新版CCNA200-120PPT文档28-NAT的三种配置

CCNA(640-802),CCNA200-120,NAT配置,NAT配置步骤1、接口IP地址配置2、使用访问控制列表定义哪些内部主机能做NAT3、决定采用什么公有地址，静态或地址池4、指定地址转换映射5、在内部和外部端口上启用NAT,静态NAT配置3-1,Internet,NAT外部端口,NAT内部端口,内部网络,192.168.100.2-192.168.100.6/24,61.159.62.129,192.168.100.1,将内部网络地址192.168.100.2-192.168.100.6,转换为合法的外部地址61.159.62.130-61.159.62.134,第一步：设置外部端口第二步：设置内部端口第三步：在内部本地和内部合法地址之间建立静态地址转换第四步：在内部和外部端口上启用NAT,Router(config)#ipnatinsidesourcestatic192.168.100.261.159.62.130Router(config)#ipnatinsidesourcestatic192.168.100.361.159.62.131,Router(config)#interfaceserial0/0Router(config-if)#ipaddress61.159.62.129255.255.255.248,Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress192.168.100.1255.255.255.0,Router(config)#interfaceserial0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet0/0Router(config-if)#ipnatinside,静态NAT配置3-2,静态NAT配置3-3,Internet,2NAT转换,192.168.100.1,61.159.62.129,NAT转换表,192.168.100.6,192.168.100.3,192.168.100.2,155.34.2.3外部主机,210.3.4.5外部主机,Internet,NAT外部端口,NAT内部端口,内部网络,172.168.100.2-172.168.100.6/24,61.159.62.129,172.168.100.1,将内部网络地址172.168.100.1-172.168.100.254转换为合法的外部地址61.159.62.130-61.159.62.190,动态NAT配置4-1,Internet,动态NAT配置4-2,第一步：设置外部端口IP地址第二步：设置内部端口IP地址第三步：定义内部网络中允许访问外部的访问控制列表,Router(config)#interfaceserial0/0Router(config-if)#ipaddress61.159.62.129255.255.255.192,Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress172.168.100.1255.255.255.0,Router(config)#access-list1permit172.168.100.00.0.0.255,动态NAT配置4-3,第四步：定义合法IP地址池第五步：指定网络地址转换映射第六步：在内部和外部端口上启用NAT,Router(config)#ipnatinsidesourcelist1pooltest0,Router(config)#ipnatpooltest061.159.62.13061.159.62.190network255.255.255.192,Router(config)#Interfaceserial0/0Router(config-if)#IpnatoutsideRouter(config)#Interfacefastethernet0/0Router(config-if)#Ipnatinside,Internet,172.168.100.2,2NAT转换,155.34.2.3外部主机,210.3.4.5外部主机,172.168.100.3,172.168.100.6,172.168.100.1,61.159.62.129,NAT转换表,动态NAT配置4-4,Internet,NAT外部端口,NAT内部端口,内部网络,10.1.1.2-10.1.1.254/24,61.159.62.129,10.1.1.1,将内部网络地址10.1.1.1-10.1.1.254，转换为合法的外部地址61.159.62.130,PAT配置9-1,第一步：设置外部端口IP地址第二步：设置内部端口IP地址第三步：定义内部网络中允许访问外部的访问控制列表,Router(config)#interfaceserial0/0Router(config-if)#ipaddress61.159.62.129255.255.255.192,Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress10.1.1.1255.255.255.0,Router(config)#access-list1permit10.1.1.00.0.0.255,PAT配置9-2,第三步：定义合法IP地址池第五步：指定网络地址转换映射第六步：在内部和外部端口上启用NAT,Router(config)#ipnatinsidesourcelist1poolonlyoneoverload,Router(config)#ipnatpoolonlyone61.159.62.13061.159.62.130netmask255.255.255.248,Router(config)#interfaceserial0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet0/0Router(config-if)#ipnatinside,PAT配置9-3,PAT配置9-4,Internet,2NAT转换,155.34.2.3外部主机,210.3.4.5外部主机,10.1.1.1,61.159.62.129,NAT转换表,10.1.1.2,10.1.1.3,10.1.1.254,地址转换过程中，也直接使用接口的IP地址作为转换后的源地址,Internet,局域网192.168.1.2-254/24,PC2,PC1,S0:207.35.14.82,PC1和PC2可以直接使用S0接口的IP地址作为地址转换后的公用IP地址,PAT配置9-5,Internet,NAT外部端口,NAT内部端口,内部网络,10.1.1.2-10.1.1.254/24,61.159.62.129,10.1.1.1,将内部网络地址10.1.1.1-10.1.1.254，转换为路由器的接口地址61.159.62.129,PAT配置9-6,第一步：设置外部端口第二步：设置内部端口第三步：定义内部网络中允许访问外部的访问控制列表,Router(config)#interfaceserial0/0Router(config-if)#ipaddress61.159.62.129255.255.255.252,Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress10.1.1.1255.255.255.0,Router(config)#access-list1permit10.1.1.00.0.0.255,PAT配置9-7,第四步：定义合法IP地址池直接使用路由器的接口地址，不用定义地址池第五步：指定网络地址转换映射第六步：在内部和外部端口上启用NAT,Router(config)#ipnatinsidesourcelist1interfaceserial0/0overload,Router(config)#interfaceserial0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet0/0Router(config-if)#ipnatinside,PAT配置9-8,PAT配置9-9,Internet,2NAT转换,155.34.2.3外部主机,210.3.4.5外部主机,10.1.1.1,61.159.62.129,NAT转换表,10.1.1.2,10.1.1.3,10.1.1.254,NAT检查与排错3-1,常见问题动态地址池中是否有正确的范围的地址动态地址池中是否有重复的地址静态映射的地址与动态地址池中的地址之间是否有重复访问列表是否指明了要转换的正确地址，是否漏掉一些地址，是否包括了一些不该包括的地址是否指明了正确的内部和外部接口不对称路由问题,NAT检查与排错3-2,测试联通性验证NAT配置命令showipnattranslationsshowipnatstatistics,Router#showipnattranslationsProinsideglobalinsidelocaloutsidelocaloutsideglobalTcp61.159.62.130192.168.100.2-Tcp61.159.62.131192.168.100.3-,NAT检查与排错3-3,s10.1.1.1表示源地址是10.1.1.1d172.16.2.2表示目的地址是172.16.2.210.1.1.1-192.168.2.1表示将地址10.1.1.1转换为192.168.2.1,RouterdebugipnatNat:s=10.1.1.1-192.168.2.1,d=172.16.2.20Nat:s=172.16.2.2,d=192.168.2.1-10.1.1.10Nat:s=10.1.1.1-192.168.2.1,d=172.16.2.21,NAT的debug调试,清除NAT表的条目,验证和监控PAT,测试网络联通性命令showipnattranslationsshowipnatst