配置和監測動態內部源地址轉換

2019-11-04 20:35:49

字體：大中小

來源：轉載

供稿：網友

　　本節講述動態內部源地址轉換的配置，同時查看和測試NAT相關信息和操作。
　　
　　1.實驗目的
　　
　　通過本實驗，讀者可以把握以下技能:
　　●配置動態內部源地址轉換NAT;
　　●查看NAT相關信息;
　　●監測ip地址的轉換;
　　●測試動態內部源地址轉換的連通性。
　　　
　　2.設備需求
　　
　　本實驗所需設備與本章實驗1相同，參見實驗1設備需求部分。
　　
　　3.拓撲結構及配置說明
　　
　　本實驗的拓撲結構如圖12-2示。
　　配置和監測動態內部源地址轉換

　　路由器的角色安排如下:
　　●R1路由器負責內。外網的連接及NAT轉換;
　　●R2路由器作為外網節點，并模擬多個外網主機;
　　●R3路由器模擬內網上的多臺主機。
　　預備實驗時，用DCE和DTE電纜把R1和R2路由器連接起來;使用交叉雙絞線把R2和R3路由器連接起來。
　　各路由器使用的接口及其IP地址如圖12-2中的標注。
　　本實驗的環境實際上是局域網通過專線(DDN)接入Internet的網絡拓撲。當機構用戶申請通過專線接入Internet時，ISP通常會分配給用戶一個可用IP地址不多的網段供內網主機分配，如圖12-2中的200.1.1.0/29(即200.1.1.0255.255.255.248)網段，它有圖中標注的6個可用IP地址。
　　本實驗演示的是把內網地址和給出網段上的地址之間進行動態地址轉換，實現內網對外的訪問。這是在上述拓撲環境下接入Internet時NAT配置方式中的一種，即動態內部源地址轉換。
　　
　　4.實驗配置及監測結果
　　
　　下面在第1部分中首先進行動態NAT的配置，在第2部分對配置結果進行查看和監測。
　　
　　第1部分:配置動態內部源地址轉換
　　
　　對各路由器的配置見配置清單12-2。
　　
　　配置清單12-2配置動態內部源地址轉換
　　
　　第1段:路由器R1的配置
　　version 12.1
　　service timestamps debug uptime
　　service timestamps log uptime
　　no service passWord-encryption
　　!
　　hostname R1
　　!
　　ip subnet-zero
　　!
　　interface Ethemet0
　　　ip address 10.1.1.10 255.255.255.0
　　　ip nat inside
　　!
　　interface Serial0
　　　ip address 198.1.1.1255.255.255.252
　　ip nat outside
　　!
　　ip nat pool lab2 200.1.1.1 200.1.1.6 netmask 255.255.255.248
　　ip nat inside source list 1 pool lab2
　　ip classless
　　ip route 0.0.0.0 0.0.0.0 Serial0
　　ip http server
　　!
　　access-list 1 permit 10.1.1.0 0.0.0.255
　　!
　　line con 0
　　line aux 0
　　line vty 0 4
　　　login
　　!
　　end
　　第2段:路由器R2的配置
　　version 12.1
　　service timestamps debug uptime
　　service timestamps log uptime
　　no service password-encryption
　　!
　　hostname R2
　　!
　　ip subnet-zero
　　no ip finger
　　!
　　interface Loopback0
　　　ip address 202.1.1.2 255.255.255.0 secondary
　　　ip address 202.1.1.3 255.255.255.0 secondary
　　　ip address 202.1.1.4 255.255.255.0 secondary
　　　ip address 202.1.1.1255.255.255.0
　　!
　　interface Serial0
　　　ip address 198.1.1.2 255.255.255.252
　　　clockrate 64000
　　!
　　ip classless
　　ip route 200.1.1.0 255.255.255.248 Serial0
　　ip http server
　　!
　　line con 0
　　line aux 0
　　line vty 0 4
　　　password cisco
　　　login
　　!
　　end
　　第3段:路由器R3的配置
　　version 12.1
　　service timestamps debug uptime
　　service timestamps log uptime
　　no service password-encryption
　　!
　　hostname R3
　　!
　　no logging console
　　!
　　ip subnet-zero
　　no ip routing
　　!
　　interface Ethemet0
　　　ip address 10.1.1.2 255.255.255.0 secondary
　　　ip address 10.1.1.3 255.255.255.0 secondary
　　　ip address 10.1.1.4 255.255.255.0 secondary
　　　ip address 10.1.1.5 255.255.255.0 secondary
　　　ip address 10.1.1.6 255.255.255.0 secondary
　　　ip address 10.1.1.7 255.255.255.0 secondary
　　　ip address 10.1.1.1255.255.255.0
　　　no ip route-cache
　　　no ip mroute-cache
　　!
　　ip default-gateway 10.1.1.10
　　ip classless
　　ip http server
　　!
　　line con 0
　　　transport input none
　　line aux 0
　　line vty 0 4
　　　password cisco
　　　login
　　!
　　end
　　
　　(1)首先配置的是連接內網與外網并啟用NAT的路由器R1
　　(2)把R1路由器S0接口設置成NAT外部接口;把E0設置成NAT內部接口。
　　(3)ip nat pool語句定義了一個名為lab2的NAT地址池，地址池中有6個地址，其開始地址是200.1.1.1，結束地址是200.1.1.6"子網掩碼是255.255.255.248，即29位子網掩碼。
　　可以看到，在R1上并沒有任何一個接口的地址屬于NAT地址池，NAT地址池可以獨立于接口存在。
　　(4)配置語句ip nat inside source list 1 pool lab2指定了動態地址轉換，由訪問列表1所定義的地址范圍內的內網TP地址將被進行地址轉換，轉換后的地址是名為lab2的NAT地址池中的IP地址，方式為動態轉換。
　　(5)訪問列表1定義的地址范圍是10.1.1.0/24的網段，即內網網段。
　　(6)在第2段對R2的設置中，除通常的接口地址和靜態路由設置外，有兩處是為本實驗而加入的。
　　在回送接口上配置了4個IP地址，用于模擬多個外網主機;
　　為測試連通性，配置了VTY口令。
　　以上兩個配置都不是必須的，而是為了監測上的方便。
　　(7)第3段是對R3的配置，R3用來模擬內網上多個主機。
　　在R3上關閉了IP路由功能，同時設置缺省網關為10.1.1.10。
　　在E0接口上配置了7個同一網段的IP地址;同時也配置了VTY口令。
　　
　　第2部分:查看和監測動態內部源地址轉換
　　
　　以下，通過類似實驗1的命令查看和監測動態NAT的轉換過程和進行連通性測試。
　　監測清單12-2記錄了相關命令的使用及相應結果。
　　
　　監測清單12-2查看和監測動態內部源地址轉換
　　
　　第1段：監測和查看NAT操作
　　R1#debug ip nat
　　IP NAT debugging is on
　　R1#
　　Term_Server>3
　　[Resuming connection 1 to r3 ...]
　　R3#ping
　　PRotocol [ip]:
　　Target IP address: 202.1.1.1
　　Repeat count [5]:
　　Datagram size[100]:
　　Timeout in seconds[2]:
　　Extened commands[n]:y
　　Source address or interface:10.1.1.1
　　Type of service[0]:
　　Set DF bit in IP header?[no]:
　　Validate reply data?[no]:
　　Data pattern[0xABCD]:
　　Loose,Strict,Record,Timestamp,Verbose[none]:
　　Sweep range of sizes[n]:
　　Type escape sequence to abort.
　　Sending ,100-byte ICMP Echos to 202.1.1.1,timeout is 2 seconds:
　　!!!!!
　　SUCcess rate is 80 percent(4/5),round-trip min/avg/max=32/33/36 ms
　　(重復上述指令,分別以源地址10.1.1.2、10.1.1.3、10.1.1.4、10.1.1.5和10.1.1.6對202.1.1.1-202.1.1.4進行ping測試。結果均為成功。測試記錄此處從略。)
　　R3#ping
　　Protocol[ip]:
　　Target IP address:202.1.1.4
　　Repeat count[5]:
　　Datagram size[100]:
　　Timeout in seconds[2]:
　　Extended commands[n]:y
　　Source address or interface:10.1.1.7
　　Type of serivce[0]:
　　Set DF bit in IP header?[no]:
　　Validate reply data?[no]:
　　Data pattern[0xABCD]:
　　Loose,Strict,Record,Timestamp,Verbose[none]:
　　Sweep range of sizes[n]:
　　Type escape sequence to abort.
　　Sending 5,100-byte ICMP Echos to 202.1.1.4,timeout is 2 seconds:
　　.U.U.
　　Success rate is 0 percent(0/5)
　　R3#
　　Term_Server>1
　　[Resuming connection 1 to r1...]
　　
　　R1#sh logging
　　Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)
　　　　Console log

上一篇：路由器和路由器之間的VPN配置

下一篇：配置和監測靜態內部源地址轉換