实验二十九 配置静态NAT(教师用)

Tutorial 08: NA T锐捷路由器静态NA T实验配置[实验目的]（1）理解Nat网络地址转换的原理及功能；（2）掌握路由器静态NAPT的配置，实现局域网访问互联网；【实验技术原理】Nat网络地址转换或网络地址翻译，是指将网络地址从一个地址空间转换为另一个地址空间的行为；Nat将网络划分为内部网络和外部网络两部分，局域网主机利用Nat访问网络时，是将局域网内部的本地地址转换为全局地址（互联网合法的IP地址）后转发数据包；Nat分为两种类型：Nat（网络地址转换）和NAPT（网络端口地址转换），Nat是实现转换后一个本地IP地址对应一个全局地址；NAPT是实现转换后多个本地IP地址对应一个全局地址。

【实验背景描述】下面的例子是将一台内网的web服务器192.168.2.2 映射到全局IP地址222.0.0.3上，外网用户可通过访问222.0.0.3登陆内网的web服务器。

【实验设备】R1762（2台）、PC（2台）、直连线（2条）、V.35线（1条）【实验拓扑图】【实验步骤】（1）配置路由器R1、R2接口IP地址；（使用串口线必须配置时钟）（2）配置R1、R2缺省路由；用show ip route查看路由表，已有静态路由S项。

（3）内部源地址静态NAPTR1(config)#interface fastethernet 0/0R1 (config-if)#ip Nat inside！定义F0/0为内部网接口。

R1 (config)#interface serial 2/0R1 (config-if)#ip Nat outside！定义S2/0为外部网接口。

R1(config)#ip Nat inside source static 192.168.2.2 222.0.0.3【实验测试】（1）在服务器192.168.2.2上配置web服务；请在根目录下新建一个index.html的静态网页（2）在远程客户机测试访问192.168.2.2的网页；使用http://222.0.0.3访问内部web服务器地址;（3）在路由器R1上查看NAPT映射关系；R1r#show ip Nat translations在进行登陆web前，先show ip Nat translations一下，等登陆web后，再执行一次show ip Nat translations。

如何设置路由器的静态NAT路由器的静态NAT是一种在私有网络和互联网之间建立映射关系的方法。

此映射关系使得内部私有网络中的主机能够通过外网 IP 访问互联网。

因此，路由器的静态NAT常见于公司和家庭网络中。

下面将介绍如何设置路由器的静态NAT。

1. 获取路由器的管理权限首先需要在浏览器中通过路由器的IP 地址登录路由器的管理页面。

登录界面通常会要求输入用户名和密码，这些信息通常可以在购买路由器时得到。

登录成功后，即可进入路由器的管理页面。

2. 打开静态NAT设置在路由器的管理页面中找到“端口转发”、“虚拟服务器”或“静态NAT”等选项，点击进入。

3. 添加映射规则进入静态NAT设置界面后，可以看到当前路由器上已经存在的映射规则；同时可以添加新的规则。

对于每一条新规则，都需要填写一些信息：- 内网 IP：需要映射的私有网络主机的 IP 地址；- 内网端口：需要映射的私有网络主机的端口号；- 外网 IP：该规则映射的外网 IP 地址；- 外网端口：该规则映射的外网端口号；- 协议：映射的协议（一般为 TCP 或 UDP）。

根据需要，可添加一条或多条静态NAT映射规则。

4. 保存设置添加完静态NAT规则后，记得保存设置。

在某些路由器上，需要点击“提交”或“应用”按钮才能生效。

静态NAT设置完成后，内网主机就会通过绑定的外网IP地址进行访问，另外需要注意的是，静态NAT会占用公网IP地址，因此需要按需规划IP地址资源。

总之，通过以上几个步骤，完成了路由器的静态NAT设置后，内网主机就可以通过互联网访问网络，同时对于一些安全性较高的网络要求，静态NAT映射也有一定的保护作用。

NAT的配置实验1、目的：掌握NAT的配置步骤和方法2、网络拓扑：3、实验背景：现假设某单位创建了Web服务器，这台服务器不但允许内部用户（IP地址为172.16.1.0/24网段）能够访问，而且要求Internet上的外网用户也能够访问。

为实现此功能，本单位向当地的ISP申请了一段公网的IP地址210.28.1.0/24，通过NA T转换，Internet上的用户可以通过公有地址访问这台服务器。

一、静态NAT的配置如下：RouterA：Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int f0/0Router(config-if)#ip add 172.16.1.1 255.255.255.0Router(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upRouter(config-if)#int s0/3/0Router(config-if)#ip add 210.28.1.2 255.255.255.0Router(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/3/0, changed state to downRouter(config-if)#exitRouter(config)#ip route 192.168.1.0 255.255.255.0 210.28.1.1Router(config)#endRouter#%SYS-5-CONFIG_I: Configured from console by console%LINK-5-CHANGED: Interface Serial0/3/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/3/0, changed state to up Router#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#ip nat inside source static 172.16.1.2 210.28.1.10Router(config)#int f0/0Router(config-if)#ip nat insideRouter(config-if)#int s0/3/0Router(config-if)#ip nat outsideRouter(config-if)#endRouter#%SYS-5-CONFIG_I: Configured from console by consoleRouter#sh ip nat translationsPro Inside global Inside local Outside local Outside globalicmp 210.28.1.10:5 172.16.1.2:5 192.168.1.2:5 192.168.1.2:5icmp 210.28.1.10:6 172.16.1.2:6 192.168.1.2:6 192.168.1.2:6icmp 210.28.1.10:7 172.16.1.2:7 192.168.1.2:7 192.168.1.2:7icmp 210.28.1.10:8 172.16.1.2:8 192.168.1.2:8 192.168.1.2:8--- 210.28.1.10 172.16.1.2 --- ---RouterB配置如下：Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#int f0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upRouter(config-if)#int s0/3/0Router(config-if)#ip add 210.28.1.1 255.255.255.0Router(config-if)#no shutRouter(config-if)#clock rate 56000%LINK-5-CHANGED: Interface Serial0/3/0, changed state to upRouter(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/3/0, changed state to upexit Router(config)#ip route 172.16.1.0 255.255.255.0 210.28.1.2Router(config)#endRouter#%SYS-5-CONFIG_I: Configured from console by consoleRouter#二、配置动态NAT在原来的基础上，在RouterA上输入：Router#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#ip nat pool a 210.28.1.21 210.28.1.30 netmask 255.255.255.0 Router(config)#access-list 1 permit 172.16.1.0 0.0.0.255Router(config)#ip nat inside source list 1 pool aRouter(config)#endRouter#三、配置PAT在原来的基础上，在RouterA上输入：Router#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#no ip nat pool a%Pool a in use, cannot destroyRouter(config)#no ip nat inside source list 1 pool aRouter(config)#no access-list 1Router(config)#no ip nat pool aRouter(config)#access-list 1 permit 172.16.1.0 0.0.0.255Router(config)#ip nat inside source list 1 interface s0/3/0 overloadRouter(config)#endRouter#%SYS-5-CONFIG_I: Configured from console by consoleRouter#sh ip nat tranPro Inside global Inside local Outside local Outside global icmp 210.28.1.10:45 172.16.1.2:45 192.168.1.2:45 192.168.1.2:45 icmp 210.28.1.10:46 172.16.1.2:46 192.168.1.2:46 192.168.1.2:46 icmp 210.28.1.10:47 172.16.1.2:47 192.168.1.2:47 192.168.1.2:47 icmp 210.28.1.10:48 172.16.1.2:48 192.168.1.2:48 192.168.1.2:48 icmp 210.28.1.2:41 172.16.1.3:41 192.168.1.2:41 192.168.1.2:41 icmp 210.28.1.2:42 172.16.1.3:42 192.168.1.2:42 192.168.1.2:42 icmp 210.28.1.2:43 172.16.1.3:43 192.168.1.2:43 192.168.1.2:43 icmp 210.28.1.2:44 172.16.1.3:44 192.168.1.2:44 192.168.1.2:44 icmp 210.28.1.2:37 172.16.1.4:37 192.168.1.2:37 192.168.1.2:37 icmp 210.28.1.2:38 172.16.1.4:38 192.168.1.2:38 192.168.1.2:38 icmp 210.28.1.2:39 172.16.1.4:39 192.168.1.2:39 192.168.1.2:39 icmp 210.28.1.2:40 172.16.1.4:40 192.168.1.2:40 192.168.1.2:40 --- 210.28.1.10 172.16.1.2 --- ---tcp 210.28.1.10:80 172.16.1.2:80 192.168.1.2:1025 192.168.1.2:1025 tcp 210.28.1.10:80 172.16.1.2:80 192.168.1.2:1026 192.168.1.2:1026 tcp 210.28.1.10:80 172.16.1.2:80 192.168.1.2:1027 192.168.1.2:1027。

静态NAT技术的实现一、实验目的和要求·了解NA T技术的基本概念和功能·理解三种不同NAT网络地址转换技术的原理·掌握路由器静态NAT的配置，实现公网IP对内网WEB服务器的访问二、实验设备Cisco Packet Tracer软件，模拟的设备清单如下：路由器两台，PC机1台，服务器1台，交叉线2根三、实验内容本实验用两台路由器、一台PC机和一台WEB服务器模拟出最简单的内部网和外部网，内网服务器的IP地址是私有地址，通过静态网络地址转换技术，把WEB服务器的内网地址映射为一个公网地址，从而将内网WEB服务器发布到公网上，处于外网的PC机可以通过一个公网地址访问到内网的WEB服务器。

还可以配置DNS服务器，将公网IP地址与域名绑定，外网PC通过域名同样可以访问到内网WEB服务器。

四、实验拓扑【注意】：由于模拟器上的路由器没有Serial口，所以在连线前首先得给路由器添加模块。

五、背景描述服务器Server0 是某公司园区网内的一台WEB服务器，其IP地址为私有地址192.168.2.2/24，现将其私网IP地址映射到全局IP地址 222.0.0.3/24上，外网用户PC0可以通过访问222.0.0.3登陆到该公司内部的web服务器上。

六、相关知识NA T网络地址转换或网络地址翻译，是指将网络地址从一个地址空间转换为另一个地址空间的行为。

NA T将网络划分为内部网络和外部网络两部分，局域网主机利用NAT访问网络时，是将局域网内部的本地地址转换为全局地址（互联网合法的IP地址）后转发数据包。

NA T分为三种类型：静态NA T、动态NAT和NAPT（网络端口地址转换），静态NAT是实现转换后一个本地IP地址对应一个全局地址；动态NA T是实现转换后多个本地IP地址对应多个全局地址；NAPT 是实现转换后多个本地IP地址对应一个全局地址。

静态NAT技术将一个内网地址转化为一个外网地址的技术，只能实现“一对一”的转换，并不能实现“多对一”的转换，因此不能解决IP地址不够用的情况，这种NAT技术主要用于内网服务器的发布。

Cisco设备静态NAT根本配置步骤以下内容摘自笔者即将出版上市的《金牌网管师——大中型企业网络组建、配置与管理》一书，或者于明年将出版的《Cisco/H3C路由器配置与管理完全手册》一书。

当你与外部网络进展通信时，你可以转换自己的私有IP地址到全态NAT在内部本地址和内部全局地址之间建立一对一的映射关系，而动态NAT建立一个内部本地址到一个全局地址池的映射关系。

一、静态NAT工作原理静态NAT是最根本的NAT方式，也是最常用的NAT方式之一。

本节要利用网络拓扑结构和具体的示例介绍Cisco设备上的静态NAT根本配置步骤。

示例中的根本网络拓扑结构如图1所示。

NAT 路由器的两个接口〔s0和s1〕分别连接了内、外两个不同的网络〔10.10.10.0/24和171.16.68.1/24〕。

现要使内部网络中的10.10.01.1主机和外部网络中的171.16.68.5主机间进展数据包传输。

图1 静态NAT根本配置示例网络结构在上一篇说到了，NAT的应用可以是单方向〔包括正向或反向〕，也可以是双方向的地址转换。

我们把内部网络中的地址转换成外部网络中的地址，称之为正向转换，使用的NAT命令为“ip nat inside source static {local-ip global-ip}〞，把本地网络的本地址转换成外部网络的全局地址。

把外部网络中的地址转换成内部网络中的地址称之为反向转换，使用的NAT命令为“ip nat outside source static global-ip local-ip}〞，把外部网络的全地址转换本钱地网络的本地地址。

比照可以看出，两个命令中的本地IP地址〔local-ip〕和全局IP地址〔global-ip〕的位置是相互调换的。

而把需要同时具有两方面的转换，称之为双向转换。

正向转换时只需要定义内部本地址和内部全局地址；反方向的转换时如此需要定义外部本地址和外部全局地址；双向转换时如此需要同时定义内部本地址、内部全局地址、外部本地址和外部全局地址。

静态路由配置的实训操作步骤以静态路由配置的实训操作步骤为标题，写一篇文章一、实训背景介绍在网络通信中，静态路由是一种简单而有效的路由配置方式。

它通过手动配置路由表的方式，指定了数据包从源网络到目标网络的路径。

本实训将介绍如何进行静态路由的配置，以实现网络设备之间的通信。

二、实训准备工作1. 确定网络拓扑结构：确定需要进行静态路由配置的网络设备，并绘制出网络拓扑图，包括各设备的连接关系和IP地址分配情况。

2. 确定路由器的管理IP地址：为每个路由器设备分配一个唯一的管理IP地址，用于远程登录和配置路由器。

3. 确定网络设备的接口IP地址：为每个网络设备的接口分配一个唯一的IP地址，用于实现设备之间的通信。

三、静态路由配置步骤1. 登录路由器：使用Telnet或SSH等远程登录工具，通过管理IP 地址登录到需要配置静态路由的路由器。

2. 进入全局配置模式：在路由器的命令行界面中输入"enable"命令，进入特权模式，然后输入"configure terminal"命令，进入全局配置模式。

3. 配置静态路由：在全局配置模式下，输入"ip route 目标网络目标网络掩码下一跳地址"命令，配置静态路由。

其中，目标网络为需要访问的目标网络地址，目标网络掩码为目标网络的子网掩码，下一跳地址为数据包的下一跳路由器的IP地址。

4. 保存配置：输入"end"命令退出配置模式，然后输入"write"命令保存配置。

四、实训操作示例假设有两台路由器R1和R2，它们之间通过以太网连接。

R1的管理IP地址为192.168.1.1，R2的管理IP地址为192.168.2.1。

R1的接口IP地址为192.168.1.254，R2的接口IP地址为192.168.2.254。

现在需要配置R1和R2之间的静态路由。

1. 登录R1路由器：使用Telnet工具，输入192.168.1.1，登录到R1路由器。

路由器静态NAT的配置实验一1、实验目的（1）学习路由器静态NAT的配置2、实验内容（1）配置路由器接口的IP地址（2）设置静态NAT转换3、实验要求根据实验拓扑图组建网络，并按拓扑图配置PC机和路由器，实现PC2的地址转换，上交实验结果。

4 、实验拓扑图5.实验步骤（1）按要求组建网络【截图保存】设备：2台PC机，2台交换机，2台1841型号的路由器连接：路由器与路由器之间使用交叉线相连Fa0/0端口，其它采用直通线相连。

（2）基本配置PC1：192.168.1.2/24 网关192.168.1.1PC2：10.1.2.2/8网关10.1.2.1路由器R1 Fa0/0端口：201.168.31.1，Fa0/1端口：192.168.1.1 路由器R2 Fa0/0端口：201.168.31.2，Fa0/1端口：10.1.2.1路由器R2内部全局地址201.168.31.3，把PC2地址Nat为201.168.31.3（3）静态路由配置路由器R1配置：Router>enable // 进入特权模式Router＃configure terminal //进入全局配置模式Router(config)# ip route 201.168.31.0 255.255.255.0201.168.31.2 //配置路由器R1的路由路由器R2配置：Router>enable //进入特权模式Router＃configure terminal //进入全局配置模式Router (config)# ip route 0.0.0.0 0.0.0.0 201.168.31.1//配置路由器R2的默认路由（4）NAT配置路由器R2配置：Router>enable //进入特权模式Router＃configure terminal //进入全局配置模式Router (config)#ipnat ins source static 10.1.2.2 201.168.31.3 Router (config)# inter e0/1Router (config-if)#ipnat insideRouter (config-if)# inter e0/0Router (config-if)#ipnat outside（5）查看实验结果【截图保存】在PC2上PING192.168.1.2地址，能ping通，说明路由器配置正确。