演示和取证：动态NAT和PAT

第九章实施网络管理与应用功能任务9.3.5演示：NAT-PAT代理内部网络访问Internet

演示目标：在思科路由器上配置NAT-PAT代理内部网络访问Internet。演示环境：使用如图9.65所示的实验环境。演示背景：NAT路由器将整个网络分割成内外两个部分，子网192.168.2.0属于NAT的内部网络；要求使用PAT转换方式，将该子网的所有主机转换成NAT路由器的外部接口IP地址202.202.1.1访问公共网络部分。演示步骤：为实验环境中的所有路由器完成基础配置，包括激活接口、为接口写IP地址、开启动态路由等。具体配置如下。路由器R1的基础配置：R1(config)#interfacee1/0R1(config-if)#ipaddress192.168.2.1255.255.255.0R1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfacee1/1R1(config-if)#ipaddress202.202.1.1255.255.255.0R1(config-if)#noshutdownR1(config-if)#exit任务9.3.5R1(config)#routerripR1(config-router)#noauto-summaryR1(config-router)#version2R1(config-router)#network202.202.1.0R1(config-router)#exit*注意：在进行RIP路由公告时，不需要公告私有网络192.168.2.0，因为在真实的环境中，即使公告了该网络，公共网络也不会认为该网络是合法的路由器R2的基础配置：R2(config)#interfacee1/1R2(config-if)#ipaddress202.202.1.2255.255.255.0R2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfacee1/0R2(config-if)#ipaddress202.202.2.1255.255.255.0R2(config-if)#noshutdownR2(config-if)#exitR2(config)#routerripR2(config-router)#noauto-summaryR2(config-router)#version2R2(config-router)#network202.202.1.0R2(config-router)#network202.202.2.0R2(config-router)#exit任务9.3.5当完成上述配置后，确保NAT路由器的路由学习正常，这也是保障NAT正常工作的一个重要环节，可以在路由器R1上执行showiproute指令，如图9.70所示，可以看到现在路由学习正常。图9.70NAT路由器的路由学习正常任务9.3.5

现在来完成NAT-PAT的配置，具体配置如下。

在路由器R1上完成NAT配置：R1(config)#access-list1permit192.168.2.00.0.0.255*使用ACL定义需要被执行NAT的私有网络地址，也叫作定义感兴趣的翻译流量R1(config)#ipnatinsidesourcelist1interfaceethernet1/1overload*执行NAT翻译，insidesource指示翻译内部源地址，内部源地址的内容被list1即上面的第一条语句access-list1permit192.168.2.00.0.0.255所定义；interfaceethernet1/1指示将内部源地址翻译成NAT路由器E1/1上的公共IP地址；overload指示将所有的私有网络地址翻译成一个公共IP地址，即E1/1接口上的公共IP地址，实际上就是指地址复用，也是PAT与动态NAT的关键区别R1(config)#interfacee1/0R1(config-if)#ipnatinside*定义E1/0接口为NAT的内部接口R1(config-if)#exitR1(config)#interfacee1/1R1(config-if)#ipnatoutside*定义E1/1接口为NAT的外部接口R1(config-if)#exit任务9.3.5当完成上述配置后，分别在内部主机A（192.168.2.100）和主机B（192.168.2.200）上访问公共主机202.202.2.100的Web服务，注意：在执行该访问时，在路由器R1上使用debugip

natdetailed调试PAT的翻译过程，如图9.71所示。除此之外，还可以使用showip

nattranslations来查看NAT的翻译表，可见虽然多个不同的私有专用网络地址被翻译成同一个公共IP地址，但是端口号是不相同的，这样就可以成功地识别不同的会话。还可以看出NAT的4种地址类型的布局，这与9.3.4节“理解NAT的地址类型”中案例一的NAT地址布局相同，此时可以通过实践环境进一步来理解NAT的地址类型。

图9.71debugPAT的翻译过程图9.72查看NAT的翻译表任务9.3.6演示：动态NAT完成网络地址翻译

演示目标：使用动态NAT完成对私有网络的地址翻译。演示环境：如图9.73所示。图9.73动态NAT的演示环境演示背景：该演示环境保持PAT演示环境的网络基础配置，然后使用动态NAT完成对私有网络专用地址的翻译，去访问公共网络。但是在这个演示环境中只为私有专用主机提供了两个公共IP地址，而网络中有三台私有网络专用主机，动态NAT的翻译提供私有地址与公共地址的一对一关系，那么，此时的三台私有网络专用主机中会有一台无法访问公共网络。在这个演示环境中将证实这一点。任务9.3.6演示步骤：在路由器R1上配置动态NAT，具体配置如下。

动态NAT的基本配置：R1(config)#ipnatpoollab202.202.1.3202.202.1.4netmask255.255.255.0*建立一个名为“lab”的公共地址池，开始的地址为202.202.1.3，结束的地址为202.202.1.4，实际上这个地址池中就有两个可用的公共地址；netmask指示NAT地址池中IP地址的子网掩码R1(config)#access-list1permit192.168.2.00.0.0.255*定义感兴趣的翻译流量，事实上就是指示哪个私有网络将被翻译R1(config)#ipnatinsidesourcelist1poollab*翻译被ACL列表1所定义的内部源地址，poollab指示将ACL列表1定义的内部源地址翻译成NAT地址池lab中定义的公共IP地址R1(config)#intee1/1R1(config-if)#ipnatoutside*配置E1/1为NAT的外部接口R1(config-if)#exitR1(config)#intee1/0R1(config-if)#ipnatinside*配置E1/0为NAT的内部接口R1(config-if)#exit任务9.3.6当完成动态NAT的配置后，现在分别到私有网络上的主机A（192.168.2.2）、主机B（192.168.2.3）、主机C（192.168.2.4）上去ping公共网络上的主机202.202.2.100，执行的结果是主机A和B可以成功地ping通公共网络上的主机202.202.2.100，但是主机C会出现如图9.74所示的结果，它将无法与公共网络上的主机通信。可以通过在路由器R1上执行showip

nattranslations指令，显示如图9.75所示的结果，可以看出私有地址与公共地址是成一对一的关系，因为NAT所定义的公共地址池中只有两个可用的IP