换机上配置VLAN。步骤4：为各路由器配置端口IP地址。在RTA上配置静态默认路由，允许访问外部网络。步骤5：配置验证。检查PC-10-1是否能与PC-10-2、PC-30-2和RTA通信。

ping192.168.10.12

能：正确；

不能：错误。

ping192.168.30.12 能：正确；

不能：错误。

ping202.168.211.1 能：正确；

不能：错误。27注：若彼此不能ping