路由上NAT實驗
拓撲圖如下:
靜態nat實驗:
首先配置各個接口的ip,所有路由器使用rip v2協議,R5禁用路由功能,插上交換模塊,當作交換機使用在本實驗中。
R5上命令如下:
R5(config)#no ip routing
R5(config)#int vlan 1
R5(config-if)#ip add 192.168.10.10 255.255.255.0
R5(config-if)#no shut
R5(config-if)#ip default-gateway 192.168.10.1
R3上用acl禁用私有ip網段,命令如下:
Router(config)#access-list 1 deny 192.168.0.0 0.0.255.255
Router(config)#access-list 1 dney 172.16.0.0 0.15.255.255
Router(config)#access-list 1 deny 10.0.0.0 0.255.255.255
Router(config)#access-list 1 per any # 配置ACL
Router(config)#int f1/0
Router(config-if)#ip access-group 1 in #在端口入方向上上啓用此ACL
此時PC上ping 4.4.4.4 是不通的,如下圖:
在r1上設置默認路由:
Router(config)#ip route 0.0.0.0 0.0.0.0 f1/1
Router(config)#int f1/0
Router(config-if)#ip nat inside #配置nat內部接口
Router(config-if)#int f1/1
Router(config-if)#ip nat outside #配置nat外部接口
Router(config-if)#exit
Router(config)#ip nat inside source static 192.168.10.2 23.1.1.5 #每條內部地址對應一個 公網ip
Router(config)#ip nat inside source static 192.168.10.3 23.1.1.6
客戶端測試,可以ping通4.4.4.4,如下圖:
在r4上debug ip icmp觀察,如下圖:
Icmp迴應包的目的地址是23.1.1.5 , 說明配置成功。
動態NAT實驗:
動態NAT思路:
1) 用ACL過濾內網網段
2) 建立公網ip地址池
3) Ip nat inside source “ACL 列表” pool “pool 名稱”
同樣是上面的拓撲圖,接口ip配置都相同,不同的是把配置靜態NAT的那兩條語句刪除,添加如下語句:
Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255
Router(config)#ip nat pool zh 23.1.1.10 23.1.1.20 netmask 255.255.255.0
Router(config)#ip nat inside source list 1 pool zh
客戶端測試,同時R4 debug ip icmp ,如下圖:
看R1的轉換表,如下圖:
說明配置成功。
PNAT(端口複用技術實驗)
公網ip的使用是需要購買的,企業一般不會購買很多的公網ip,但是企業內部的客戶機數量有很多,一方面爲了節約成本,一方面也爲了節約ipv4,可以考慮把企業內部私有ip轉換成一個公網ip,路由器中通過公網ip加端口標識私有ip。
PNAT思路:
(1)用ACL把內網ip過濾出來
(2)指定將哪個ANL轉成哪個接口的ip並指定端口複用
刪除之前配置的兩條記錄,添加如下語句:
Router(config)#ip nat inside source list 1 interface f1/1 overload
客戶端都ping 4.4.4.4 ,可通,查看nat表,如下:
至此,PNAT實驗完成。
DNAT(目標地址轉換)實驗
目標:外網4.4.4.4 想要訪問公司內網網站,ftp服務器,文件服務器等服務。
實現:把內網主機對應服務的端口映射到網關的公網上某個端口
還是上面的拓撲,配置都不變。此時,外網是無法遠程管理交換機的,爲了讓外網可以遠程telnet登錄內網交換機,做如下操作:
R1上添加如下命令:
Router(config)#ip nat inside source static tcp 192.168.10.10 23 23.1.1.1 23 #把內部交換機管理地址的23端口映射到默認網關的23端口
在R4上測試,如下:
查看R1上,如下:
證明端口映射成功。