实验33 静态路由-网络地址转换(静态-网段NAT)

华为ENSP实验指南】网络地址转换NAT技术原理和实验简介I P有公网与私网的区分，通常内网使用私网I P，I n t e r n e t使用公网I P地址，而使用私网地址的计算机访问公网时需要使用N A T技术。

网络地址转换（N e t w o r k A d d r e s s T r a n s l a t i o n，简称N A T），N A T分为静态N A T、动态N A T、网络地址端口转换。

网络拓扑静态NAT原理与配置静态N A T就是一个私网地址对应一个公网地址，它不能节约公网地址，在实际应用中一般很少采用这种方式，常见的就是服务器使用。

静态N A T1对1的主机通信，通常用于服务器R1<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]sys AR1[AR1]inter g0/0/1[AR1-GigabitEthernet0/0/1]ip add 200.1.1.2 30[AR1-GigabitEthernet0/0/1]inter g0/0/0[AR1-GigabitEthernet0/0/0]ip add 192.168.1.1 24[AR1-GigabitEthernet0/0/0]inter g0/0/1[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.242 ?inside Specify inside information of NAT[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.242 ins[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.242 inside 192.168.1.10 [AR1-GigabitEthernet0/0/1]disp this[V200R003C00]#interface GigabitEthernet0/0/1ip address 200.1.1.2 255.255.255.252nat static global 117.29.161.242 inside 192.168.1.10 netmask 255.255.255.25 5#return[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.243 inside 192.168.1.20 R2<Huawei>u t m<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]sys AR2[AR2]inter g0/0/0[AR2-GigabitEthernet0/0/0]ip add 200.1.1.1 30[AR2-GigabitEthernet0/0/0]quit[AR2]ip route-static 117.29.161.242 255.255.255.0 200.1.1.2P A T[AR1]inter g0/0/1[AR1-GigabitEthernet0/0/1]undo nat static global 117.29.161.242 inside 192.168.1.10[AR1-GigabitEthernet0/0/1]undo nat static global 117.29.161.243 inside 192.168.1.20[AR1-GigabitEthernet0/0/1]disp this #检查一下配置是否删除[AR1-GigabitEthernet0/0/1]quit[AR1]nat address-group 1 117.29.161.242 117.29.161.242 #NAT地址池（我只配置了1个IP，如果有多个都可以加进去）[AR1]acl 2020 #创建基本ACL[AR1-acl-basic-2020]rule 5 permit source 192.168.1.0 0.0.0.255 #允许1.0网段获取[AR1-acl-basic-2020]inter g0/0/1#地址池和列表进行关联[AR1-GigabitEthernet0/0/1]nat outbound 2020 address-group 1 ?no-pat Not use PAT<cr> Please press ENTER to execute command#到这一步如果直接回车，在华为默认启用PAT#PAT即对一个公网地址反复使用，通过端口号转换，#如果想用动态NAT，则需要在group 1后面加上no-pat#动态NAT无法节约公网IP，在地址池中选一个IP对应一个内网IP[AR1-GigabitEthernet0/0/1]nat outbound 2020 address-group 1 #回车对地址池和列表进行关联，使用PAT功能使用P A T时，从主机p i n g200.1.1.1两台可同时使用，但从200.1.1.1p i n g117.29.161.242是不通的，因为很多主机拿了它作地址，不指定端口根本无法找到（P A T相当于天然防火墙，向外屏蔽了真实地址）动态NAT[Huawei-GigabitEthernet0/0/1]undo nat outbound 2020 address-group 1 #取消PAT[Huawei-GigabitEthernet0/0/1]nat outbound 2020 address-group 1 no-pat #使用动态NAT基于接口的PAT现实场景中，应用最为广泛的P A T，配置基于接口的P A T可以使用一个公网I P就可以让全公司的人上网[Huawei-GigabitEthernet0/0/1]undo nat outbound 2020 address-group 1[Huawei-GigabitEthernet0/0/1]nat outbound 2020 #outbound 2020默认使用地址池的公网地址进行替换复用[Huawei-GigabitEthernet0/0/1]disp this[V200R003C00]#interface GigabitEthernet0/0/1ip address 200.1.1.2 255.255.255.252nat outbound 2020 #return。

网络地址转换（NAT）实验实验拓扑：实验要求：在R1，R2上实现内网与外网的地址转换。

R1，R2通过各自的E0口各连接着一个局域网；R1连接的局域网有五台PC机子，可通过给R1的E0口配置5个第二IP地址来模拟局域网；R2连接的局域网我们看成是一台机子（做为代表），要求实现R1连接的局域网能与R2连接的局域网进行通信！实验IP地址表：路由器接口IP地址R1 E0 10.1.1.1/24R1 E0 10.1.1.2/24 SECR1 E0 10.1.1.3/24 SECR1 E0 10.1.1.4/24 SECR1 E0 10.1.1.5/24 SECR1 S0 202.101.98.5/24R2 S0 202.101.98.6/24R2 E0 172.16.18.1/24实验配置如下：一、基本配置：配置R1：Router>enRouter#conf tRouter(config)#hostname R1R1(config)#int E0R1(config-if)#ip add 10.1.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#ip add 10.1.1.2 255.255.255.0 sec //在E0口上配置多个第二IP模拟R1所连局域网R1(config-if)#ip add 10.1.1.3 255.255.255.0 sec福州SPOTO TM（思博）计算机高级技术培训中心福州SPOTO TM （思博）计算机高级技术培训中心R1(config-if)#ip add 10.1.1.4 255.255.255.0 sec R1(config-if)#ip add 10.1.1.5 255.255.255.0 sec R1(config)#no keepalive //禁止端口更新R1(config)#ip route 0.0.0.0 0.0.0.0 S0 //添加到R2的路由 R1(config)#int S0R1(config-if)#ip add 202.101.98.5 255.255.255.0 R1(config-if)#no shut R1(config-if)#end R1#sh run配置R2： Router>enRouter#conf tRouter(config)#hostname R2 R2(config)#ine E0R2(config-if)#ip add 172.16.18.1 255.255.255.0 R2(config-if)#no shutR2(config-if)#no keepalive R2(config-if)#exit R2(config)#int S0R2(config-if)#ip add 202.101.98.6 255.255.255.0 R2(config-if)#no shutR2(config-if)#clock rate 64000 //设置DCE 时钟同步，为DTE 端提供时钟 R2(config-if)#no keepalive R2(config-if)#end R2#sh run二、配置静态NA T （一对一映射）配置R1： R1#conf tR1(config)#ip nat inside source static 10.1.1.1 202.101.98.1 //后者为下一网段的IP R1(config)#ip nat inside source static 10.1.1.2 202.101.98.1 R1(config)#ip nat inside source static 10.1.1.3 202.101.98.1 R1(config)#ip nat inside source static 10.1.1.4 202.101.98.1 R1(config)#ip nat inside source static 10.1.1.5 202.101.98.1 R1(config)#int E0R1(config-if)#ip nat inside R1(config-if)#int S0R1(config-if)#ip nat outsideS P O T O 实验报告福州SPOTO TM （思博）计算机高级技术培训中心R1(config-if)#end R1#debug ip natR1#ping //此处使用扩展PING三、配置动态NA T ： 1.通过接口： 配置R1： R1#conf tR1(config)#no ip nat inside source static 10.1.1.1 202.101.98.1 //删除原先设置的静态NA T 映射 R1(config)#no ip nat inside source static 10.1.1.2 202.101.98.1 R1(config)#no ip nat inside source static 10.1.1.3 202.101.98.1 R1(config)#no ip nat inside source static 10.1.1.4 202.101.98.1R1(config)#no ip nat inside source static 10.1.1.5 202.101.98.1 R1(config)#ip nat inside source list 110 interface S0R1(config)#access-list 110 permit ip 10.1.1.0 0.0.0.255 any //建立一ACL ，匹配内网所有主机 R1(config)#endR1#ping //此处使用扩展PING2.动态池： R1#conf tR1(config)#no ip nat inside source list 110 interface S0 /删除上面通过接口设置的映射 R1(config)#ip nat pool chinalion 202.101.98.5（//开始IP ） 202.101.98.6（//结束IP ） netmask 255.255.255.0 //建立IP 动态池 R1(config)#ip nat inside source list 110 pool chinalion overload R1(config)#end R1#sh runR1#ping //此处使用扩展PING实验总结：1.配置动态 IP 地址池不能使用已经使用在接口上的 IP ，最好选择其它同一网段的 IP （这里排除了10.1.20.1 和 10.1.20.2 而使用了 10.1.20.3 和 10.1.20.4）；2.配置 NA T 的原则是让内网可以访问外网，保护内网，所以与内网连接的端口为 inside ， 与外网连接的端口为outside ；3.配置访问控制列表的时候，permit 的是内网的IP 地址，而非外网的地址；4.配置静态NA T 时候，是一一映射关系，即一个公网IP 对应一个内网主机，使用此方式需要保证有足够的公网IP 地址；5. 配置PAT 方式，在应用NAT 语句结尾打上OVERLOAD ，路由器会立即开启过载功能，使用端口转发S P O T O 实验报告福州SPOTO TM （思博）计算机高级技术培训中心的方式进行内外网地址互相转换。

配置NAT的静态转换、动态转换和PAT 实验人：实验名称：配置NAT的静态转换、动态转换和PAT实验目的：掌握配置NAT的静态转换、动态转换和PAT的方法实验原理：用小凡搭建如图实验环境配置静态NAT：在R1路由器上，配置静态NAT（ip nat inside source static 192.168.1.1 202.96.1.3 和ip nat inside source static 192.168.1.2 202.96.1.4），打开debug ip nat 功能，查看地址转换情况，即192.168.1.1转换为202.96.1.3 ，192.168.1.2 转换为202.96.1.4 即实验成功！配置动态NAT：在R1路由器上，配置动态NAT（access-list 1 permit 192.168.1.0 0.0.0.255（配置访问控制列表）ip nat pool cisco 202.96.1.5 202.96.1.6 netmask 255.255.255.0（配置分配IP的地址池）ip nat inside source list 1 pool cisco（访问控制列表和地址池的绑定）），打开debug ip nat 功能，查看地址转换情况，若其中两台PC机可以ping通，有一台不能ping通，即实验成功！配置网络地址端口转换PAT：在R1路由器上，配置网络地址端口转换PAT，（access-list 1 permit 192.168.1.0 0.0.0.255（配置访问控制列表）ip nat pool cisco 202.96.1.8 202.96.1.8 netmask 255.255.255.0（配置分配IP 的地址池）ip nat inside source list 1 pool cisco overload（访问控制列表和地址池的绑定）），打开debug ip nat 功能，查看地址转换情况，若PC1、PC2和PC3的地址都转换为202.96.1.8，即实验成功！实验过程：配置静态NAT⑴用小凡搭建如图实验环境，如图示：⑵在R1上，配置S0/0和F1/0端口的IP地址，然后配置路由协议，只宣告公网的IP网络，如图示：⑶在R2上，配置S0/0和loopback 0端口的IP地址，然后配置路由协议，如图示：⑷在PC1、PC2和PC3上，配置IP地址和网关，如图示：⑸此时，在PC1、PC2和PC3上，都不能ping通2.2.2.2 如图示：⑹在R1上，配置静态NAT，然后再S0/0和F1/0端口分别宣布outside和inside，如图示：⑺此时，即可ping通2.2.2.2 如图示：⑻在R1上，打开debug功能，即可看到地址转换的过程，如图示：⑼此时，用PC1和PC2依次ping 2.2.2.2 都能ping通，如图示：⑽同时，在R1上，可以看到PC1和PC2依次ping 2.2.2.2 时，地址的转换情况，如图示：⑾在R1上，查看NAT地址转换信息，如图示：⑿在R1上，用命令查看已经地址转换的情况，即实验成功！如图示：配置动态NAT：⑴用小凡搭建如图实验环境，如图示：⑵在R1上，配置S0/0和F1/0端口的IP地址，然后配置路由协议，只宣告公网的IP网络，如图示：⑶在R2上，配置S0/0和loopback 0端口的IP地址，然后配置路由协议，如图示：⑷在PC1、PC2和PC3上，配置IP地址和网关，如图示：⑸此时，在PC1、PC2和PC3上，都不能ping通2.2.2.2 如图示：⑹在R1上，配置动态NAT ，如图示：⑺此时，PC1和PC3可以ping通2.2.2.2 ，但PC2不能ping 通，即实验正确，如图示：⑻在R1上，可以看到地址转换的情况，因为地址池中只用两个地址，所以在分配完地址后，当PC2再ping2.2.2.2 时，不能ping通，即无地址再分配，地址转换出错，即实验成功！如图示：⑼在R1上，查看动态NAT 信息，如图示：⑽用命令查看已转换的NAT地址转换情况，如图示：⑾若出现如图内容，即地址转换（NAT）缓存失效，如图示：配置PAT（网络地址端口转换）：⒈用小凡搭建如图实验环境，如图示：⒉在R1上，配置S0/0和F1/0端口的IP地址，然后配置路由协议，只宣告公网的IP网络，如图示：⒊在R2上，配置S0/0和loopback 0端口的IP地址，然后配置路由协议，如图示：⒋在PC1、PC2和PC3上，配置IP地址和网关，如图示：⒌此时，在PC1、PC2和PC3上，都不能ping通2.2.2.2 如图示：⒍在R1上，配置网络地址端口转换PAT，如图示：⒎配置S0/0为outside ，配置F1/0为inside 如图示：⒏此时，用PC1、PC2和PC3依次ping 2.2.2.2 都可以ping 通，如图示：⒐此时，在R1打开debug ip nat功能，即可看到：PC1、PC2和PC3的IP地址，都转换为202.96.1.8 即实验成功！如图示：⒑此时，在R1上，查看NAT信息，如图示：⒒此时，在R1查看地址转换信息，如图示：⒓也可以使用如图方法配置PAT，如图示：⒔此时，PC1、PC2和PC3的IP地址，都转换为202.96.1.1 ，即实验成功！如图示：总结：在实验中，配置这两种NAT转换，都需要一个IP对应转换一个IP地址，不能多个IP对应转换一个公网IP；NAT常用类型：静态NAT（Static NAT）、动态地址NAT（Pooled NAT）、网络地址端口转换PAT；静态地址转换将内部本地地址与内部合法地址进行一对一的转换，动态NAT是动态一对一的映射，PAT 为多对一；清除缓存：clear ip nat translation * ；动态NAT转换的缓存时间为一天，但网络地址端口转换PAT没有缓存。

实验网络地址转换NAT 配置实验学号 _________ 学生_____ 实验时间____________________ 课程名称：交换机/路由器配置 辅导教师：泰峰任务一 利用动态NAPT 实现局域网访问互联网 [实验名称]利用动态NAPT 实现局域网访问互联网。

[实验目的]掌握网中所有主机连接到Internet 网时，通过端口号区分的复用部全局地址转换。

[背景描述]你是某公司的网络管理员，公司只向ISP 申请了一个公网IP 地址，希望全公司的主机都能访问外网，请你实现。

[技术原理]NAT(网络地址转换或网络地址翻译)，是指将网络地址从一个地址空间转换为另一个地址空间的行为。

NAT 将网络划分为部网络(inside)和外部网络(outside)两局部。

局域网主机利用NAT 访问网络时，是将局域网部的本地地址转换为全局地址(互联网合法IP 地址)后转发数据包。

NAT 分为两种类型：NAT(网络地址转换)和NAPT(网络地址端口转换)。

NAT 是实现转换后一个本地IP 地址对应与一个全局地址。

NAPT 是实现转换后多个IP 地址对应一个全局地址。

目前网络中由于公网IP 地址紧缺，而局域网主机数较多，因此一般使用动态的NAPT 实现局域网多台主机共用一个或少数几个公网IP 访问互联网。

[实现功能]允许部所有主机在公网地址缺乏的情况下可以访问外部网络。

[实验设备]R1762路由器〔两台〕、V.35线缆〔1条〕、PC 〔两台〕直连线或穿插线〔2〕 [实验拓扑][实验步骤]192.17.4.1/24 F1/0 192.17.3.1/24 192.17.4.2/24 192.17.3.2/24 S1/2 S1/2 R1 Lan-router Internet-router F1/0192.17.1.1/24192.17.1.2/24R2步骤1. 根本配置局域网路由器Router2 根本配置router#configure terminalEnter configuration mands, one per line. End with TL/Z.router(config)#hostname router2router2(config)#interface fastEthernet 1/0router2(config-if)#ip add 192.17.4.1 255.255.255.0router2(config-if)#no shutdownrouter2(config-if)#exitrouter2(config)#interface serial 1/2router2(config-if)#ip add 192.17.3.2 255.255.255.0router2(config-if)#no shutdownrouter2(config-if)#endrouter2#测试命令：show ip interface brief。

路由器配置实验报告路由器配置实验报告实验目的：了解并熟悉路由器的基本配置，包括登录、配置IP地址、配置静态路由和配置网络地址转换（NAT）。

实验步骤：1. 连接路由器：将电脑通过以太网线连接到路由器的LAN口。

2. 登录路由器：通过电脑上的浏览器输入路由器的默认IP地址（通常为192.168.1.1）进入路由器的管理界面。

3. 配置IP地址：在路由器的管理界面中，进入网络设置菜单，设置路由器的IP地址为192.168.1.2，并设置子网掩码为255.255.255.0。

4. 配置静态路由：在路由器的管理界面中，进入路由设置菜单，添加一条静态路由，将目标网络地址设为192.168.2.0，下一跳设为192.168.1.3。

5. 配置NAT：在路由器的管理界面中，进入NAT设置菜单，启用NAT功能，并设置内网地址范围为192.168.1.100-192.168.1.200。

实验结果：1. 登录路由器成功，并成功进入管理界面。

2. 成功配置了路由器的IP地址为192.168.1.2，并设置了子网掩码为255.255.255.0。

3. 成功添加了一条静态路由，将目标网络地址设为192.168.2.0，下一跳设为192.168.1.3。

4. 成功启用了NAT功能，并设置了内网地址范围为192.168.1.100-192.168.1.200。

实验总结：通过本次实验，我成功了解并熟悉了路由器的基本配置。

我学会了如何登录路由器、如何配置IP地址、如何配置静态路由和如何配置NAT。

在实验过程中，我还发现了一些问题，比如登录路由器时用户名和密码错误，需要找到默认的用户名和密码才能成功登录；配置静态路由时需要注意目标网络地址和下一跳的设置，以确保路由器能够正确转发数据包；配置NAT时需要设置合适的内网地址范围，以确保内部设备可以正常访问外部网络。

通过不断实践和调试，我逐渐掌握了这些技巧，并且成功完成了实验。

总体而言，本次实验对我的网络知识的学习和提升起到了很大的帮助作用。

NAT网络地址转换实验讲义[实验目的]了解和掌握路由器地址转换功能，作为网络安全内容。

[实验设备]两台路由器，使用串行线将两个0串口对接；两台计算机作为操作平台；一台交换机担当网络连接。

[实验网络拓扑]192.168.1.15/17/254 192.168.2.15/17/254[实验内容]1.连接路由器--打开路由器电源--使用console线将计算机串口com1与路由器console口直接相连；--建立HyperTerminal：开始→程序→附件→通讯→超级终端→名称=router→连接=com1→Baut Rate=9600,8,no parity, 1 stop bit；--进入特权模式：router01>en(able)，Enable Secret Password=cisco2完成RIP动态路由3内部地址转换3.1 转换方案192.168.1.16—31→202.168.1.4--63.2 建立NAT--建立访问控制组：router01(config)# access-list 1 permit 192.168.1.16 0.0.0.15--建立转换地址池mypool：router01(config)# ip nat pool mypool 202.168.1.4 202.168.1.6 netask 255.255.255.0--设置动态NAT关系：router05(config)# ip nat inside source list 1 pool mypool3.3 端口设置--设置端口：router01 (config)#in s0/0#端口s0/0--设置地址：router01 (config-if)#ip address 202.168.1.1 255.255.255.0--设置转换方向：router01 (config-if)#ip nat outside#出口--设置端口：router01 (config)#in f0/0#端口f0/0--设置地址：router01 (config-if)#ip address 192.168.1.1 255.255.255.0--设置转换方向：router01 (config-if)#ip nat inside#进口--设置单向路由：router01 (config)#ip route 0.0.0.0 0.0.0.0 202.168.1.23.4 测试--检测：router01# debug ip nat--配置计算机IP地址：192.168.1.15--测试连通(从计算机)：ping 192.168.2.1--配置计算机IP地址：192.168.1.17--测试连通(从计算机)：ping 192.168.2.1--查看转换地址表：router01# sh ip nat translation#动态转换只有才完成时才会显示。

静态NAT 实验一、实验拓扑二、实验概述Internet 技术的飞速发展，使越来越多的用户加入到Internet，因此，IP 地址短缺已成为一个十分突出的问题。

NAT（Network Address Translation，网络地址翻译）是解决IP 地址短缺的重要手段。

NAT 技术使用一个私有网络可以通过Internet 注册IP 连接到外部世界，位于Inside 网络和Outside 网络中的NAT 路由器在发送数据包之前，负责把内部IP 地址翻译成外部合法的IP 地址。

NAT 将每个局域网节点的IP 地址转换成一个合法的IP 地址，反之亦然。

它也可以应用到防火墙技术中，把个别IP 地址隐藏起来不被外界发现，对内部网络设备起到保护的作用，同时，它还可以帮助网络超越地址的限制，合理地安排网络中的公有Internet 地址和私有IP 地址的使用。

三、实验步骤内部主机配置配置路由器R1提供NAT 服务R1(config)#int f1/0R1(config-if)#ip add 192.168.1.3 255.255.255.0R1(config-if)#no shutdownR1(config-if)#int s0/0R1(config-if)#ip add 202.103.224.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exiR1(config)#ip route 0.0.0.0 0.0.0.0 s0/0//配置默认路由能够去往目标网络R1(config)#ip nat inside source static 192.168.1.1202.103.224.10R1(config)#ip nat inside source static 192.168.1.2202.103.224.11//配置静态NAT的映射，将内部私有地址在通过外网设备时被转换成一个共有IP地址将NAT关联到接口R1(config)#int f1/0R1(config-if)#ip nat inside //配置NAT 内部接口R1(config-if)#int s0/0R1(config-if)#ip nat outside//配置NAT外部接口配置R2作为外网R2(config)#int s0/0R2(config-if)#ip add 202.103.224.2 255.255.255.0R2(config-if)#no shutdownR2(config-if)#int lo0R2(config-if)#ip add 2.2.2.2 255.255.255.255R2(config)#ip route 0.0.0.0 0.0.0.0 s0/0（需要访问内网时所需）四、实验分析主机1、2分别访问2.2.2.2/32的情况，在R1上开启NAT的调试信息以上输出表明了NAT 的转换过程。