动态NAT配置

动态NAT配置 【实现功能】 允许内部所有主机在公网地址缺乏的情况下可以访问外部网络。 【实验目的】 配置网络地址变换，为私有地址的用户提供外部网络的资源的访问。 【背景描述】 你是某公司的网络管理员，公司只向ISP申请了一个公网IP地址，希望全公司的主机都能访问外网。 【技术原理】 动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。 动态 NAT 使用公有地址池，并以先到先得的原则分配这些地址。当具有私有 IP 地址的主机请求访问 Internet 时，动态 NAT 从地址池中选择一个未被其它主机占用的 IP 地址。这就是到目前为止所介绍的映射。 静态 NAT 建立了内部地址与特定公有地址之间的永久性映射，而动态 NAT 则是将私有 IP 地址映射到公有地址。这些公有 IP 地址源自 NAT 池。动态 NAT 的配置与静态 NAT 不同，但也有一些相似点。与静态 NAT 相似，在配置动态 NAT 时也需要将各接口标识为内部或外部接口。不过，动态 NAT 不是创建到单一 IP 地址的静态映射，而是使用内部全局地址池。 【实验功能】 允许内部所有主机在公网地址缺乏的情况下可以访问外部网络。 【实验设备】 路由器两台，PC机两台、直通线或交叉线三条 【实验拓扑】 【实现步骤】 步骤一 R1的基本配置 Router#configure terminal //进入全局配置模式 Router(config)#hostname R1 //修改路由器的名称为R1 R1config)#interface fastEthernet 0/0 //进入端口F0/0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 //配置IP地址 R1(config-if)#no shutdown //启用端口，使其转发数据 R1(config-if)#exit R1(config)#interface serial 0/1 //进入端口S0/1 R1(config-if)#ip address 200.1.8.7 255.255.255.0 //配置IP地址 R1(config-if)#no shutdown //启用端口，使其转发数据 R2的基本配置 Routert#configure terminal //进入全局配置模式 Router(config)#hostname R2r //修改路由器的名称为R2 R2(config)#interface fastEthernet 0/0 //进入端口F0/0 R2(config-if)#ip address 63.19.6.1 255.255.255.0 //配置IP地址 R2(config-if)#no shutdown //启用端口，使其转发数据 R2(config-if)#exit R2(config)#interface serial 0/1 //进入端口S0/1 R2(config-if)#ip address 200.1.8.8 255.255.255.0 //配置IP地址 R2(config-if)#clock rate 64000 //设置时钟频率 R2(config-if)#no shutdown //启用端口，使其转发数据 在两个路由器上配置缺省路由 R1(config)#ip route 0.0.0.0 0.0.0.0 serial 0/1 //设置以s0/1的默认静态路由 R2(config)#ip route 0.0.0.0 0.0.0.0 serial 0/1 //设置以s0/1的默认静态路由 验证测试: R2#ping 200.1.8.7 Type escape sequence to abort. Sending 5, 100-byte ICMP Echoes to 200.1.8.7, timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms 步骤二 配置动态NAT映射 R1(config)#interface fastEthernet 0/0 //进入F0/0端口 R1(config-if)#ip nat inside //定义F0为内网接口 R1(config-if)#exit R1(config)#interface serial 0/1 //进入s0/1端口 R1(config-if)#ip nat outside //定义S0为外网接口 R1(config-if)#exit R1(config)#ip nat pool to_internet 200.1.8.7 200.1.8.7 netmask 255.255.255.0 //定义内部全局地址池 R1(config)#access-list 10 permit 172.16.1.0 0.0.0.255 //定义允许转换的地址 R1(config)#ip nat inside source list 10 pool to_internet overload //为内部本地调用转换地址池 验证测试 R1#show ip nat translations //显示活动的转换 Pro Inside global Inside local Outside local Outside global udp 200.1.8.7:2505 192.168.1.2:2502 210.29.224.21:80 210.29.224.21:80 【参考配置】 R1#show running-config //查看配置信息 hostname "R1" interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip nat inside interface Serial0/1 ip address 200.1.8.7 255.255.255.0 ip nat outside ip nat pool to_internet 200.1.8.7 200.1.8.7 netmask 255.255.255.0 ip nat inside source list 10 pool to_internet overload ip classless ip route 0.0.0.0 0.0.0.0 Serial0/1 access-list 10 permit 192.168.1.0 0.0.0.255 line con 0 line aux 0 line vty 0 4 login line vty 5 19 login 【 注意事项 软件开发合同注意事项软件销售合同注意事项电梯维保合同注意事项软件销售合同注意事项员工离职注意事项 】 1.不要把inside和outside应用的接口弄错 2.要加上能使数据包向外转发的路由，比如默认路由 3.尽量不要用广域网接口的地址作为映射的全局地址，本例子中特定只有一 个公网地址，实际工作中不推荐。