网络工程师交换试验手册之十七：NAT转换实验.doc

网络工程师交换试验手册之十七：NAT转换实验实验目的：理解NAT地址转换的原理，熟悉NAT转换的配置过程。进一步理解NAT在扩展IP地址方面的巨大功效。理解NAT如何将内部地址转换成外部地址的过程。实验拓扑：17.JPG (10.03 KB)2007-6-25 11:29实验内容：1静态NAT首先在R1上起2个环回接口loop0和loop1，为每一个loop口分配一个IP地址，模拟2台内部PC机，R1的S1看成到外网的接口。而R3这里看成外部一台服务器。PC机想要与R3通信，不许利用NAT来将内部PC地址转换成R1上S0的地址实现。路由器的基本配置 R1#show ip int bInterface IP-Address OK? Method Status ProtocolEthernet0 unassigned YES unsetadministratively down downLoopback0 YES manual up upLoopback1 YES manual up upSerial0 YES manual up upSerial1 unassigned YES unsetadministratively down dowR2#show ip int bSerial0 unassigned YES TFTP up upSerial1 YES manual up up此时用扩展PING以 和为源以为目的PINGR1#pingProtocol ip:Target IP address:% Bad IP addressTarget IP address: Repeat count 5:Datagram size 100:Timeout in seconds 2:Extended commands n: ySource address or interface: Type of service 0:Set DF bit in IP header? no:Validate reply data? no:Data pattern 0xABCD:Loose, Strict, Record, Timestamp, Verbosenone:Sweep range of sizes n:Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds:.Success rate is 0 percent (0/5)Source address or interface: 显然无法ping通，即内部地址无法直接与外部地址通信，于是我们启用NAT转换。启动NAT静态转换。R1(config)#int loop0R1(config-if)#ip nat inside 定义内部接口R1(config-if)#int loop1R1(config-if)#ip nat inside定义内部接口R1(config-if)#int s0R1(config-if)#ip nat outside定义外部接口R1(config)#ip nat inside source static 定义将内部的接口地址静态的的一对一的转换为R1(config)#ip nat inside source static 定义将内部的接口地址静态的的一对一的转换为此时用扩展Ping以 和为源以为目的PINGR1#debug ip nat 开放debug进行ping包时候的抓包转换测试。!Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/36 ms00:36:36: NAT: s=-, d= 20看到我们的源已经进行了转换，转换后的地址才可以与目的地址进行通信00:36:36: NAT*: s=, d=- 2000:36:36: NAT: s=-, d= 2100:36:36: NAT*: s=, d=- 2100:36:36: NAT: s=-, d= 2200:36:36: NAT*: s=, d=- 2200:36:36: NAT: s=-, d= 2300:36:36: NAT*: s=, d=- 2300:36:36: NAT: s=-, d= 2400:36:36: NAT*: s=, d=- 2400:37:40: NAT: s=-, d= 2500:37:40: NAT*: s=, d=- 2500:37:40: NAT: s=-, d= 2600:37:40: NAT*: s=, d=- 2600:37:40: NAT: s=-, d= 2700:37:40: NAT*: s=, d=- 2700:37:40: NAT: s=-, d= 2800:37:40: NAT*: s=, d=- 2800:37:40: NAT: s=-, d= 2900:37:40: NAT*: s=, d=- 29有PING的结果可以看出，现在内部PC已经可以和外部通信了，并且通过debug信息可以看到NAT转换已经开始运行。但这种转换是NAT里最简单的转换，下面我们学习其他几种NAT转换方式。2.动态NAT1启动动态NAT为loop0接口定义多个地址R1(config-if)#ip add R1(config-if)#ip add secR1(config-if)#ip add secR1(config-if)#ip add secR1(config-if)#ip add secR1(config-if)#ip add secR1(config-if)#ip add secR1(config-if)#ip add secR1(config-if)#ip add sec定义外部地址池R1(config)#ip nat pool outpool netmask 定义了一个转换池的名字叫做outpool，也就是说，你转换后的地址是从这个池子里面出的。定义允许的转换的内部地址R1(config)#access-list 10 permit host R1(config)#access-list 10 permit host 定义转换R1(config)#ip nat inside source list 10 pool outpool 定义了内部需要转换的是有accesslist来控制的10，而转后后的地址是从outpool里面来提取的。此时用扩展PING以 和为源以为目的PING 观察转换效果R1#debug ip nat R1#pingSource address or interface: Success rate is 100 percent (5/5), round-trip min/avg/max = 40/41/44 ms01:06:35: NAT: s=-, d= 6501:06:35: NAT*: s=, d=- 6501:06:35: NAT: s=-, d= 6601:06:35: NAT*: s=, d=- 6601:06:35: NAT: s=-, d= 6701:06:35: NAT*: s=, d=- 6701:06:35: NAT: s=-, d= 6801:06:35: NAT*: s=, d=- 6801:06:35: NAT: s=-, d= 6901:06:35: NAT*: s=, d=- 69Source address or interface: 01:13:28: NAT: s=-, d= 8501:13:28: NAT*: s=, d=- 8501:13:28: NAT: s=-, d= 8601:13:28: NAT*: s=, d=- 8601:13:29: NAT: s=-, d= 8701:13:29: NAT*: s=, d=- 8701:13:29: NAT: s=-, d= 8801:13:29: NAT*: s=, d=- 8801:13:29: NAT: s=-, d= 8901:13:29: NAT*: s=, d=- 89当我们清楚所有的NAT会话以后，再次PING的时候的转换则有01:06:35: NAT: s=-, d= 6501:06:35: NAT*: s=, d=-192.168. 2.3 6501:06:35: NAT: s=-, d= 6601:06:35: NAT*: s=, d=-192.168. 2.3 6601:06:35: NAT: s=192.168. 2.3-, d= 6701:06:35: NAT*: s=, d=-192.168. 2.3 6701:06:35: NAT: s=192.168. 2.3-, d= 6801:06:35: NAT*: s=, d=-192.1682.3 6801:06:35: NAT: s=192.168. 2.3-, d= 6901:06:35: NAT*: s=, d=-192.168. 2.3 6901:13:28: NAT: s=-, d= 8501:13:28: NAT*: s=, d=- 8501:13:28: NAT: s=-, d= 8601:13:28: NAT*: s=, d=- 8601:13:29: NAT: s=-, d= 8701:13:29: NAT*: s=, d=- 8701:13:29: NAT: s=-, d= 8801:13:29: NAT*: s=, d=- 8801:13:29: NAT: s=-, d= 8901:13:29: NAT*: s=, d=- 89显然2次转换的地址不同，即转换是动态的。Source address or interface: 01:19:38: NAT: translation failed (E), dropping packet s= d=.01:19:40: NAT: translation failed (E), dropping packet s= d=61.32.3401:19:42: NAT: translation failed (E), dropping packet s= d=1:19:44: NAT: translation failed (E), dropping packet s= d=1:19:46: NAT: translation failed (E), dropping packet s= d=61.32.34.重点*：当我们第2次PING的时候提示转换错误，NAT放弃转换，是因为外部地址只有2个，所以只能转换2个内部地址，如果想转换第3个地址，必须前面2个转换中有一个转换停止。可见这种转换有很大的局限性，为了能够实现多个地址转换成一个地址，我们需要新的转换方法。即NAT超载。3.NAT超载NAT超载配置很简单只需添加一个overload参数即可：R1(config)#ip nat inside source list 10 pool outpool overload 用overload是用于反复的提取地址池中的地址，其实是一种pat的技术。也就是利用一个逻辑地址的多个端口来进行转换。此时用扩展ping命令来测试NAT转换。01:28:10: NAT: s=-, d= 9501:28:10: NAT*: s=, d=- 9501:28:10: NAT: s=-, d= 9601:28:10: NAT*: s=, d=- 9601:28:10: NAT: s=-, d= 9701:28:10: NAT*: s=, d=- 9701:28:10: NAT: s=-, d= 9801:28:11: NAT*: s=, d=- 9801:28:11: NAT: s=-, d= 9901:28:11: NAT*: s=, d=- 9901:29:03: NAT: s=-, d= 10501:29:03: NAT*: s=, d=- 10501:29:03: NAT: s=-, d= 10601:29:03: NAT*: s=, d=- 10601:29:03: NAT: s=-, d= 10701:29:03: NAT*: s=, d=- 10701:29:03: NAT: s=-, d= 10801:29:03: NAT*: