《实验十二 NAT配置》实验参考答案(思科 5.30)

实验报告项目12 静态NAT配置1 任务概述静态NAT是设置内部IP和外部IP一对一的转换，将某个私有IP地址固定的映射成为一个合法的公有IP。

如下图配置计算机和路由器，设置RouterA的IP地址：s0/0: 60.1.1.1/24 ，f0/0: 10.65.1.1/16 ，将接口f0/0设置为内部接口，接口s0/0设置为外部接口，静态映射私有IP为公网IP，映射规则如下：私有IP ——> 公网IP10.65.1.2 60.1.1.3310.65.1.3 60.1.1.3410.65.1.4 60.1.1.352 方案设计2.1需求分析网络地址转换(NA T，Network Address Translation)被广泛应用于各种类型Internet 接入方式和各种类型的网络中。

原因很简单，NAT 不仅完美地解决了lP 地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

NAT 的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。

2.2 方案设计示意图（可以用Office的Visio软件画图）：2.3设备清单搭建如上图所示的网络环境，需要如下的设备及材料：（1）Cisco2621路由器（2台）；（2）PC机2台；（3）双绞线（若干根）；2.4 规划路由器各接口IP地址、子网掩码如下表所示：路由器名称接口IP地址子网掩码描述Router A F0/0 10.65.1.1/16 255.255.0.0 连接内网Router A F0/1 60.1.1.1/30 255.255.255.252 连接外网Router B F0/0 60.1.1.2/16 255.255.0.0 连接外网Router B F0/1 133.0.0.2/24 255.255.255.0 连接外网2.5 规划各计算机的IP地址、子网掩码和网关如下表所示：计算机IP地址子网掩码网关Host A 10.65.1.2 255.255.0.0 10.65.1.1Host B 133.0.0.1 255.255.0.0 133.0.0.23 实施步骤（1）配置路由器的名称；（2）配置路由器各接口地址；(3) 静态NAT是设置内部IP和外部IP一对一的转换，将某个私有IP地址固定的映射成为一个合法的公有IP。

实验报告课程名称计算机网络基础实验项目_____________ NAT配置 ____________专业班级0906603 ________ 姓名__________ 学号2 ______________指导教师陈伟宏老师成绩_______________ 日期2011.11.19一、实验目的掌握内网中所有主机连接到In ternet时，通过NAPT技术实现私有全局地址转换。

二、实验设备和环境在模拟器上配置NAT：—台PC机，Windows操作系统，Packet Tracer 5.0仿真软件。

三、实验内容1、画出实验拓扑图；2、配置路由器接口和路由；3、配置动态NAPT映射；4、配置客户机IP地址并进行测试。

四、实现功能允许内部所有主机在公司地址缺乏的情况下可以访问外部网络。

五、实验过程（一）实验拓扑：(二)实验步骤(1)配置路由器RouterO:1 、配置F0/0端口，具体如下图所示:* Eouteirl Physical Ccnfig | CLI | Fa stEth e rn etO/1SerialO/lA) MA.C ZtddressIP AddressSubnet Mask 00n7.EC33.B3Cl 12SS. 255^255.02、配置SerO/1/O 端口，具体如下图所示:⑵配置路由器Routerl:1、配置F0/0端口，具体如下图所示:FastEtheiriptiV 1^Part Status 1* OnGLOBALSottings 艸口购Static ： R 】PSITCHIN? 7LANDatabase INTERFA 匚 f2、配置SerO/1/O端口，具体如下图所示:(3)在路由器RouterO上配置缺省路由RouterO(co nfig)# ip route 0.0.0.0 0.0.0.0 s0/1/0⑷在路由器Router0上配置动态NAPT映射：Router0(config)# int f0/0Router0(c on fig-if)# ip nat in sideRouter0(c on fig-if)# exitRouter0(config)# int s 0/1/0Router0(c on fig-if)# ip nat outsideRouter0(c on fig-if)# exitRouter0(co nfig)# ip nat pool to_i nternet 200.1.8.7 200.1.8.7netmask 255.255.255.0Router0(config)# access-list 10 permit 192.168.0.0 0.0.0.255Router0(c on fig)# ip nat in side source list 10 pool to_in ternet overload测试结果1、在PC0上PingPC1::PCO2、在PC0 上Pi ng PC2 :（六）实验心得本次试验为NAT配置。

1.设备之间的地址如图所示，按照拓扑图配置IP地址2.R1和R2之间属于area 8，R1和SW1，SW2之间属于area 0，SW1和SW2上所有VLAN接口属于area 10.SW1和R3之间是属于RIP区域的。

要求配置RIP和OSPF实现网络之间能够通信。

把Area 8配置完全末梢区域3.在R3上存在着10.100.0.0/24到10.100.7.0/24这8个网段。

要求在R1上看到这8个网段是汇总的。

4.在SW1、SW2、SW3、SW4上配置VTP，SW1和SW2是server模式，SW3和SW4是客户机模式。

域名为benet，密码为cisco。

添加VLAN 10、VLAN 50、VLAN 80、VLAN 90这4个VLAN5.另外在SW1和SW2上配置HSRP，要求SW1是VLAN 10和VLAN 50的活跃路由器，SW2是VLAN 80和VLAN 90的活跃路由器6.配置PVST实现流量的负载均衡，在配置PVST时请注意与HSRP对应7.R4是模拟ISP在R4上配置LO0:200.1.20.1/24，在R1上配置PAT实现内网的所有PC能够去访问200.1.20.1这个地址。

另外实现R4可以telnet到Server上8.配置ACL要求在周一到周五的8:30到17:30之间禁止员工去登录QQ，除此以外在所有时间段要求保证员工能够正常的去访问外网的WWW,FTP,SMTP,TELNET这些服务，禁止员工去访问其他的服务。

我先用GNS3搭建起来的拓扑图注意，实验说明：本文中的所有命令都是简写的，因为思科的命令都是支持简写的先敲所有网络设备的预配命令先EnConfig tEnable password 1234No ip domain-loLine con 0Password 1234No exec-tLogging syn配置地址R1Inter f0/0Ip add 10.255.0.5 255.255.255.252No shutInter f1/0Ip add 10.255.0.9 255.255.255.252No shutInter f2/0Ip add 10.255.0.1 255.255.255.252No shutInter f3/0Ip add 202.1.10.1 255.255.255.252 No shutR2Inter f0/0Ip add 10.255.0.2 255.255.255.252 No shutR3Inter f0/0Ip add 10.255.0.13 255.255.255.252 No shutInter lo0Ip add 10.100.0.3 255.255.255.0 No shutInter lo1Ip add 10.100.1.3 255.255.255.0 No shutInter lo2Ip add 10.100.2.3 255.255.255.0 No shutInter lo3Ip add 10.100.3.3 255.255.255.0 No shutInter lo4Ip add 10.100.4.3 255.255.255.0 No shutInter lo5Ip add 10.100.5.3 255.255.255.0 No shutInter lo6Ip add 10.100.6.3 255.255.255.0 No shutInter lo7Ip add 10.100.7.3 255.255.255.0 No shutR4Inter f0/0Ip add 202.1.10.2 255.255.255.252 No shutInter lo0Ip add 200.1.20.1 255.255.255.255ExitSw1Ip routing (三层交换机开启路由功能)Inter f0/0No switchport (开启三层路由功能)Ip add 10.255.0.6 255.255.255.252No shutInter f0/10No switchport (开启三层路由功能)Ip add 10.255.0.14 255.255.255.252No shutInter range f0/14 -15 （做以太通道）Sw mo tr (接口做为trunk模式)Inter range f0/1 -2Sw mo trExitSw2Ip routingInter f0/0No swIp add 10.255.0.9 255.255.255.252No shutInter range f0/14 -15Sw mo trInter range f0/1 -2Sw mo trExitSw3Inter range f0/0 -1Sw mo trSw4Inter range f0/1 -2Sw mo trExit在SW1、SW2、SW3、SW4上配置VTP，SW1和SW2是server模式，SW3和SW4是客户机模式。

NAT配置目录目录第1章配置NAT (2)1.1 NAT概述 (2)1.1.1 NAT应用 (2)1.1.2 NAT的优点 (2)1.1.3 NAT术语 (2)1.1.4 NAT规则匹配顺序 (3)1.2 NAT配置任务表 (3)1.2.1 翻译内部源地址 (3)1.2.2 配置静态转换 (4)1.2.3 PAT的配置 (5)1.2.4 改变翻译超时及限制连接数目 (6)1.2.5 监视和维护NAT (6)1.2.6 动态转换配置实例 (7)第1章配置NATInternet面临的两个关键问题是IP地址空间的缺乏和路由的度量。

网络地址翻译(NAT)是一种允许一个组织的IP网络从外部看上去使用不同的IP地址空间而不是它实际使用的地址空间的特性。

这样，通过将这些地址转换到全局可路由的地址空间，NAT允许一个具有非全局可路由地址的组织连接到Internet。

NAT也允许一个更好的重编码策略，为组织机构更改服务提供商或自动编码到CIDR块。

NAT也在RFC 1631中讲述。

1.1 NAT概述1.1.1 NAT应用NAT的应用主要有以下几种：z需要连接到Internet网上，但是并非所有主机都有唯一的全局IP地址。

NAT 使得使用非注册的IP地址的私有IP互联网络能够连接到互联网上。

NAT一般在单连接域(即内部网络)上和公共网络(即Internet) 的边界交换机上配置。

在发送报文到外部网络之前，NAT将内部本地地址转换到全局唯一的IP地址。

z必须改变内部地址。

可以通过使用NAT完成地址的转换，而无须改变它们，因为那将费时太多。

z要实现基本的TCP传输负载均衡。

可以通过使用TCP负载分布特性将单个全局IP地址映射到多个本地IP地址。

z作为连接问题的解决方案，只有在单连接的域中相对少的主机同时与域外通信时，NAT有实用价值。

此时，只有在需要和外部通信时，内部少量主机的IP才被转换成全局唯一的IP地址。

当不再使用时这些地址又可以被重新使用。

实验报告17静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。

也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。

动态转换可以使用多个合法外部地址集。

当ISP提供的合法IP地址略少于网络内部的计算机数量时。

可以采用动态转换的方式。

端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PA T，Port Address Translation).采用端口多路复用方式。

内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。

同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。

因此，目前网络中应用最多的就是端口多路复用方式。

【注意事项】1.在配置的时候不要把inside和outside应用接口弄错2.要加上能能使数据包外发的路由协议。

该实验所需要的简单实验拓扑。

请用模拟器拓扑替换此图。

实验拓扑图实验步骤及命令清单本次实验步骤对锐捷机架真实设备和思科模拟器均可。

本节实验报告由三个实验组成。

注意：PC机和路由器之间用交叉线相连。

实验步骤:参看电子书——CCNA实验指导实验。

实验二十：静态地址转换实验二十一：动态地址转换实验二十二：PAT一、静态地址转换：通过实验掌握静态NAT的配置方法及实际应用。

根据需要将内部主机PC1:192.168.1.1和PC2:192.168.1.2私有地址转为能上外网的公有地址。

NAT配置实验实验报告实验报告：NAT配置实验1. 实验目的：本实验旨在了解和掌握网络地址转换（Network Address Translation，NAT）的基本概念和配置方法，并通过实际操作实现NAT 功能。

2. 实验设备和工具：-路由器设备-电脑设备-网络连接线3. 实验步骤：步骤1: 连接设备-将计算机设备通过网络连接线与路由器设备进行连接。

步骤2: 登录路由器-打开浏览器，输入路由器的IP地址，进入路由器的管理界面。

-输入用户名和密码进行登录。

步骤3: 进入NAT配置界面-在路由器的管理界面中，找到"网络设置"或"高级设置"等相关选项，进入NAT配置界面。

步骤4: 启用NAT功能-在NAT配置界面中，找到"启用NAT"或"开启NAT"等选项，勾选该选项以启用NAT功能。

步骤5: 配置NAT规则-在NAT配置界面中，找到"端口映射"或"端口转发"等选项，点击添加新规则。

-输入内部IP地址和端口号，以及外部IP地址和端口号，配置相应的映射规则。

步骤6: 保存并应用配置-在NAT配置界面中，点击保存或应用按钮，将所配置的NAT规则保存并应用到路由器上。

4. 实验结果：-成功登录路由器管理界面并找到NAT配置界面。

-成功启用NAT功能并配置了相应的映射规则。

-保存并应用了配置。

5. 实验总结：通过本次实验，我对NAT的概念和配置方法有了更深入的了解。

NAT作为一种常用的网络地址转换技术，可以帮助解决IP地址不足的问题，并实现内部网络与外部网络的通信。

在实验过程中，我学会了如何登录路由器管理界面、启用NAT功能以及配置NAT规则。

这些知识对于理解和应用NAT技术具有重要意义。

通过实验的操作和实际应用，我对NAT的工作原理和使用方法有了更深入的认识，并能够在实际网络环境中进行NAT配置和管理。

NAT实验二一.实验目的本实验的目的是通过配置负载均衡NAT以及使用NAT转换交叉地址空间，让学员对NAT的工作原理有更深的认识，掌握NAT在路由器上的配置方法，对NAT在网络上的应用有更深的了解。

二.原理知识NAT配置中的常用命令：ip nat{inside|outside}：接口配置命令。

以在至少一个内部和一个外部接口上启用NAT。

ip nat inside source static local-ip global-ip：全局配置命令。

在对内部局部地址使用静态地址转换时，用该命令进行地址定义。

access-list access-list-number{permit|deny}local-ip-address：使用该命令为内部网络定义一个标准的IP访问控制列表。

ip nat pool pool-name start-ip end-ip netmask netmask[type rotary]：使用该命令为内部网络定义一个NAT地址池。

ip nat inside source list access-list-number pool pool-name[overload]：使用该命令定义访问控制列表与NAT内部全局地址池之间的映射。

ip nat outside source list access-list-number pool pool-name[overload]：使用该命令定义访问控制列表与NAT外部局部地址池之间的映射。

ip nat inside destination list access-list-number pool pool-name：使用该命令定义访问控制列表与终端NAT地址池之间的映射。

show ip nat translations：显示当前存在的NAT转换信息。

show ip nat statistics：查看NAT的统计信息。

show ip nat translations verbose：显示当前存在的NAT转换的详细信息。

环境：ADSL---NAT（2000）----PCNAT外网IP：219.154.214.150NAT内网IP：10.41.221.2 255.255.255.0PC：10.41.222.6 255.255.255.0 DG10.41.221.2如果直接用这样的设置，PC不能上网，不能PING10.41.221.2但是，我用SNIFFER抓包发现，当PC请求时，NAT还是做了转发，而且得到了应答。

发现了有趣的事：这个应答被转发，目的地址换成了10.41.222.6，是在外网卡上捕捉到的。

忽然突发奇想：如果这个报文被PC得到是不是就可以建立连接呢？继续做实验，把网络结构改一下：ADSL----HUB----NAT、PC、NAT(2000)和PC都接HUB，其中NAT的内部和外部网卡都接HUB，这里注意，我没有捆绑TCP/IP中的NETBIOS。

在PC上继续试图上网，不行，有点丧气，不过，仔细分析报文，发现问题出在：目的MAC不一致导致的！精神头又来了，立即修改PC的MAC为局端的MAC，重新启动计算机，用浏览器打开网页没有任何问题，上MSN也没有问题，有意思吧。

此时PING10.41.221.2不能得到回应，这个好理解。

显然发送报文走网关经过NAT后可以得到回音，而回应的报文再次被发送出去的时时候，同时被PC接受，通讯就建立了。

有点没想通的是：如果不设置PC的网关，居然MSN依然在线，可以正常使用，而此时网页却无法打开了。

请高手指教？继续实验，这次是关于变长子网掩码的。

环境依然是：ADSL---NAT（2000）----PCNAT外网IP：219.154.214.150NAT内网IP：10.41.221.2 255.255.255.0PC：10.41.221.200 DG10.41.221.2分别设置PC的MASK为255.255.0.0和255.255.25.192结果没什么新鲜。

放大以后就有意思了：NAT内网IP：192.168.0.1不变，MASK改为 255.255.0.0PC的IP改为192.168.0.2，MASK改为255.255.255.0，这样的设置可以上网PC的IP改为192.168.1.2，MASK改为255.255.255.0，这样的设置也可以上网翻阅有关文章，一般都在NAT的内部网卡上设置多IP，比如：192.168.0.1/24192.168.1.1/24分别对应192.168.0.0/24和192168.1.0/24网段，做内部PC的网关，是不是有点多余呀，实验表明：只要设置NAT的内部网卡的MASK为255.255.0.0，那么，192.168.0.0/16下的机器设置网关为192.168.0.1就可以上网，我的NAT服务器的操作系统是2000SERVER。