动态nat实验报告

实验拓扑（参考）实验设备（环境、软件）路由器2台，交叉线2条，serial DCE线一条。

Pc机一台，www服务器一台。

实验设计到的基本概念和理论给出NAT基本概念、原理实验过程和主要步骤1、绘制网络拓扑和地址规划情况2、单个路由器的基本配置清单配置路由器Router0：Router>enableRouter#config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int f0/0Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#int f1/0Router(config-if)#ip address 192.168.2.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#int f6/0Router(config-if)#ip address 192.168.3.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#int f7/0Router(config-if)#ip address 192.168.4.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#int s2/0Router(config-if)#ip address 202.196.32.253 255.255.255.252Router(config-if)#ip nat outsideRouter(config-if)#clock rate 64000Router(config-if)#int f0/0Router(config-if)#no shutdownRouter(config-if)#int f1/0Router(config-if)#no shutdownRouter(config-if)#int f6/0Router(config-if)#no shutdownRouter(config-if)#int f7/0Router(config-if)#no shutdownRouter(config-if)#int s2/0Router(config-if)#no shutdown配置路由器Router1：Router>enableRouter#config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int s2/0Router(config-if)#ip address 202.196.32.254 255.255.255.252Router(config-if)#ip nat outsideRouter(config-if)#int f0/0Router(config-if)#ip address 222.22.22.1 255.255.255.0Router(config-if)#ip nat outsideRouter(config-if)#int s2/0Router(config-if)#no shutdownRouter(config-if)#int f0/0Router(config-if)#no shutdown单个PC机的配置：PC0的配置：PC1的配置：PC2的配置：PC3的配置：服务器的配置：给路由器Router0和Router1配置OSPF协议：给路由器Router0启动OSPF进程：Router(config)#route ospf 1Router(config-router)#network 192.168.1.0 0.0.0.255 area 0Router(config-router)#network 192.168.2.0 0.0.0.255 area 0Router(config-router)#network 192.168.3.0 0.0.0.255 area 0Router(config-router)#network 192.168.4.0 0.0.0.255 area 0Router(config-router)#network 202.196.32.252 0.0.0.3 area 0 给路由器Router1启动OSPF进程：Router(config)#route ospf 2Router(config-router)#network 202.196.32.252 0.0.0.3 area 0 Router(config-router)#network 222.22.22.0 0.0.0.255 area 0 此时内网内的所有主机均可访问外网的WWW服务器：例如：PC2访问WWW服务器：3、NAT路由器基本配置清单4、验证pc和www服务器的通信情况在PC1端ping服务器的IP：5、查看地址翻译列表6、利用debug ip nat观察地址翻译过程NAT: s=192.168.1.2->202.196.33.1, d=222.22.22.2 [17] NAT*: s=192.168.1.2->202.196.33.1, d=222.22.22.2 [18] NAT*: s=192.168.1.2->202.196.33.1, d=222.22.22.2 [19] NAT*: s=192.168.1.2->202.196.33.1, d=222.22.22.2 [20] NAT: s=192.168.2.2->202.196.33.2, d=222.22.22.2 [2] NAT*: s=192.168.2.2->202.196.33.2, d=222.22.22.2 [3] NAT*: s=192.168.2.2->202.196.33.2, d=222.22.22.2 [4] NAT*: s=192.168.2.2->202.196.33.2, d=222.22.22.2 [5]NAT*: s=192.168.2.2->202.196.33.2, d=222.22.22.2 [6]主要改动为拓扑图中蓝色框内部分，ospf路由协议及文本下方绿色字体部分Router0 s2/0 IP地址：202.196.32.200/24Router1 s2/0 IP地址：202.196.32.201/24Router0路由协议如下配置：Router(config)#router ospf 1Router(config-router)#network 192.168.1.0 0.0.0.255 area 0Router(config-router)#network 192.168.2.0 0.0.0.255 area 0Router(config-router)#network 192.168.3.0 0.0.0.255 area 0Router(config-router)#network 192.168.4.0 0.0.0.255 area 0Router1路由协议如下配置：Router(config)#router ospf 2Router(config-router)#network 192.168.2.0 0.0.0.255 area 0Router(config-router)#network 222.22.22.0 0.0.0.255 area 0NAT路由器基本配置清单（Router0）Router(config)#ip nat pool aaa 202.196.32.210 202.196.32.220 netmask 255.255.255.0Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255Router(config)#access-list 1 permit 192.168.2.0 0.0.0.255Router(config)#ip nat inside source list 1 pool aaa完成后ping通查看地址翻译列表利用debug ip nat观察地址翻译过程。

实验十二：利用动态nat实验局域网访问互联网实验目的：理解内网用户连接internet网时，通过区分端口号复用内部全局地址。

理论：利用acl抓取相应数据包，把其中的源ip转换为连接isp的接口ip，并通过记录Pro Inside global Inside local Outside local Outside global协议ip:port ip:port ip:port ip:port来区分不同流量，利于返回数据转发到相应内网主机。

实验步骤：1.拓扑2. 路由器基本配置R1(config)#int f0/0R1(config-if)#ip add 172.16.1.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#int f0/1R1(config-if)#ip add 200.1.8.7 255.255.255.0R1(config-if)#no shutdownRouter(config)#host R2R2(config)#int f0/0R2(config-if)#ip add 200.1.8.8 255.255.255.0R2(config-if)#no shutdownR2(config-if)#int f0/1R2(config-if)#ip add 63.19.6.1 255.255.255.0R2(config-if)#no shutdown3. 配置静态路由R1(config)#ip route 0.0.0.0 0.0.0.0 200.1.8.8R2(config)#ip route 0.0.0.0 0.0.0.0 200.1.8.74. 配置natR1(config)#int f0/0R1(config-if)#ip nat insideR1(config-if)#int f0/1R1(config-if)#ip nat outsideR1(config-if)#exitR1(config)#ip nat pool to_internet 200.1.8.7 200.1.8.7 netmask 255.255.255.0R1(config)#access-list 10 permit 172.16.1.0 0.0.0.255R1(config)#ip nat inside source list 10 pool to_internet验证测试1. 在R2上配置telnet服务器2. 在PC机用telnet测试访问63.19.6.1服务器3. 在路由器上查看nat 表项R2(config)#line vty 0 4R2(config-line)#no login这时可在PC0上连上R2PC>telnet 63.19.6.1Trying 63.19.6.1 ...OpenR2>在R1上查看nat表项R1#sh ip nat translationsPro Inside global Inside local Outside local Outside globaltcp 200.1.8.7:1026 172.16.1.2:1026 63.19.6.1:23 63.19.6.1:23R1#sh ip nat statisticsTotal translations: 2 (0 static, 2 dynamic, 2 extended)Outside Interfaces: FastEthernet0/1Inside Interfaces: FastEthernet0/0Hits: 33 Misses: 6Expired translations: 4Dynamic mappings:-- Inside Sourceaccess-list 10 pool to_internet refCount 2pool to_internet: netmask 255.255.255.0start 200.1.8.7 end 200.1.8.7type generic, total addresses 1 , allocated 1 (100%), misses 0PAT 则是把内部地址映射到外部网络的IP 地址的不同端口上，从而可以实现多对一的映射。

实验报告17静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。

也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。

动态转换可以使用多个合法外部地址集。

当ISP提供的合法IP地址略少于网络内部的计算机数量时。

可以采用动态转换的方式。

端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PA T，Port Address Translation).采用端口多路复用方式。

内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。

同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。

因此，目前网络中应用最多的就是端口多路复用方式。

【注意事项】1.在配置的时候不要把inside和outside应用接口弄错2.要加上能能使数据包外发的路由协议。

该实验所需要的简单实验拓扑。

请用模拟器拓扑替换此图。

实验拓扑图实验步骤及命令清单本次实验步骤对锐捷机架真实设备和思科模拟器均可。

本节实验报告由三个实验组成。

注意：PC机和路由器之间用交叉线相连。

实验步骤:参看电子书——CCNA实验指导实验。

实验二十：静态地址转换实验二十一：动态地址转换实验二十二：PAT一、静态地址转换：通过实验掌握静态NAT的配置方法及实际应用。

根据需要将内部主机PC1:192.168.1.1和PC2:192.168.1.2私有地址转为能上外网的公有地址。

实验三十 配置动态NAT【实验名称】配置静态NAT 。

【实验目的】配置网络地址变换，提供到公司共享服务器的可靠外部访问。

【背景描述】某IT 企业因业务扩展，需要升级网络，他们选择172.16.4.0/24作为私有地址，并用NAT 来处理和外部网络的连接。

【需求分析】ISP 提供商给IT 企业的一段公共IP 地址的地址段为220.1.1.2~220.1.1.10，需要内网使用这段址去访问Internet ，考虑到包括安全在内的诸多因素，公司希望对外部隐藏内部网络。

【实验】 1.1 实验设备用户自定义路由器2621XM 2台 交换机2950-24 1台 PC 机 2台1.2 组网图S0/0S0/0F0/0PC3F0/01.3 设备IP 地址表【实验原理】在路由器RT3上把通过NAT地址转换，将172.16.4.1、172.16.5.1两台主机访问互联网的行为转换成路由器RT3上220.1.1.2访问互联网的行为，从而实现把内网隐藏起来。

1.4 配置步骤第一步在路由器上RT1配置IP路由选择和IP地址。

RT1#config tRT1(config)#interface FastEthernet 0/0RT1(config-if) #ip address 210.1.1.1 255.255.255.252RT1(config)#interface FastEthernet 0/1RT1(config-if) #ip address 202.101.172.1 255.255.255.0 RT1(config)#ip route 0.0.0.0 0.0.0.0 FastEthernet 0/1 第二步在路由器上RT2配置IP路由选择和IP地址。

RT2#config tRT2(config)#interface FastEthernet 0/0RT2(config-if) #ip address 210.1.1.2 255.255.255.252RT2(config)#interface serial 0/0RT2(config-if) #clock rate 64000RT2(config-if) #ip address 220.1.1.1 255.255.255.0RT2(config)#ip route 0.0.0.0 0.0.0.0 FastEthernet 0/0 第三步在路由器上RT3配置IP路由选择和IP地址。

实验八NAT协议实验一、实验目的1. 掌握NAT相关概念和工作原理2. 掌握配置静态NAT和动态NAT的命令和步骤二、实验设备1. 服务器两台；2. 客户机一台；3. R1762路由器一台；4. S2126交换机一台。

三、相关准备知识图一图二【实验步骤】步骤一静态NAT的配置（图一）Router#configure terminalRouter(config)#interface fastethernet 0 !定义为内部接口Router(config-if)#ip nat insideRouter(config-if)#ip address 10.0.0.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#interface serial 0 !定义为外部接口Router(config-if)#ip nat outsideRouter(config-if)#ip address 2.2.2.3 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#ip nat inside source static 10.0.0.100 2.2.2.3 !定义内部源地址静态转换关系步骤二动态路由的配置（图二）R2：配置接口ip地址：R2(config)#int f0/0R2(config-if)#ip add192.168.1.254 255.255.255.0R2(config-if)#no shR2(config-if)#int s1/0R2(config-if)#ip add 202.96.1.1 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exit配置默认路由让流量出去：R2(config)#ip route 0.0.0.0 0.0.0.0 202.96.1.2配置感兴趣流，指定需要转换的地址：R2(config)#access-list 1 permit 192.168.1.0 0.0.0.255配置nat地址池：R2(config)#ip nat pool nat 202.96.1.3 202.96.1.100 netmask 255.255.255.0关联感兴趣流和地址池：R2(config)#ip nat inside source list 1 pool nat 指定为内网：R2(config)#int f0/0R2(config-if)#ip nat inside指定为外网：R2(config-if)#int s1/0R2(config-if)#ip nat outsideR3：配置接口ip地址：R3(config)#int s1/0R3(config-if)#ip add 202.96.1.2 255.255.255.0 R3(config-if)#clock rate 64000R3(config-if)#no shutdown配置默认路由使得能让C1ping通loo0口：R3(config)#ip route 0.0.0.0 0.0.0.0 202.96.1.1添加loo0口：R3(config)#int loo 0R3(config-if)#ip add 2.2.2.2 255.255.255.255C1能够ping通2.2.2.2/32：R2上映射所转换的地址：五、实验要求1．学生必须认真阅读实验指导书，了解实验的目的和原理，明确本次实验中所用实验方法、使用的软件、需要注意的问题等，2．学生必须认真听取老师对本实训的指导讲授，掌握基本知识。

实验目的：通过动态NA T 配置使任意两个内部本地地址(inside local address)通过内部全局地址(inside global address)访问Internet 。

实验要求：能够成功的使任意两个内部本地地址(inside local address) 访问
Internet 。

除此外任意内部地址无法访问Internet 。

实验步骤： 内部全局地址202.119.249.250/24
192.168.1.0/24 192.168.1.1 网关202.119.249.2
Router>enable 进入全局配置模式
Router#conf t 进入特权配置模式
Router(config)#ip nat inside source list 1 pool outuser 配置内部本地地址表命名为outuser
或 Router(config)#access-list
Router(config)#access-list 1 permit 192.168.1.8
Router(config)#access-list 1 permit 192.168.1.9
Router(config)#access-list 1 permit 192.168.1.10
Router(config)#ip nat pool outuser 202.119.249.251 202.119.249.252 netmask 255.255.255.0 配置内部全局地址表
实验结果：成功的使任意两个内部本地地址(inside local address) 访问Internet 。

除此外任意内部地址无法访问Internet 。

实验24 动态NAT 配置。

实验报告册实验课题: 动态NAT配置姓名：周先华班级：计算机网络101班学号：201021702101楚雄应用技术学院计算机科学教研室 2007年制一、实现功能 (1)二、实验目的 (1)三、技术原理 (1)四、实验功能 (2)五、实验拓扑 (2)六、实现步骤 (3)步骤一 (3)R1的基本配置 (3)验证测试： (5)步骤二 (5)配置动态NAT映射 (5)验证测试 (6)参考配置 (7)七、注意事项 (8)一、实现功能允许内部所有主机在公网地址缺乏的情况下可以访问外部网络。

二、实验目的配置网络地址变换，为私有地址的用户提供外部网络的资源的访问。

三、技术原理动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。

也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。

动态转换可以使用多个合法外部地址集。

当ISP提供的合法IP地址略少于网络内部的计算机数量时。

可以采用动态转换的方式。

动态 NAT 使用公有地址池，并以先到先得的原则分配这些地址。

当具有私有 IP 地址的主机请求访问 Internet 时，动态 NAT 从地址池中选择一个未被其它主机占用的 IP 地址。

这就是到目前为止所介绍的映射。

静态 NAT 建立了内部地址与特定公有地址之间的永久性映射，而动态 NAT 则是将私有 IP 地址映射到公有地址。

这些公有 IP 地址源自 NAT 池。

动态 NAT 的配置与静态 NAT 不同，但也有一些相似点。

与静态 NAT 相似，在配置动态 NAT 时也需要将各接口标识为内部或外部接口。

不过，动态 NAT 不是创建到单一 IP 地址的静态映射，而是使用内部全局地址池。

四、实验功能允许内部所有主机在公网地址缺乏的情况下可以访问外部网络。

五、实验拓扑六、实现步骤步骤一R1的基本配置Router#configure terminal //进入全局配置模式Router(config)#hostname R1 //修改路由器的名称为R1R1config)#interface fastEthernet 0/0 //进入端口F0/0R1(config-if)#ip address 192.168.1.1 255.255.255.0 //配置IP 地址R1(config-if)#no shutdown //启用端口，使其转发数据R1(config-if)#exitR1(config)#interface serial 0/1 //进入端口S0/1R1(config-if)#ip address 200.1.8.7 255.255.255.0 //配置IP 地址R1(config-if)#no shutdown //启用端口，使其转发数据R2的基本配置Routert#configure terminal //进入全局配置模式Router(config)#hostname R2r //修改路由器的名称为R2R2(config)#interface fastEthernet 0/0 //进入端口F0/0R2(config-if)#ip address 63.19.6.1 255.255.255.0 //配置IP 地址R2(config-if)#no shutdown //启用端口，使其转发数据R2(config-if)#exitR2(config)#interface serial 0/1 //进入端口S0/1R2(config-if)#ip address 200.1.8.8 255.255.255.0 //配置IP 地址R2(config-if)#clock rate 64000 //设置时钟频率R2(config-if)#no shutdown //启用端口，使其转发数据在两个路由器上配置缺省路由R1(config)#ip route 0.0.0.0 0.0.0.0 serial 0/1//设置以s0/1的默认静态路由R2(config)#ip route 0.0.0.0 0.0.0.0 serial 0/1//设置以s0/1的默认静态路由验证测试：R2#ping 200.1.8.7Type escape sequence to abort.Sending 5, 100-byte ICMP Echoes to 200.1.8.7, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms步骤二配置动态NAT映射R1(config)#interface fastEthernet 0/0 //进入F0/0端口R1(config-if)#ip nat inside //定义F0为内网接口R1(config-if)#exitR1(config)#interface serial 0/1 //进入s0/1端口R1(config-if)#ip nat outside //定义S0为外网接口R1(config-if)#exitR1(config)#ip nat pool to_internet 200.1.8.7 200.1.8.7 netmask 255.255.255.0 //定义内部全局地址池R1(config)#access-list 10 permit 172.16.1.0 0.0.0.255//定义允许转换的地址R1(config)#ip nat inside source list 10 pool to_internet overload//为内部本地调用转换地址池验证测试R1#show ip nat translations //显示活动的转换Pro Inside global Inside local Outside local Outside globaludp 200.1.8.7:2505 192.168.1.2:2502 210.29.224.21:80 210.29.224.21:80参考配置R1#show running-config //查看配置信息hostname "R1"interface FastEthernet0/0ip address 192.168.1.1 255.255.255.0ip nat insideinterface Serial0/1ip address 200.1.8.7 255.255.255.0ip nat outsideip nat pool to_internet 200.1.8.7 200.1.8.7 netmask 255.255.255.0ip nat inside source list 10 pool to_internet overload ip classlessip route 0.0.0.0 0.0.0.0 Serial0/1access-list 10 permit 192.168.1.0 0.0.0.255line con 0line aux 0line vty 0 4loginline vty 5 19login七、注意事项1.不要把inside和outside应用的接口弄错2.要加上能使数据包向外转发的路由，比如默认路由3.尽量不要用广域网接口的地址作为映射的全局地址，本例子中特定只有一个公网地址，实际工作中不推荐。

实验4利用动态NAPT实现局域网访问互联网利用动态NAPT实现局域网访问互联网【实验名称】利用动态NAPT实现局域网访问互联网。

【实验目的】掌握内网中所有主机连接到Internet网时，通过端口号区分的复用内部全局地址转换。

【背景描述】你是某公司的网络管理员，公司只向ISP申请了一个公网IP地址，希望全公司的主机都能访问外网，请你实现。

【技术原理】NA T（网络地址转换或网络地址翻译），是指将网络地址从一个地址空间转换为另一个地址空间的行为。

NA T将网络划分为内部网络（inside）和外部网络（outside）两部分。

局域网主机利用NA T访问网络时，是将局域网内部的本地地址转换为了全局地址（互联网合法IP地址）后转发数据包。

NA T分为两种类型：NA T（网络地址转换）和NAPT（网络地址端口转换）。

NAT是实现转换后一个本地IP地址对应一个全局地址。

NAPT是实现转换后多个本地IP地址对应一个全局IP地址。

目前网络中由于公网IP地址紧缺，而局域网主机数较多，因此一般使用动态的NAPT实现局域网多台主机共用一个或少数几个公网IP访问互联网。

【实现功能】允许内部所有主机在公网地址缺乏的情况下可以访问外部网络。

【实验设备】2621XM路由器（两台）、PC（一台）、服务器（一台）、各类连接线若干。

【实验拓扑】【实验步骤】步骤1.基本配置。

局域网路由器配置Router>Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#interface fa0/0Router(config-if)#ip address 172.16.1.1 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int s1/0Router(config-if)#ip address 200.1.8.7 255.255.255.0Router(config-if)#no shutdownRouter(config-if)#exitRouter(config)#互联网路由器配置internet-router(config)#interface fastEthernet 0/0internet-router(config-if)#ip address 63.19.6.1 255.255.255.0 internet-router(config-if)#no shutdowninternet-router(config-if)#exitinternet-router(config)#interface serial 1/2internet-router(config-if)#ip address 200.1.8.8 255.255.255.0 internet-router(config-if)#clock rate 64000internet-router(config-if)#no shinternet-router(config-if)#end在lan-router上配置缺省路由lan-router(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2验证测试：Internet-router#ping 200.1.8.7Type escape sequence to abort.Sending 5, 100-byte ICMP Echoes to 200.1.8.7, timeout is 2 seconds:步骤2.配置动态NAPT映射。