配置和监测静态内部源地址转换

王朝other·作者佚名 2008-05-31

宽屏版字体: 小|中|大|超大

本节进行静态内部源地址转换的实验，这是NAT技术中最简单的一种形式，通过此实验可以理解NAT中重要的概念和机制。

1.实验目的

通过本实验。读者可以把握以下技能:

●配置静态内部源地址转换NAT;

●查看NAT相关信息;

●监测ip的转换;

●监测内网和外网间的双向连通性。

2.设备需求

本实验需要以下设备:

●Cisco路由器3台，分别命名为R1.R2和R3，其申R1要求具有1个串行接口和1个以太网接口;R2要求具有1个串行接口;R3要求具有1个以太网接口，R3也可以使用1台带网卡的PC机代替;

●DCE和DTE电缆各1条 (或1条DCE转DTE电缆);

●1条交叉线序双绞线;

●1台终端服务器，如Cisco 2509路由器，及用于反问Telnet的相应电缆;

●1台带有超级终端程序的PC机。以及Console电缆及转接器。

3. 拓扑结构及配置说明

本实验的拓扑结构如图12-1所示。

R1路由器负责NAT转换;R2作为外网节点;R3代替内网中的主机使用。

预备实验时，用DCE和DTE电缆把R1和R2路由器连接起来;使用交叉双绞线把R2和R3路由器连接起来。

各路由器使用的接口及其IP地址如图12-1中的标注。

本实验要求通过使用静态NAT实现没有路由可达性的IP节点172.16.1.3和202.1.1.2之间的双向连通。

4.实验配置及监测结果

首先进行NAT的配置，然后使用有关命令对配置结果进行查看和监测。

第1部分:配置静态内部源地址转换

静态NAT要求实现内网IP地址(Inside Local Address)对外网IP地址 (Inside Global Address)之间的一一映射。在实验中以一对地址的映射为例进行配置。

配置清单12-1列出了各路由器配置完成后的结果。

配置清单12-1 配置静态内部源地址转换

第1段：路由器R1的配置

version 12.1

service timestamps debug uptime

service timestamps log uptime

no service passWord-encryption

hostname R1

ip subnet-zero

interface Ethemet0

ip address 172.16.1.1255.255.255.0

ip nat inside

interface Serial0

ip address 200.1.1.1255.255.255.0

ip nat outside

ip nat inside source static 172.16.1.3 200.1.1.5

ip classless

ip route 0.0.0.0 0.0.0.0 200.1.1.2

ip http server

line con 0

line aux 0

line vty 0 4

end

第2段：路由器R2的配置

version 12.1

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

hostname R2

ip subnet-zero

interface Loopback0

ip address 202.1.1.2 255.255.255.0

interface Serial0

ip address 200.1.1.2 255.255.255.0

clockrate 64000

ip classless

ip http server

line con 0

transport input none

line aux 0

Sine vty 0 4

password cisco

end

第3段：路由器R3的配置

version 12.1

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

hostname R3

ip subnet-zero

no ip routing

no ip finger

interface Ethemet0

ip address 172.16.1.3 255.255.255.0

no ip route-cache

ip default-gateway 172.16.1.1

ip classless

ip http server

line con 0

transport input none

line aux 0

line vty 0 4

password cisco

(1)本实验的重点是对R1路由器的配置。配置R1时，除了对接口进行了通常的配置之外，在E0接口配置了ip nat inside语句，在S0接口配置了ip nat outside语句，指定了路由器的内部接口和外部接口。

(2)为了实现从R1到202.1.1.2的可达性，加入了一条缺省路由。当然也可使用指定目的网段(202.1.1.0/24)的静态路由实现。使用缺省路由是机构用户对Internet接入时的通常做法。

(3)R1路由器配置中最核心的配置语句是:

ip nat inside source static 172.16.1.3 200.1.1.5

它建立了172.16.1.3和200.1.1.5两个IP地址之间的静态映射。

其中内部本地址是172.16.1.3;内部全局地址是200.1.1.5。

需要非凡注重的是，200.1.1.5不是任何接口上的IP地址，它属于网段200.1.1.0/24(S0接口所在网段)。

可以在一台路由器上定义多对IP地址的静态映射。

(4)在R2路由器上是常规的配置。需要说明的是其上没有任何路由设置，这样保证了从R2到内部网172.16.1.0/24之间在路由上是不能连通的。

为了监测的方便，在R2上配置了VTY口令。

(5)R3路由器作为一台纯粹的主机来使用。在配置上，首先用no ip routing命令关闭了该路由器的路由功能;然后用ip default-gateway命令指定了它的缺省网关为172.16.1.1，即R1路由器的E0接口，这一点和在PC机上指定缺省网关具有相同的作用。

在R3路由器上同样也配置了VTY口令。

第2部分:查看和监测静态内部源地址转换

接下来将使用一系列命令来查看和监测静态NAT的相关信息和转换过程。

在监测清单12-1中记录了命令的使用及相应结果。

监测清单12-1查看和监测静态内部源地址转换

第1段：监测和查看NAT操作

R3#ping

PRotocol [ip]:

Target IP address: 202.1.1.2

Repeat count [5]: 5000

Datagram size [100]:

Timeout in seconds [2]:

Extended commands [n]:

Sweep range of sizes [n]:

Type escape sequence to abort.

Sending 5000, 100-byte ICMP Echos to 202.1.1.2, timeout is 2 seconds:

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!

Term_Server 1

[Resuming connection 1 to r1 ...]

R1#debug ip siat

IP NAT debagging is on

R1#

01:57:35: NAT*:s=172.16.1.3-200.1.1.5,d=201.1.1.2[1068]

01:57:35: NAT*:s=202.1.1.2,d=200.1.1.5-172.16.1.3[1068]

01:57:36: HAT*:s=172.16.1.3-200.1.1.5,d=202.1.1.2[1069]

01:57:36: NAT*:s=202.1.1.3,d=200.1.1.5-172.16.1.3[1069]

01:57:36: NAT*:s=172.16.1.3-200.1.1.5,d=202.1.1.2[1070]

01:57:36: HAT*:s=202.1.1.2,d=200.1.1.5-172.16.1.3[1070]

01:57:36: NAT*:s=172.16.1.3-200.1.1.5,d=202.1.1.2[1072]

O1:57:36: NAT*:s=202.16.1.3-200.1.1.5-172.16.1.3[1072]

01:57:3@:

... (此处删节)

01:57:36: NAT*:s=202.1.1.2,d=200.1.1.5-172.16.1.3[1079]

01:57:36: HAT*:s=172.16.1.3-200.1.1.5,d=202.1.1.2[1080]

R1#undeb all

R1#show ip nat statistics

Total active.translations:1(1 static,0 dynamic;0 extended)

Outside interfaces:

Serial0

Insideinterfaces:

Ettherent0

hits:Misses.: 0

EXPired translations: 0

Dynamic mappings:

R1#sh ip nat translations

Pro Inside globalIndide localOutside localOutside global

---200.1.1.5172.16.1.3--- ---

第2段：测试双向连通性

R1#

Term_Server3

[Resuming connection 3 to r3 ...]

R3#telnet 202J.1.2

Trying 202.1.1.2...Open

User access Verilcation

Password: (键入 cisco )

R2exit

[Connection to 202.1.1.2 closed by foreign host]

R3#

Term_Server2

[Resuming connection 2 to r2 ... ]

R2#telnet 200J.1.5

Trymg;200.1.1.5...Open