网络地址转换--动态NAT配置
2.1 实验目的
(1)理解动态NAT和静态映射的区别;
(2)掌握NAT地址池的配置;
(3)掌握NAT转换中访问控制列表的应用;
(4)掌握静态NAT的配置
2.2 实验原理
1.动态NAT
动态转换(亦称NAT pool)是指不建立内部地址和全局地址的一对一的固定对应关系。而通过共享NAT地址池的IP地址动态建立NAT的映射关系。当内网主机需要进行NAT地址转换时,路由器会在NAT地址池中选择空闲的全局地址进行映射,每条映射记录是动态建立的,在连接终止时也被收回。
图3 动态NAT的工作原理
如图9-3所示,内网主机A的报文经过边缘路由器时,路由器会在预先配置好的NAT地址池中选出空闲的内部全局地址进行映射。如图9-3所示,NAT地址池中只有202.80.20.2是空闲的,所以路由器选取该地址和172.16.10.10建立映射关系,172.16.10.10ßà202.80.20.2。因此数据包1的源IP地址将会替换为202.80.20.2。数据包从外网返回则替换目的IP地址。
2.动态NAT配置命令
动态NAT的配置过程如表3所示:
表3 动态NAT的配置步骤
|
配置说明 |
命令 |
|
|
步骤1 |
配置内部接口、和外部接口 |
//配置外部接口 Router(config-if)#interface interface-id Router(config-if)#ip nat outside //配置内部接口 Router (config-if)#interface interface-id Router (config-if)#ip nat inside |
|
步骤2 |
配置转换地址池 |
Router (config)#ip nat pool name start-ip end-ip {netmask x.x.x.x| prefix-length x } |
|
步骤3 |
配置需要进行地址转换源IP访问控制列表 |
Router(config) # access-list number permit x.x.x.x(网络号) x.x.x.x (子网掩码) |
|
步骤4 |
配置NAT转换 |
Router(config)# ip nat inside source list number pool pool-name |
|
步骤4 |
检查NAT的运行结果 |
Router #show ip nat translations |
例子:允许内部地址为192.168.20.0/24的网络进行转换,转换的地址池为
210.20.20.10~210.20.20.15,子网掩码为255.255.255.0。配置命令如下:
R1(config)# ip nat pool NAT-POOL 210.20.20.10 210.20.20.15 netmask 255.255.25.0
//主要配置以下参数:
//地址池名称: TEST_POOL
//地址池开始地址:210.20.20.10
//地址池结束地址:210.20.20.15
//地址池的子网掩码:255.255.255.0
R1(config)# access-list 1 permit 192.168.20.0
R1(config)# ip nat inside source list 1 pool NAT-POOL
3.动态NAT配置实例
网络拓扑图如图4所示:
图4 动态NAT网络拓扑图
地址表如表4所示:
表4 动态NAT网络IP地址表
|
设备 |
接口 |
IP地址 |
子网掩码 |
|
R0 |
Fa 0/0 |
10.10.10.2 |
/24 |
|
Fa0/1 |
192.168.1.1 |
/24 |
|
|
Fa1/0 |
192.168.2.1 |
/24 |
|
|
R1 |
S2/0 |
210.38.220.1 |
/24 |
|
Fa0/0 |
10.10.10.1 |
/24 |
|
|
R2 |
S2/0(DCE) |
210.38.220.2 |
/24 |
|
PC1 |
NIC |
192.168.1.10 |
/24 |
|
PC2 |
NIC |
192.168.1.20 |
/24 |
|
PC3 |
NIC |
192.168.2.10 |
/24 |
背景说明:对于一些公司,它们可能会一次性申请很多个公网IP来为公司各个部门提供上网服务。我们假设某公司申请了6个公网IP,所属网段为: 210.38.220.10à 210.38.220.15,子网掩码为255.255.255.0;合法的公网IP地址不够每人分配一个,但该公司一般情况下有1/2的人员在外跑业务或做技术支持,在公司的员工也不会一直需要提供网络服务,据此,我们可以通过动态分配全局地址的地址转换技术来解决该公司的需要。
配置要求:配置动态NAT,允许转换IP地址属于192.168.1.0/24的网段,其他网段不允许进行NAT转换。
实验步骤:
步骤1:R0配置
R0(config)# interface f0/0R0(config-if)# ip address 10.10.10.2 255.255.255.0 //配置接口IP地址R0(config-if)# no shutdownR0(config)# interface f0/1R0(config-if)# ip address 192.168.1.1 255.255.255.0 //配置接口IP地址R0(config-if)# no shutdownR0(config)# interface f1/0R0(config-if)# ip address 192.168.2.1 255.255.255.0 //配置接口IP地址R0(config-if)# no shutdownR0(config-if)#ip route 0.0.0.0 0.0.0.0 f0/0 //配置R0默认路由。步骤2:R1的配置。
R1(config)# interface f0/0R1(config-if)# ip address 10.10.10.1 255.255.255.0 //配置接口IP地址R1(config-if)#ip nat inside //配置f0/0为内部接口R1(config-if)# no shutdownR1(config)# interface s2/0R1(config-if)# ip address 210.38.220.1 255.255.255.255 //配置接口IP地址R1(config-if)#ip nat outside //配置s2/0为外部接口R1(config-if)# no shutdownR0(config-if)#ip route 0.0.0.0 0.0.0.0 S2/0 //配置默认路由。R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255//配置匹配内网IP地址访问控制列表//配置NAT地址池R1(config)#ip nat pool TEST_POOL 210.38.220.10 210.38.220.15 netmask 255.255.255.0 R1(config)#ip nat inside source list 1 pool TEST_POOL //配置动态NAT转换步骤3:R2的配置。
R2(config)#int s2/0R2(config-if)#ip address 210.38.220.2 255.255.255.255R2(config-if)# clock rate 64000R2(config-if)#no shutdown步骤4:检查配置结果与测试
(1)动态NAT的映射关系不是静态建立的,而是通过数据流触发建立的,因此每次建立的映射关系可能是不一样的,在没有触发流量的时候,查看nat映射表。
R2#sh ip nat translations
R2#
可以看到映射表是空的,说明映射关系并没有建立。
我们分别从PC1、PC2触发流量,在观察NAT映射表的情况。
R1#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
icmp 210.38.220.10:21 192.168.1.10:21 210.38.220.2:21 210.38.220.2:21
icmp 210.38.220.10:22 192.168.1.10:22 210.38.220.2:22 210.38.220.2:22
icmp 210.38.220.11:15 192.168.1.20:15 210.38.220.2:15 210.38.220.2:15
icmp 210.38.220.11:16 192.168.1.20:16 210.38.220.2:16 210.38.220.2:16
可以看到192.168.1.10 à210.38.220.10,192.168.1.20 à210.38.220.11,说明地址转换起到效果。
(2)使用debug命令查看到的转换过程。
R1#debug ip nat
IP NAT debugging is on
R1#
NAT: s=192.168.1.10->210.38.220.11, d=210.38.220.2 [21] // s表示源地址转换
NAT*: s=210.38.220.2, d=210.38.220.11->192.168.1.10 [32] //d表示目的地址转
NAT: s=192.168.1.10->210.38.220.11, d=210.38.220.2 [22]
NAT*: s=210.38.220.2, d=210.38.220.11->192.168.1.10 [33]
(3) 动态NAT映射表条目存在一定生存时间,时间超过时转换条目将会被自动删除。一对一的动态NAT超时时间为10分钟(600秒);基于端口的动态NAT超时时间为1分钟(60秒)。
注意事项:
1)不要把inside和outside应用的接口弄错:
2)如果有条件,尽量不要用outside接口的全局地址作为内部全局地址,该接口地址的所有者是互联网服务提供商(ISP)。当线路变更时地址就会改变,就需要更改DNS记录了,如果是直接通过IP提供服务,那就更麻烦,而线路的变更是常有的。另外,路由器的outside接口有可能不是可用的地址,而是私有地址等。
网络地址转换--动态NAT配置相关推荐
- 什么是网络地址转换(NAT)—Vecloud 微云
网络地址转换(NAT)最初在RFC 1631中进行了描述.尽管最初是作为防止IPv4地址耗尽的短期解决方案提出的,但仍在使用它.NAT有什么特别之处,使网络工程师可以使用26年以上?让我们找出答案. ...
- CCNA之网络地址转换(NAT)简介
网络地址转换(NAT) 1. 在什么情况下使用NAT 需要连接到因特网,但主机没有全局唯一的IP地址: 更换的ISP要求对网络进行从新编址: 需要合并两个使用相同编址方案的内联网. 实现NAT的优缺 ...
- 网络地址转换(NAT)(二)
作者简介:一名在校计算机学生.每天分享网络运维的学习经验.和学习笔记. 座右铭:低头赶路,敬事如仪 个人主页:网络豆的主页 目录 前言 一.NAT的配置 1.NAT静态配置 (1)静态 ...
- 网络地址转换(NAT)技术
网络地址转换原理 NAT技术的基本原理 NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网. NAT是将IP报文报头中的IP地址转换为 ...
- 思科路由器动态NAT配置
相关学习推荐: 优秀的网工都会NAThttps://blog.csdn.net/XMWS_IT/article/details/121508603?spm=1001.2014.3001.5502 微思 ...
- virtualbox只能选用网络地址转换(NAT)模式下搭建个人局域网
个人博客:https://suveng.github.io/blog/ virtualbox只能选用网络地址转换(NAT)模式下搭建个人局域网 这里先引用以为大佬的博客,上面清楚的介绍虚 ...
- virtualbox 网络地址转换(NAT)
因为个人在工作的时候条件比较充足,基本上不需要用到 virtualbox 或者 vmware 等这些虚拟软件,一个是因为他们占用本机的资源挺大的,电脑配置稍微低点就很难受了,所以说的条件充足是因为我多 ...
- ENSP配置 实例九 动态Nat配置
ENSP配置 实例九 动态Nat配置 sy [Huawei]sy R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 ...
- 动态NAT配置实验(1)
动态NAT配置: 允许172.16.0.0/16的网络获得200.100.150.3/24到200.100.150.20/24的公有地址 路由器r1: Router>en Router#conf ...
最新文章
- GIT:如何管理本机的多个ssh密钥(多个远程仓库账号)
- 聊聊IO多路复用之select、poll、epoll详解
- Linux有关信息收集命令
- @async 没有异步_扒一扒VueCLI3.0中Axios异步请求同步化
- 我在阿里云做前端代码智能化
- 快手副总裁林粼:快手将从事5G相关业务线研究布局
- vs调试linux多线程,VS2017多线程调试
- 一个按钮控制暂停和开始java_《第一炉香》|一个女人的自甘堕落,从控制不住欲望开始...
- linux 查看数据库和表
- window10系统下载软件教程
- 简单记录 03.21
- android图片压缩总结2
- ccf-20161203--权限查询
- 达梦企业管理器DEM的安装部署
- Logistic-tent混沌系统matlab
- ZYNQ中DMA与AXI4总线-DMA简介
- 渭城曲 / 送元二使安西
- logback入库配置
- ios状态栏的颜色修改
- 通讯录怎么恢复?在 手机上检索找回已删除的电话号码的3种方式