本篇文章主要讲解思科模拟器中的动态地址转换 ,主讲ACL和接口进行地址转换、地址池范围地址转换、静态一对一地址转换。
园区网内通常情况下有很多台主机,从ISP申请并给园区网中的每台主机分配一个合法IP地址是不现实的,为了使所有内部主机都可以连接到Internet,需要使用网络地址转换。此外,地址转换技术还可以有效地隐藏内部局域网中的主机,具有一定的网络安全保护作用。
情境分析
传统的NAT一般是指一对一的地址映射,不能同时满足所有的内部网络主机与外部网络通信的需要,而NAPT是实现网络地址转换后多个本地IP地址对应一个或多个全局IP地址。采用动态的NAPT实现局域网多台主机共用一个或少数几个公网IP来访问互联网。
所需设备:
(1)Cisco 2911路由器2台。
(2)Cisco-HWIC-2T高速同步串行模块2个。
(3)Cisco 3560交换机1台。
(4)Cisco Catalyst 2960交换机2台。
(5)DCE串口和DTE串口线1条。
(6)直通线3条。
(7)交叉线2条。
(8)PC机2台,服务器1台。
(9)Console线1条。
任务拓扑,如图5-3-1-1所示。
图5-3-1 利用动态NAPT实现局域网访问Internet
网络设备和PC的IP地址及端口信息,如表5-3-1所示。
表5-3-1 网络设备和PC的IP地址及端口信息表
设备
接口
IP地址
子网掩码
默认网关
Router-A
Gig0/0
192.168.10.1
255.255.255.0
Se0/3/0
201.1.8.1
255.255.255.0
Router-B
Gig0/0
202.1.1.254
255.255.255.0
Se0/3/0(DCE)
201.1.8.10
255.255.255.0
C3560
VLAN10
192.168.1.254
255.255.255.0
VLAN20
192.168.2.254
255.255.255.0
Gig0/1
192.168.10.2
255.255.255.0
PC1
192.168.1.1
255.255.255.0
192.168.1.254
PC2
192.168.2.1
255.255.255.0
192.168.2.254
WEB服务器
202.1.1.1
255.255.255.0
202.1.1.254
步骤实现
步骤1:按照如图5-3-1所示,连接网络拓扑结构图。
步骤2:按照如表5-3-1所示,配置计算机和服务器的IP地址、子网掩码和网关。
步骤3:配置路由器A的主机名称和接口IP地址。
Router>enable
Router#conf t
Router(config)#hostname Router-A 修改主机名
Router-A(config)#int g0/0 进入端口
Router-A(config-if)#ip address 192.168.10.1 255.255.255.0 给主机配置一个网段
Router-A(config-if)#no shutdown 打开接口
Router-A(config)#int s0/3/0 进入串口线
Router-A(config-if)#ip address 201.1.8.1 255.255.255.0 配置一个网段
Router-A(config-if)#no shutdown 打开端口
Router-A(config-if)#
步骤4:配置路由器B的主机名称和接口IP地址。
Router>enable
Router#conf t
Router(config)#hostname Router-B 修改主机名
Router-B(config)#int s0/3/0 进入高速串口线
Router-B(config-if)#clock rate 64000 !设置DCE设备端口的时钟频率
Router-B(config-if)#ip address 201.1.8.10 255.255.255.0 配置一个网段
Router-B(config-if)#no shutdown 打开端口
Router-B(config)#int g0/0
Router-B(config-if)#ip add 202.1.1.254 255.255.255.0
Router-B(config-if)#no shutdown 打开端口
Router-B(config-if)#
步骤5:配置交换机C3560的主机名称和接口IP地址。
Switch>enable
Switch#conf t
Switch(config)#hostname C3560 修改主机名为C3560
Switch(config)#ip routing 打开路由通信功能
C3560(config)#int g0/1
C3560(config-if)#no switchport !将交换端口转换为物理端口
C3560(config-if)#ip add 192.168.10.2 255.255.255.0 !配置交换机物理端口IP地址
C3560(config-if)#no shutdown 打开端口
C3560(config-if)#exit
步骤6:配置交换机C2960的主机名称,创建vlan10和20,将fa0/1划入vlan10,fa0/2划入vlan20。
Switch(config)#hostname C2960
C2960(config)#vlan 10
C2960(config-vlan)#exit
C2960(config)#vlan 20
C2960(config-vlan)#exit
C2960(config)#int f0/1
C2960(config-if)#switchport mode access 端口开启访问功能
C2960(config-if)#switchport access vlan 10 把vlan10 划分到端口里面
C2960(config)#int f0/2 进入接口
C2960(config-if)#switchport mode access 设置为访问模式
C2960(config-if)#switchport access vlan 20 把vlan20划分到端口里面
C2960(config-if)#
步骤7:在交换机C3560上创建VLAN、配置中继链路,设置SVI接口IP地址。
[中继就是trunk]
C3560(config)#vlan 10
C3560(config-vlan)#exit
C3560(config)#vlan 20
C3560(config-vlan)#exit
C3560(config)#int f0/1
C3560(config-if)#switchport mode trunk trunk:允许所有vlan通过
C3560(config-if)#exit
C3560(config)#int vlan 10
C3560(config-if)#ip address 192.168.1.254 255.255.255.0
C3560(config-if)#no shutdown
C3560(config)#int vlan 20
C3560(config-if)#ip address 192.168.2.254 255.255.255.0
C3560(config-if)#no shutdown
C3560(config-if)#
步骤8:在交换机C3560和路由器Router-A上配置路由,实现各部门与公司网络出口的链路通信
C3560(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.1
Router-A(config)#ip route 192.168.1.0 255.255.255.0 192.168.10.2[下一跳]
Router-A(config)#ip route 192.168.2.0 255.255.255.0 192.168.10.2
默认路由,静态路由,下一跳详细讲解:http://t.csdn.cn/XAvKX
步骤9:在路由器Router-A上配置默认路由,实现外网可达
Router-A(config)#ip route 0.0.0.0 0.0.0.0 201.1.8.10
步骤10:在路由器Router-A上配置动态NAPT实现公司内网用户可以访问外网WEB服务器
Router-A(config)#access-list 10 permit 192.168.0.0 0.0.255.255
!配置访问控制列表,定义需要通过地址转换访问外网的用户
Router-A(config)#ip nat pool 123 201.1.8.1 201.1.8.10 netmask 255.255.255.0
!定义地址池名字为123,通过网段201.1.8.1-201.1.8.10/24
Router-A(config)#ip nat inside source list 10 pool 123 overload!配置动态NAPT实现地址转换
Router-A(config)#int s0/3/0 !进入出口路由外网接口
Router-A(config-if)#ip nat outside !定义NAT的外网接口
Router-A(config-if)#exit
Router-A(config)#int g0/0 !进入出口路由器的内网接口
Router-A(config-if)#ip nat inside !定义NAT的内网接口
Router-A(config-if)#exit
Router-A(config)#
步骤11:测试内网用户访问外网WEB服务器,实验发现是可以的
步骤12:查看NAT配置信息
(1)查看NAT映射表
Router-A#show ip nat translations
(2)查看NAT信息统计表。
Router-A#show ip nat statistics
相关知识
1.NAT简介:
目前互联网的一个重要问题是IP地址需求急剧膨胀,IP地址空间衰竭,NAT的使用从一定程度上缓解了该问题。NAT特性的使用,使得一个组织内部的私有IP地址转换为可以在互联网上通信使用的公有IP地址,从而实现了组织内部网络与互联网的连接,而不需要重新给组织内部网络中的每台主机分配公有IP地址。
NAT的优点:
(1)节省IP资源,解决IP地址短缺。
(2)可以实现服务器TCP负载均衡,维持TCP会话。
(3)连接地址池中的IP是可以是虚拟IP,不一定需要配置在物理接口上,这样维护起来比较方便。
(4)可以解决地址重叠问题。
NAT的缺点:
(1)增加了传输延迟。
(2)隐藏了端对端的IP地址,不利于某些程序的应用。
(3)不便于跟踪、管理。
2.NAT工作过程:
第一步:客户机将数据包发给运行NAT的计算机。
第二步:NAT将数据包中的端口号和专用的IP地址换成它自己的端口号和公用的IP地址,然后将数据包发给外部网络的目的主机,同时记录一个跟踪信息在映像表中,以便向客户机发送回答信息。
第三步:外部网络发送回答信息给NAT。
第四步:NAT将所收到的数据包的端口号和公用IP地址转换为客户机的端口号和内部网络使用的专用IP地址并转发给客户机。
3.NAT的配置
(1)静态NAT:
将内部地址和外部地址进行一对一的转换。这种方法要求申请到的合法IP地址足够多,可以与内部IP地址一一对应。
静态NAT一般用于那些需要固定的合法IP地址的主机,比如Web服务器、FTP服务器、
配置步骤:
(1)定义内部源地址静态转换关系
Router(config)# ip nat inside source static local-address global-address
(2)定义接口连接内部网络
Router(config)# ip nat inside
(3)定义接口连接外部网络
Router(config)# ip nat outside
示例实现:
Router(config)# ip nat inside source static 192.168.1.1 201.1.1.1
Router(config)# int e0/1
Router(config-if)# in nat inside
Router(config)# int s0/1
Router(config-if)# in nat outside
(2)动态NAT
将多个合法IP地址统一的组织起来,构成一个IP地址池,当有主机需要访问外网时,就分配一个合法IP地址与内部地址进行转换,当主机用完后,就归还该地址。对于NAT池,如果同时联网用户太多,可能出现地址耗尽的问题
配置步骤:
(1)定义全局IP地址池
Router(config)# ip nat pool address-pool start-address end-address {network mask | prefix-length prefix-length }
(2)定义访问控制列表,只有匹配该列表的地址才能转换
Router(config)# access-list access-list-number permit ip-address wildcard
(3)定义内部源地址动态转换关系
Router(config)# ip nat inside source list access-list-number pool address-pool
(4)定义接口连接内部网络
Router(config)# ip nat inside
(5)定义接口连接外部网络
Router(config)# ip nat outside
示例实现:
Router(config)# ip nat pool to_internet 201.1.1.1 201.1.1.2 netmask 255.255.255.0
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# ip nat inside source list 10 pool to_internet
Router(config)# int e0/1
Router(config-if)# in nat inside 设置端口为入端口
Router(config)# int s0/1
Router(config-if)# in nat outside 设置端口为出端口
(3)PAT(端口NAT)
使用端口多路复用技术,将多个内部地址映射为一个合法地址,用不同的端口号区分各个内部地址。这种方法只需要一个合法IP地址。路由器支持的PAT会话数是有限制的,所以使用PAT的局域网,其网络的规模不应该太大。
在端口复用技术中,用端口区分的不是一台主机,而是一个网络连接(会话),当一台主机同时建立了多个会话时,它的每个会话会占用一个端口映射。理论上讲,一个IP地址可以映射约65000个会话,但实际的路由器往往只支持几千个会话(Cisco支持约4000个),
配置步骤:
(1)定义访问控制列表,只有匹配该列表的地址才能转换
Router(config)# access-list access-list-number permit ip-address wildcard
(2)定义内部源地址复用转换关系
Router(config)# ip nat inside source list access-list-number interface interface-number overload
Ip nat in s l [acl号] in f0/1 o
(3)定义接口连接内部网络
Router(config)# ip nat inside
(4)定义接口连接外部网络
Router(config)# ip nat outside
示例实现:
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# ip nat inside source list 10 interface s0/1 overload
Router(config)# int e0/1
Router(config-if)# in nat inside
Router(config)# int s0/1
Router(config-if)# in nat outside
小结:
动态地址转换:
例:把ACL1 和F0/1接口进行 地址转换
R1(config)#ip nat in source l 1 in f0/1 overload
例:创建名字为123的pool地址池,地址池范围为192.168.10.10-192.168.20.20/24
R1(config)#ip nat in s l 10 pool 123 overload
R1(config)#ip nat pool 123 192.168.10.10 192.168.20.20 netmask 255.255.255.0
静态地址转换:
是内部地址和外部地址进行一对一的转换的,一般用于FTP或者Web服务器上面的
R1(config)#ip nat in source static 192.168.10.10 202.10.10.10
每日一言:
万物皆有裂痕,那是光照进来的地方。
版权归原作者 Xiaomingbaby_ 所有, 如有侵权,请联系我们删除。