港湾路由器NAT配置事例.doc

港湾路由器NAT配置事例 文章来源：BigRadishS Blog 文章作者： 发布时间：2006-07-23 字体： 大 中 小 一、 测试环境： 软件版本：1.3以上路由器：NetHammerM/G系列路由器 二、 配置事例1、 共享一公网IP如图所示，某公司内部网络通过一个公网IP访问INTERNET具体配置：Router1(config-if-bri1/0)# ip address negotiatedRouter1(config-if-bri1/0)# ip nat outsideRouter1(config-if-bri1/0)# encapsulation pppRouter1(config-if-bri1/0)# ppp pap sent-username 169 password 169Router1(config-if-bri1/0)# ppp multilinkRouter1(config-if-bri1/0)# dialer load-threshold 60Router1(config-if-bri1/0)# dialer in-bandRouter1(config-if-bri1/0)# dialer-group 1Router1(config-if-bri1/0)# dialer string 169Router1(config-if-bri1/0)# exit !Router1(config)# dialer-list 1 protocol ip permitRouter1(config)# access-list 1 permit anyRouter1(config)# ip route 0.0.0.0/0 interface bri2/0Router1(config)# ip nat onRouter1(config)# ip nat inside source list 1 interface bri 2/0!Router1(config)# interface eth 0/0Router1(config-if-eth0/0)# ip address 192.168.0.1/24Router1(config-if-eth0/0)# ip nat inside 2、负载均衡如图所示路由器上有两个接口：以太网接口E0/0与内部网相连，使用私有地址192.168.0.1；以太网接口E0/1与因特网相连，地址为61.20.12.4；使用三台PC服务器来提供WEB服务，它们使用私有地址。 具体配置：Router(config)# ip nat pool websvrsRouter(config)# type rotaryRouter(config-ipnat-pool)# address 192.168.0.2 192.168.0.4Router(config)# access-list 1 permit 61.20.12.4/32Router(config)# ip nat inside destination list 1 pool websvrsRouter(config)# interface eth0/0Router(config-if-eth0/0)# ip nat insideRouter(config)# interface eth0/1Router(config-if-eth0/1)# ip nat outsideRouter(config)# ip nat on注：所有由外网发往61.20.12.4的请求都会被轮流转发给地址池中的三台服务器处理。三、NAT的监控与维护如图所示路由器上有两个接口：以太网接口E0/0与内部网相连，使用私有地址192.168.0.1；以太网接口E0/1与因特网相连，地址为61.20.12.4；使用三台PC服务器来提供WEB服务，它们使用私有地址。 可以用show ip nat statistics命令显示关于NAT的统计信息，输出如下：Total active translations: 75 当前的NAT转换的总数Outside interfaces: 当前设置的外部接口dialer0Inside interfaces: 当前设置的内部接口eth0/0可以用show ip nat translations命令显示当前的NAT转换表，输出如下： Pro Inside global Inside local Outside local Outside global6 61.149.32.147:1514 192.168.0.33:1514 202.107.35.22:5555 202.107.35.22:55556 61.149.32.147:1222 192.168.0.39:1222 202.96.137.34:80 202.96.137.34:806 61.149.32.147:1090 192.168.0.36:1090 64.4.12.51:186364.4.12.51:18636 61.149.32.147:2097 192.168.0.55:2097 216.136.171.200:80 216.136.171.200:806 61.149.32.147:1225 192.168.0.39:1225 x 3d.aa.97.ec:43bx 3d.aa.97.ec:43b6 61.149.32.147:2098 192.168.0.55:2098 216.136.171.200:80 216.136.171.200:806 61.149.32.147:1907 192.168.0.42:1907 64.4.12.84:1863 64.4.12.84:1863Total translation: 19 当前的NAT转换表项数第一列显示连接的协议号；第二列显示连接的内部全局地址；第三列显示连接的内部本地地址；第四列显示连接的外部本地地址；第五列显示连接的外部全局地址；若连接的协议包含端口，则会在地址中显示端口，若地址太长，则使用地址的十六进制表示，并在该地址前添加一个x；可用debug ip nat命令查看地址转换的详细信息，输出如下：NAT*: 0x1f2c34 inside initiated connection - proto 1 (192.168.0.234.) - (202.112.58.200) pool (61.34.2.42 61.34.2.42)表示将对内部主机发出的一个icmp进行地址转换处理，可供使用的内部全局地址是61.34.2.42；NAT*: 0x1f2c34 do snat - proto 1 (192.168.0.234) (61.34.2.42)表示改变了报文的源地址，从内部本地地址192.168.0.234转换成内部全局地址61.34.2.42；NAT*: 0x1f2c34 closed表示连接已关闭RIP配置事例1、 在下面的网络里，有三台路由器，所有的路由器都运行RIP协议，仅要实现三台路由器互通 配置： Joe(config)# router rip Joe(config-router-rip)# network 192.168.0.0/24 Joe(config-router-rip)# network 192.168.1.0/24 Hamer(config)# router rip Hamer(config-router-rip)# network 192.168.1.0/24 Hamer(config-router-rip)# network 133.81.1.0/24 Tom (config)# router rip Tom (config-router-rip)# network 192.168.1.0/24 Tom (config-router-rip)# network 133.81.2.0/24 2、在下面的网络里，有三台路由器，所有的路由器都运行RIP协议，要实现： （1） Ros的E0端口接收Hata和Bito发来的路由更新报文。 （2） Ros在E0发送的更新报文仅发送给Bito。 配置： Ros的配置如下： Ros (config)# router rip Ros (config-router-rip)# network 192.168.1.0/24 Ros (config-router-rip)# network 10.8.11.0/24 Ros (config-router-rip)# passive-interface eth0/0 Ros (config-router-rip)# neighbor 192.168.1.35 Bito的配置如下： Bito (config)# router rip Bito (config-router-rip)# network 192.168.1.0/24 Bito (config-router-rip)# network 137.1.1.3/24 Hata的配置如下： Hata (config)# router rip Hata (config-router-rip)# network 192.168.1.0/24 3、如下图所示：有三台路由器，Melu和Haha现在正常运行，现要添加一台名称为Toba的HOS路由器使Toba和Haha互相联通，并且不能破坏现在Melu和Haha的运行状态。 已知Melu和Haha运行的协议为： （1） Haha上运行的是RIPv1，无认证配置。 （2） Melu上运行的是RIPv2，无认证配置。 分析： HOS默认值是，RIP发送版本1，接收版本1和版本2的update报文。这样我们只要在Toba上运行起RIP，并且指定192.168.0.1/24为RIP活动网络范围，Toba就可以和Haha建立联通了。由于Melu运行的版本为RIPv2，只要让Toba发送RIPv2报文就可以了。 因而，Toba可以配置为： Toba (config)# router rip Toba (config-router-rip)# network 192.168.0.0/24 Toba (config-router-rip)# network 10.8.11.0/24 Toba (config-router-rip)# exit Toba (config)# interface eth0/0 Toba (config-if-eth0/0)# ip rip send version 2 4、如下图所示：有两台HOS路由器，现在要求实现Wed和Hax联通并且要有MD5认证。 分析： 有认证的情况下实现两台路由器的互联，这两台路由器必须配置相同的认证方式和密钥才能进行双方的路由的交换，值得注意的是双方必须发送版本2 Hax (config)# key chain wan Hax (config-keychain)# key 1 Hax (config-keychain-key)# key-string wan Hax (config-keychain-key)# exit Hax (config-keychain)# exit Hax (config)# interface eth0/0 Hax (config-if-eth0/0)# ip rip authentication key-chain wan Hax (config-if-eth0/0)# ip rip authentication mode md5 Hax (config-if-eth0/0)# ip rip send version 2 Hax (config-if-eth0/0)# ip rip receiv