目录
1 PAT配置实验
1.1 实验内容
内部网络与公共网络互连的网络拓扑如下图所示,允许分配私有IP地址的内部网络终端发起访问公共网络的过程,允许公共网络终端发起访问内部网络中服务器的过程。要求路由器R1采用(Port Address Translation,端口地址转换)技术实现上述功能。
1.2 实验原理
路由器1的路由表中不存在以192.168.1.0/24为目的网络的路由项,内部网络192.168.1.0/24对于路由器1是透明的
内部网络终端只能以路由器0连接公共网络接口的IP地址192.1.3.1作为发送给公共网络终端IP分组的源IP地址。
同样,公共网络终端必须以192.1.3.1作为发送给内部网络终端IP分组的目的IP地址
公共网络终端用IP地址192.1.3.1标识整个内部网络,为了能够正确区分内部网络中的每一个终端,TCP/UDP报文用端口号唯一标识每一个内部网络的终端,ICMP报文用标识符唯一标示每一个内部网络终端。由于端口号和标识符只有本地意义,需要路由器1为每一个内部终端分配唯一的端口号或标识符,并通过地址转换项 私有IP,本地端口号(本地标识符),全球IP,全球端口号(全球标识符)建立该端口号或标识符与某个内部网络终端之间的关联。
地址转换项在内部网络终端向公共网络终端发送TCP/UDP报文(或ICMP报文)时创建,因此动态PAT只能实现内部网络终端发起访问公共网络的过程。 如果需要实现公共网络终端发起访问内部网络中服务器的过程,必须在路由器中建立全球端口号80与服务器私有IP192.168.1.3之间的关联,使得公共网络终端可以用全球IP地址192.1.3.1和全球端口80访问内部网络中的服务器1.
1.3 关键命令
1 建立私有地址与全球地址之间的关联
全局模式
access-list 1 permit 192.168.1.0 0.0.0.255 //指定允许进行NAT操作的私有IP地址范围192.168.1.0/24
ip nat inside source list 1 interface FastEthernet 0/1 overload //将源IP地址属于编号1的访问控制列表指定的私有IP地址范围的IP分组进行PAT操作,全球地址采用接口 0/1的IP地址,由路由器生成唯一 的端口号(或标识符),并因此创建用于指明私有IP地址与全球端口号或全球标识符之间关联的动态地址转换项
2 创建静态地址转发项
全局模式
ip nat inside source static tcp 192.168.1.3 80 192.1.3.1 80
转换项 192.168.1.3 (本地IP地址),80(本地端口号),192.1.3.1(全球地址),80(全球端口号)
3 指定内部网络与公共网络
全局模式
interface FastEther 0/0
ip nat inside //将特定端口指定为连接内部网络的端口
exit
interface FastEthernet 0/1
ip nat outside //将特定端口指定为连接外部网络的端口
exit
2 无线路由器配置过程
2.1 实验内容
小型内部网络接入互联网的过程如下图所示,允许内部网络终端发起访问互联网的过程,互联网终端无法发起访问内部网络终端的过程,但允许互联网终端通过浏览器的方式发起访问内部网络中web服务器1的过程
2.2 实验原理
由于内部网络终端分配私有IP地址,因此必须启动无线路由器的PAT功能。启用无线路由器的PAT功能后,只允许内部网络终端发起访问互联网的过程。如果要求运行互联网终端发起访问内部网络中Web服务器1的过程,需要启用无线路由的端口映射功能,将全局端口号80与web服务器1的私有IP地址192.168.1.3绑定在一起
3 动态NAT配置实验
3.1 实验内容
内部网络与公共网络互连的网络结构如下图所示,允许分配私有IP地址的内部网络终端发起访问公共网络的过程,允许公共网络终端发起访问内部网络服务器1的过程。要求路由器0采用NAT技术实现上述功能
3.2 实验原理
PAT要求私有IP地址映射到单个全球IP地址,因此,无法用全球IP地址唯一标识内部网络终端,需要通过全球端口号或全球标识符唯一标识内部网络终端,因此,只能对封装TCP/UDP报文的IP分组或是封装ICMP的报文实施PAT操作。
动态NAT允许将私有IP地址映射到一组全球IP地址,通过定义全球IP地址池指定这一组全球IP地址,全球IP地址池中的全球IP地址数量决定了可以同时访问公共网络的内部网络终端的数量。某个内部网络终端的私有IP地址与全球IP地址池中某个全球IP地址之间的映射是动态建立的,该内部网络终端一旦完成对公共网络的访问过程,将撤销已经建立好的映射,释放该全球IP地址,其他内部网络终端可以通过建立自己的私有IP地址与该全球IP地址之间的映射访问公共网络。
3.3 关键命令
1 建立全球IP地址池与一组私有IP地址之间的关联
全局模式
access-list 1 permit 192.168.1.0 0.0.0.255 //允许进行NAT操作的私有IP地址范围192.168.1.0/24
ip nat pool al 192.1.1.1 192.1.1 13 netmask 255.255.255.240 //定义一个全球IP地址池,a1是池名,192.1.1.1是起始地址,192.1.1.13是结束地址 255.255.255.240是一组全球IP地址的子网掩码
ip nat inside source list 1 pool a1 //将编号为1的访问控制列表指定的私有IP地址范围与名为a1的全球IP地址池绑定在一起
路由器对其中的IP分组进行NAT操作,从全球IP地址池中选择一个未分配的全球IP地址,创建地址转换项 IP分组原地址,全球IP地址
2 创建静态地址转换项
全局模式
ip nat inside source static 192.168.1.3 192.1.1.14 //创建静态地址转换项 192.168.1.3 192.1.1.14
4 静态NAT配置实验
4.1 实验内容
实现两个内部网络互连的网络结构如下图所示,由于内部网络1和内部网络2独立分配私有IP地址,因此两个内部网络可以分配相同的私有IP地址空间。要求通过NAT技术实现以下功能
1 允许内部网络1中的终端访问内部网络2中的服务器2
2 允许内部网络2中的终端访问内部网络1中的服务器1
4.2 实验原理
分配给某个内部网络中的私有IP地址空间对另一个内部网络中的终端是不可见的,因此,任何一个内部网络中的终端必须用全球IP地址访问其他内部网络中的终端。
虽然不同内部网络可以分配相同的私有IP地址空间,但这些私有IP地址建立映射的全球IP地址必须是唯一的。
如果需要实现由其他网络中的终端发起访问内部网络中的服务器的过程,必须建立服务器1的私有IP地址(192.168.1.3)与全球IP地址(192.1.2.14)之间的映射,对其他网络中的终端用该全球IP地址访问服务器1
