《计算机网络工程实训》课件第18章

第18章路由器NAT协议的实现18.1实训目的18.2实训环境18.3实训内容18.4实训步骤18.5实训思考

18.1实训目的

(1)理解NAT的概念和技术特征；

(2)熟悉路由器配置NAT的相关命令；

(3)理解NAT技术的实现类型；

(4)掌握NAT技术的三类配置方法和步骤。

18.2实训环境

18.2.1实训器材

(1) Cisco2600系列路由器一台(每组)；

(2) RJ45直通型五类或超五类UTP网线若干条，交叉型五类或超五类UTP网线若干条；

(3) CiscoCatalyst2900系列交换机(或HUB)一台(每组)；

(4)带有超级终端程序的PC机(带100M网卡)若干台；

(5)控制(反接)线一条，转换口一个(每组)。18.2.2网络示意图

按图18-1所示将对应设备连接好，这样就建立了一个包含路由器的实训环境。图18-1路由器配置NAT实训环境18.2.3实训环境解析

1.组建实训环境

按图18-1所示将对应设备连接好。用直通型UTP网线，把CiscoCatalyst2900系列交换机的FastEthernet0/1端口和Cisco2600系列路由器的FastEthernet0/0端口连接起来，交换机的FastEthernet0/2～４端口分别接三台PC机。并用交叉型UTP网线将Cisco2600系列路由器的FastEthernet0/1端口连接一台PC机(主机IP地址为00)。

设置NAT功能的路由器至少要有一个内部端口(Inside)，一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络，如Internet。外部端口可以为路由器上的任意端口。

2.有关地址分类

路由器NAT技术涉及到4类地址，如图18-2所示。图18-2有关地址分类的示意图

(1)内部本地地址(Insidelocaladdress)：分配给内部网络中的计算机的内部IP地址(内部私有地址)，不能直接用于互联网，这些地址通常只有内部主机知道。私有IP地址范围如表18-1所示。

(2)内部全局地址(Insideglobaladdress)：分配给内部主机的用于NAT处理的地址。对外进行IP通信时，代表一个或多个内部本地地址的合法IP地址。这种内部主机的地址可以被外部主机看到。在互联网上是合法的IP地址(内部公有地址)。

(3)外部本地地址(Outsidelocaladdress)：一个外部主机相对于内部网络所用的IP地址，即分配给外部主机的用于NAT处理的IP地址。这些外部主机的地址可以被内部主机看到，不一定是合法的地址。

(4)外部全局地址(Outsideglobaladdress)：外部网络主机的合法IP地址(外部公有地址)。这类地址可以被外部主机知道，但不能被内部主机知道。

内部地址被内部网络所使用，这些地址可能要进行转换。外部地址被外部网络所使用，也可能需要进行转换(但实际上，多数情况下只有内部地址需要被转换，即外部主机地址在外部网络和内部网络上是相同的)。术语“本地(local)”指的是其地址可以被内部主机看到。而术语“全局(global)”指的是地址可以被外部主机看到。

一般情况下，外部本地地址和外部全局地址是同一个公有地址，它们就是内部网络主机所访问的互联网上的主机，只有当特殊情况的时候，两个地址才不一样。18.3实训内容

18.3.1NAT技术实现类型

NAT有三种类型，即静态NAT、动态NAT和端口地址转换(PAT)。

1.静态NAT

在静态NAT中，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。静态地址转换是将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，则这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。

2. 动态NAT

动态NAT首先要定义合法地址池，NAT池在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。动态NAT从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换，是动态一对一的映射，多用于网络中的工作站。

3.端口地址转换(PAT)

PAT也称复用动态地址转换，PAT首先是一种动态地址转换，是把内部地址映射到外部网络的一个IP地址的不同端口上，从而可以实现多对一的映射，即允许多个内部本地地址共用一个内部合法地址。PAT对于节省IP地址是最为有效的。对于只申请到少量IP地址但却经常同时有多个合法地址的用户使用外部网络的情况，这种转换极为有用。

注意：当多个用户同时使用一个IP地址时，外部网络通过路由器内部利用上层的TCP或UDP端口号等唯一标识某台计算机。18.3.2NAT基本配置方式

1.静态NAT基本配置

(1)在全局设置模式下，指定参与转换的局域网接口在内部本地地址与内部合法地址之间建立静态地址转换，方法如下：

Router(config)#ipnatinsidesourcestaticlocal-ipglobal-ip

//参数“local-ip”和“global-ip”分别表示内部本地地址和内部合法地址。

(2)指定参与转换的内网接口，方法如下：

Route(config)#interfacef0/0

Router(config-if)#ipaddressip-addresssubmask

(3)在端口设置状态下，指定连接网络的内部端口，方法如下：

Router(config-if)#ipnatinside

(4)指定参与转换的外网接口，方法如下：

Router(config)#interfacef0/1

Router(config-if)#ipaddressip-addresssubmask

(5)在端口设置状态下，指定连接外部网络的外部端口，方法如下：

Router(config-if)#ipnatoutside

注：可以根据实际需要定义多个内部端口及多个外部端口。

2.动态NAT基本配置

(1)在全局设置模式下，定义内部合法地址池(申请到的合法IP地址的范围)，方法如下：

ipnatpool内部合法地址池名称起始IP地址终止IP地址子网掩码

中地址池名称可以任意设定。

(2)在全局设置模式下，定义一个标准访问列表，指定哪些专用地址被允许进行转换，方法如下：

access-listaccess-list-numberpermitsource-ip-address[source-wildcard]

(access-list标号permit源地址通配符)其中，access-list-number(访问列表标号)取值1～99之间的整数，通配符掩码的作用与子网掩码类似，但它是子网掩码的反码。例如，若允许/24网络的全部主机进行动态地址转换，则可以使用下列命令：

Router(config)#access-list1permit55

(3)在全局设置模式下，将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换，方法如下：

ipnatinsidesourcelistaccess-list-numberpool内部合法地址池名字若地址池名称为aaa，则命令“ipnatinsidesourcelist1poolaaa”表示把“access-list1”允许的内部地址映射为地址池aaa定义的全局地址。

(4)在端口设置状态下，指定与内部网络相连的内部端口，方法如下：

Route(config)#interfacef0/0

Router(config-if)#ipnatinside

(5)在端口设置状态下，指定与外部网络相连的外部端口，方法如下：

Router(config)#interfacef0/1

Router(config-if)#ipnatoutside

3.动态PAT基本配置

(1)在全局设置模式下，定义内部合地址池，方法如下：

Router(config-if)#ipnatpool地址池名字起始IP地址终止IP地址子网掩码

其中，地址池名字可以任意设定。

(2)在全局设置模式下，定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换，方法如下：

access-listaccess-list-numberpermitsource-ip-address[source-wildcard]

(access-list标号permit源地址通配符)其中，access-list-number(访问列表标号)取值为1～99之间的整数，通配符掩码的作用与子网掩码类似，但它是子网掩码的反码。例如，若允许/24网络的全部主机进行动态地址转换，则可以使用下列命令：

Router(config)#access-list1permit55

(3)在全局设置模式下，设置在内部的本地地址与内部合法IP地址间建立端口地址转换(PAT)，方法如下：

ipnatinsidesourcelist访问列表标号pool内部合法地址池名字overload

(4)在端口设置状态下，指定与内部网络相连的内部端口，方法如下：

Route(config)#interfacef0/0

Router(config-if)#ipnatinside

(5)在端口设置状态下，指定与外部网络相连的外部端口，方法如下：

Router(config)#interfacef0/1

Router(config-if)#ipnatoutside

PAT将专用地址映射到全局地址的不同端口上，因为一个IP地址的端口数有65535个，即一个全局地址可以和最多达65535个内部地址建立映射，故从理论上说，一个全局地址可以供6万多个内部地址通过NAT连接Internet。18.4实训步骤

通过虚拟终端或telnet方式登录到路由器，对路由器做初始化配置，建立路由器静态路由。

18.4.1静态NAT配置

本实训实现静态NAT地址转换功能。将Cisco2600系列路由器的以太网口f0/0作为内部端口，以太网口f0/1作为外部端口。其中，，

的内部本地地址采用静态地址转换，其内部合法地址分别对应为，，。步骤1：在内部本地地址与内部合法地址之间建立静态地址转换。

Router#configterminal

Router(config)#ipnatinsidesourcestatic

Router(config)#ipnatinsidesourcestatic

Router(config)#ipnatinsidesourcestatic

步骤2：指定参与转换的内网接口，在端口设置状态下指定连接网络的内部端口。

Router(config)#interfacef0/0

Router(config-if)#ipaddress

Router(config-if)#ipnatinside

步骤3：指定参与转换的外网接口，在端口设置状态下指定连接网络的外部端口。

Router(config)#interfacef0/1

Router(config-if)#ipaddress

Router(config-if)#ipnatoutside在内网选择三台PC主机，进行主机的网络配置(设置其IP地址、子网掩码、缺省网关)，并在确保PC机能与缺省网关连通的前提下，分别用ping命令检查在内网三台主机上访问外网主机(00)的连通性。

在使用ping命令测试前，对PC机的TCP/IP属性设置如下：

PC1：IP地址为；子网掩码为；默认网关为。

PC2：IP地址为；子网掩码为：默认网关为。

PC3：IP地址为；子网掩码为；默认网关为。

测试结果如图18-3、图18-4、图18-5和图18-6所示。

从测试情况来看，PC1、PC2和PC3均已经成功与外网主机(00)建立连接，这也说明静态NAT配置已经起作

用了。图18-3PC1pingPC2的结果图18-4PC2pingPC3的结果图18-5PC3pingPC1的结果图18-6内网主机ping通外网主机(00)步骤5：在路由器特权模式下查看地址转换信息。

Router#showipnatstatistics

该命令用来查看NAT表。静态映射时，NAT表一直存在。

Router#showipnattranslations

ProInsideglobalInsidelocalOutsidelocalOutsideglobal

---------

---------

---------

以上输出表明了内部全局地址和内部局部地址的对应关系。注意：

(1)这三种类型的NAT配置完成后均可以用以下语句进行调试和查看：

Router#showipnatstatistcs//查看NAT转换的统计信息

Router#showipnattranslations

//查看NAT表。静态映射时，NAT表一直存在

Router#debugipnat//查看地址翻译的过程

(2)从外网到内网建立NAT映射后，外网主机(如00)能ping通内部全局地址(如)，如果使用ping内部真实地址(如)，则访问失败，这是因为从外网没有到达内网的路由存在。配置清单如下：

hostnameRouter

!

interfaceFastEthernet0/0

ipaddress

ipnatinside

duplexauto

speedauto

!

interfaceFastEthernet0/1

ipaddress

ipnatoutside

duplexauto

speedauto

!

ipnatinsidesourcestatic

ipnatinsidesourcestatic

ipnatinsidesourcestatic

ipclassless

!18.4.2动态NAT基本配置

本实训中硬件配置同上，运用动态NAT地址转换功能。将Cisco2600系列路由器的以太网口f0/0作为内部端口，以太网口f0/1作为外部端口。其中网段采用动态地址转换。对应内部合法地址为～0。

步骤1：在全局配置模式下，定义内部合法地址范围。

Router#configterminal

Router(config)#ipnatpoolaaa0netmask

步骤2：定义标准访问列表过滤规则，确定可进行动态地址转换的内部地址。

Router(config)#access-list1permit55

步骤3：将指定的内部本地地址与指定的内部合法地址池进行地址转换。

Router(config)#ipnatinsidesourcelist1poolaaa

步骤4：指定参与转换的内网接口，在端口设置状态下指定连接网络的内部端口。

Router(config)#interfacef0/0

Router(config-if)#ipaddress

Router(config-if)#ipnatinside步骤5：指定参与转换的外网接口，在端口设置状态下指定连接网络的外部端口。

Router(config)#interfacef0/1

Router(config-if)#ipaddress

Router(config-if)#ipnatoutside

步骤6：测试网络的连通性。

在内网选择三台PC主机，进行主机的网络配置(设置其IP地址、子网掩码、缺省网关)，并在确保PC机能与缺省网关连通的前提下，分别用ping命令检查在内网三台主机上访问外网主机(00)的连通性。在使用ping命令测试前，对PC机的TCP/IP属性设置如下：

PC1：IP地址为；子网掩码为；默认网关为；

PC2：IP地址为；子网掩码为：默认网关为；

PC3：IP地址为；子网掩码为；默认网关为。

测试的结果：PC1pingPC2、PC2pingPC3、PC3pingPC1以及内网主机ping通外网主机与图18-3、图18-4、图18-5和图18-6所示一样。从测试情况来看，PC1、PC2和PC3均已经成功与外网主机(00)建立连接，这也说明静态NAT配置已经起作用了。步骤7：在路由器特权模式下查看地址转换信息。

Router#showipnatstatistics

Router#showipnattranslations

ProInsideglobalInsidelocalOutsidelocalOutsideglobal

---------

---------

---------

---------注意：

(1)动态NAT的过期时间是86400s，通过命令“showipnattranslationsverbose”可以查看。

(2)如果动态NAT地址池中没有足够的地址作动态映射，则会提示NAT转换失败，并丢弃数据包。

配置清单如下：

hostnameRouter

!

interfaceFastEthernet0/0

ipaddress

ipnatinside

duplexauto

speedauto

!

interfaceFastEthernet0/1

ipaddress

ipnatoutside

duplexauto

speedauto

!

ipnatpoolaaa0netmask

ipnatinsidesourcelist1poolaaa

ipclassless

!

access-list1permit55

!18.4.3动态PAT基本配置

本实训中硬件配置同前一小节，应用动态PAT地址转换功能，将Cisco2600系列路由器的以太网口f0/0作为内部端口，以太网口f0/1作为外部端口。网段采用复用动态地址转换。假设企业只申请了两个合法的IP地址，一个为，另一个用于外网主机。

步骤1：定义内部合法地址池。

Router#configterminal

Router(config)#ipnatpoolbbb

netmask步骤2：定义标准访问列表过滤规则，确定可进行动态地址转换的内部地址。

Router(config)#access-list1permit55

步骤3：将指定的内部本地地址与指定的内部合法地址池进行地址转换。

Router(config)#ipnatinsidesourcelist1poolbbboverload

步骤4：指定参与转换的内网接口，在端口设置状态下指定连接网络的内部端口。

Router(config)#interfacef0/0

Router(config-if)#ipaddress

Router(config-if)#ipnatinside步骤5：指定参与转换的外网接口，在端口设置状态下指定连接网络的外部端口。

Router(config)#interfacef0/1

Router(config-if)#ipaddress

Router(config-if)#ipnatoutside

步骤6：测试网络的连通性。

在内网选择三台PC主机，进行主机的网络配置(设置其IP地址、子网掩码、缺省网关)，并在确保PC机能与缺省网关连通的前提下，分别用ping命令检查在内网三台主机上访问外网主机(00)的连通性。在使用ping命令测试前，对PC机的TCP/IP属性设置如下：

PC1：IP地址为；子网掩码为；默认网关为。

PC2：IP地址为；子网掩码为：默认网关为。

PC3：IP地址为；子网掩码为；默认网关为。

测试的结果：PC1pingPC2、PC2pingPC3、PC3pingPC1以及内网主机ping通外网主机与图18-3、图18-4、图18-5和图18-6所示一样。从测试情况来看，PC1、PC2和PC3均已经成功与外网主机(00)建立连接，这也说明静态NAT配置已经起作用了。

步骤7：在路由器特权模式下查看地址转换信息。

Router#showipnatstatistics

Router#showipnattr