配置和監測靜態內部源地址轉換

2019-11-04 20:35:49

字體：大中小

來源：轉載

供稿：網友

　　本節進行靜態內部源地址轉換的實驗，這是NAT技術中最簡單的一種形式，通過此實驗可以理解NAT中重要的概念和機制。
　　
　　1.實驗目的
　　
　　通過本實驗。讀者可以把握以下技能:
　　●配置靜態內部源地址轉換NAT;
　　●查看NAT相關信息;
　　●監測ip的轉換;
　　●監測內網和外網間的雙向連通性。
　　
　　2.設備需求
　　
　　本實驗需要以下設備:
　　●Cisco路由器3臺，分別命名為R1.R2和R3，其申R1要求具有1個串行接口和1個以太網接口;R2要求具有1個串行接口;R3要求具有1個以太網接口，R3也可以使用1臺帶網卡的PC機代替;
　　●DCE和DTE電纜各1條 (或1條DCE轉DTE電纜);
　　●1條交叉線序雙絞線;
　　●1臺終端服務器，如Cisco 2509路由器，及用于反問Telnet的相應電纜;
　　●1臺帶有超級終端程序的PC機。以及Console電纜及轉接器。
　　
　　3. 拓撲結構及配置說明
　　
　　本實驗的拓撲結構如圖12-1所示。
　　配置和監測靜態內部源地址轉換

　　R1路由器負責NAT轉換;R2作為外網節點;R3代替內網中的主機使用。
　　預備實驗時，用DCE和DTE電纜把R1和R2路由器連接起來;使用交叉雙絞線把R2和R3路由器連接起來。
　　各路由器使用的接口及其IP地址如圖12-1中的標注。
　　本實驗要求通過使用靜態NAT實現沒有路由可達性的IP節點172.16.1.3和202.1.1.2之間的雙向連通。
　　
　　4.實驗配置及監測結果
　　
　　首先進行NAT的配置，然后使用有關命令對配置結果進行查看和監測。
　　
　　第1部分:配置靜態內部源地址轉換
　　
　　靜態NAT要求實現內網IP地址(Inside Local Address)對外網IP地址 (Inside Global Address)之間的一一映射。在實驗中以一對地址的映射為例進行配置。
　　配置清單12-1列出了各路由器配置完成后的結果。
　　
　　配置清單12-1 配置靜態內部源地址轉換
　　
　　第1段：路由器R1的配置
　　version 12.1
　　service timestamps debug uptime
　　service timestamps log uptime
　　no service passWord-encryption
　　!
　　hostname R1
　　!
　　ip subnet-zero
　　!
　　interface Ethemet0
　　　ip address 172.16.1.1255.255.255.0
　　　ip nat inside
　　!
　　interface Serial0
　　　ip address 200.1.1.1255.255.255.0
　　　ip nat outside
　　!
　　ip nat inside source static 172.16.1.3 200.1.1.5
　　ip classless
　　ip route 0.0.0.0 0.0.0.0 200.1.1.2
　　ip http server
　　!
　　line con 0
　　line aux 0
　　line vty 0 4
　　!
　　end
　　第2段：路由器R2的配置
　　version 12.1
　　service timestamps debug uptime
　　service timestamps log uptime
　　no service password-encryption
　　hostname R2
　　!
　　ip subnet-zero
　　!
　　interface Loopback0
　　　ip address 202.1.1.2 255.255.255.0
　　!
　　interface Serial0
　　　ip address 200.1.1.2 255.255.255.0
　　　clockrate 64000
　　!
　　ip classless
　　ip http server
　　!
　　line con 0
　　　transport input none
　　line aux 0
　　Sine vty 0 4
　　　password cisco
　　　login
　　!
　　end
　　第3段：路由器R3的配置
　　version 12.1
　　service timestamps debug uptime
　　service timestamps log uptime
　　no service password-encryption
　　hostname R3
　　!
　　ip subnet-zero
　　no ip routing
　　no ip finger
　　!
　　interface Ethemet0
　　　ip address 172.16.1.3 255.255.255.0
　　　no ip route-cache
　　ip default-gateway 172.16.1.1
　　ip classless
　　ip http server
　　!
　　line con 0
　　　transport input none
　　line aux 0
　　line vty 0 4
　　　password cisco
　　　login
　　
　　(1)本實驗的重點是對R1路由器的配置。配置R1時，除了對接口進行了通常的配置之外，在E0接口配置了ip nat inside語句，在S0接口配置了ip nat outside語句，指定了路由器的內部接口和外部接口。
　　(2)為了實現從R1到202.1.1.2的可達性，加入了一條缺省路由。當然也可使用指定目的網段(202.1.1.0/24)的靜態路由實現。使用缺省路由是機構用戶對Internet接入時的通常做法。
　　(3)R1路由器配置中最核心的配置語句是:
　　ip nat inside source static 172.16.1.3 200.1.1.5
　　它建立了172.16.1.3和200.1.1.5兩個IP地址之間的靜態映射。
　　其中內部本地址是172.16.1.3;內部全局地址是200.1.1.5。
　　需要非凡注重的是，200.1.1.5不是任何接口上的IP地址，它屬于網段200.1.1.0/24(S0接口所在網段)。
　　可以在一臺路由器上定義多對IP地址的靜態映射。
　　(4)在R2路由器上是常規的配置。需要說明的是其上沒有任何路由設置，這樣保證了從R2到內部網172.16.1.0/24之間在路由上是不能連通的。
　　為了監測的方便，在R2上配置了VTY口令。
　　(5)R3路由器作為一臺純粹的主機來使用。在配置上，首先用no ip routing命令關閉了該路由器的路由功能;然后用ip default-gateway命令指定了它的缺省網關為172.16.1.1，即R1路由器的E0接口，這一點和在PC機上指定缺省網關具有相同的作用。
　　在R3路由器上同樣也配置了VTY口令。
　　
　　第2部分:查看和監測靜態內部源地址轉換
　　
　　接下來將使用一系列命令來查看和監測靜態NAT的相關信息和轉換過程。
　　在監測清單12-1中記錄了命令的使用及相應結果。
　　
　　監測清單12-1查看和監測靜態內部源地址轉換
　　
　　第1段：監測和查看NAT操作
　　R3#ping
　　PRotocol [ip]:
　　Target IP address: 202.1.1.2
　　Repeat count [5]: 5000
　　Datagram size [100]:
　　Timeout in seconds [2]:
　　Extended commands [n]:
　　Sweep range of sizes [n]:
　　Type escape sequence to abort.
　　Sending 5000, 100-byte ICMP Echos to 202.1.1.2, timeout is 2 seconds:
　　!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
　　!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
　　!!!!!!!!!!!!!!!!!!!
　　Term_Server> 1
　　[Resuming connection 1 to r1 ...]
　　
　　R1#debug ip siat
　　IP NAT debagging is on
　　
　　R1#
　　01:57:35: NAT*:s=172.16.1.3->200.1.1.5,d=201.1.1.2[1068]
　　01:57:35: NAT*:s=202.1.1.2,d=200.1.1.5->172.16.1.3[1068]
　　01:57:36: HAT*:s=172.16.1.3->200.1.1.5,d=202.1.1.2[1069]
　　01:57:36: NAT*:s=202.1.1.3,d=200.1.1.5->172.16.1.3[1069]
　　01:57:36: NAT*:s=172.16.1.3->200.1.1.5,d=202.1.1.2[1070]
　　01:57:36: HAT*:s=202.1.1.2,d=200.1.1.5->172.16.1.3[1070]
　　01:57:36: NAT*:s=172.16.1.3->200.1.1.5,d=202.1.1.2[1072]
　　O1:57:36: NAT*:s=202.16.1.3->200.1.1.5->172.16.1.3[1072]
　　01:57:3@:
　　... (此處刪節)
　　01:57:36: NAT*:s=202.1.1.2,d=200.1.1.5->172.16.1.3[1079]
　　01:57:36: HAT*:s=172.16.1.3->200.1.1.5,d=202.1.1.2[1080]
　　
　　R1#undeb all
　　R1#show ip nat statistics
　　Total active.translations:1(1 static,0 dynamic;0 extended)
　　Outside interfaces:
　　　Serial0
　　Inside　interfaces:
　　　Ettherent0
　　hits:　　Misses.: 0
　　EXPired translations: 0
　　Dynamic mappings:
　　
　　R1#sh ip nat translations
　　Pro Inside global　　Indide local　　Outside local　　　Outside global
　　---200.1.1.5　　　　　172.16.1.3　　　　--- 　　　　　　　　　 ---
　　
　　第2段：測試雙向連通性
　　R1#
　　Term_Server>3
　　[Resuming connection 3 to r3 ...]
　　R3#telnet 202J.1.2
　　Trying 202.1.1.2...Open
　　
　　User access Verilcation
　　
　　Password: (鍵入 cisco )
　　R2>
　　R2>exit
　　[Connection to 202.1.1.2 closed by foreign host]
　　R3#
　　Term_Server>2
　　[Resuming connection 2 to r2 ... ]
　　
　　R2#telnet 200J.1.5
　　Trymg;200.1.1.5...Open

上一篇：配置和監測動態內部源地址轉換

下一篇：配置和監測復用內部全局地址 NAT