实验8-3 网络地址转换之动态内部源地址转换NAT

曾巧文 发布于:2011-12-21 13:43 分类:计算机网络 标签: NAT

1.实验背景

    对于一些公司,他们可能会一次申请很多个公网IP来为公司各个部门提供上网服务,我们假设某公司申请了100个公网IP,所属网段为50.1.1.150.1.1.100;合法的公网IP地址不够每人分配一个,但该公司一般情况下有1/2的人员在外跑业务或做技术支持,在公司的员工也不会一直需要提供网络服务,据此,我们可以通过分时复用多个内部全局IP地址转换技术来解决该公司的需要。

2.实验环境

14-5 动态内部源地址转换实验配置

【实验设备】 R2624路由器(2)

3.实验步骤

1) R1的配置:

Red-Giant#conf t
Red-Giant(config)#host R1
R1(config)#int f1
R1(config-if)#ip add 192.1.1.1 255.255.255.0        // 接口f1的IP
R1(config-if)#ip nat outside                    // 指定f1为NAT外部转换接口
R1(config-if)#no shut
R1(config-if)#int f0
R1(config-if)#ip add 192.168.1.1 255.255.255.0      //接口f0的IP
R1(config-if)#ip nat inside                     // 指定f1为NAT内部转换接口
R1(config-if)#exit
R1(config)#ip nat pool 100-nat  50.1.1.2  50.1.1.100  netmask 255.255.255.0
//定义用于动态分配的全球地址的地址池,名为100-nat。
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255  
//定义一个标准访问控制列表,IP是可以被转换的内部源地址。
R1(config)#ip nat inside source list 1 pool 100-nat overload    
//把访问控制列表和地址池建立动态地址复用,注意overload
R1(config)#ip route 0.0.0.0 0.0.0.0 192.1.1.2      //到R2的默认路由
R1(config)#^Z                  //退出
2) R2的配置:
R2(config)#int f1
R2(config-if)#ip add 192.1.1.2 255.255.255.0
R2(config-if)#no shut
R2(config)#int f0
R2(config-if)#ip add 192.1.2.1 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#ip route 50.1.1.0 255.255.255.0 192.1.1.1   //到50.1.1.0的静态路由

实验结果验证

NAT路由器通过映射端口号保持不同的会话连接,在PC1ping 192..1.1.2PC3(192.1.2.2),用show ip nat translation来显示NAPT转换记录,也可用show ip nat translation verbose来显示更详细的NAPT转换记录信息。

R1#show ip nat translation
Pro Inside global      Inside local       Outside local      Outside global
icmp 50.1.1.10:512     192.168.1.2:512    192.1.2.1:512      192.1.2.1:512
icmp 50.1.1.10:512     192.168.1.2:512    192.1.1.2:512      192.1.1.2:512
R1#show ip nat translation verbose
Pro Inside global      Inside local       Outside local      Outside global
icmp 50.1.1.10:512     192.168.1.2:512    192.1.2.1:512      192.1.2.1:512
    create 00:00:45, use 00:00:42, left 00:00:17, flags:
extended
icmp 50.1.1.10:512     192.168.1.2:512    192.1.1.2:512      192.1.1.2:512
    create 00:00:31, use 00:00:28, left 00:00:31, flags:
extended

ICMP的复用动态转换时限是60秒,60秒后它就关闭相应的端口。每个会话都有它自己的时限,锐捷R262X系列的缺省情况如下:

dns-timeout        定义DNS转换记录的超时时间,缺省60秒
finrst-timeout       定义TCP 连接FIN以及RESET后转换记录的超时时间,缺省60秒
icmp-timeout         定义ICMP转换记录的超时时间,缺省60秒
tcp-timeout           定义TCP连接转换记录的超时时间,缺省600秒
Timeout             定义简单动态NAT转换超时时间,缺省600秒
udp-timeout          定义UDP连接转换记录的超时时间,缺省300秒

PC1pingtelnet(登录不了,自动回到dos窗口)ftpftp后,退出ftp程序,键入bye192..1.1.2。你的动作要快,因为你只有60秒的时限。初始化这三个会话后,用show ip nat translation查看,结果与下面的相似,也可用show ip nat translation verbose查看更详细的会话。

R1#show ip nat translation

Pro Inside global      Inside local       Outside local      Outside global

icmp 50.1.1.10:512     192.168.1.2:512    192.1.1.2:512      192.1.1.2:512

tcp 50.1.1.10:1073     192.168.1.2:1073   192.1.1.2:23       192.1.1.2:23

tcp 50.1.1.10:1073     192.168.1.2:1073   192.1.1.2:23       192.1.1.2:23

尽管路由器中有六个IP地址,但它连续选择50.1.1.10作为内部地址的转换地址。因为它会对第一个地址连续复用,直到超过它的最大限制后,才启用第二个IP地址,依次复用下去。

为观察实际的转换过程,可用debug ip nat调试。用PC1 ping PC3

R1#debug ip nat
NAT events debugging is on
R1#
IPNAT: entry expiring 50.1.1.10 (192.168.1.2) icmp 512 (512)
R1#un all
All possible debugging has been turned off

但在锐捷的路由器上我们只得到一条转换超时的信息。没有地址转换记录,我们用Sniffer抓了包,给大家看下地址的转换情况,

PC1

PC3

4.问题与提示

1) 不要把insideoutside应用的接口弄错

2) 如果有条件,尽量不要用outside接口的全局地址作为内部全局地址,该接口地址的所有者是互联网服务提供商(ISP)。当线路变更时地址就会改变,就学要更改DNS记录了,如果是直接通过IP提供服务,那就更麻烦,而线路的变更是常有的,另外,路由器的outside接口有可能不是可用的地址,而是私有地址等。

4 小结与思考

本实验室要求掌握现在使用最多的NAPT技术的技术原理和配置方法。同学们可以捕获数据包来分析数据的传输过程,加深对NAPT技术的认识。

思考:使用NAT技术之后,屏蔽了外网对内网的访问,这时如果外网想访问内容的主机,应该怎么做到,查阅相关资料,解决该问题。

版权所有:《曾巧文博客-关注互联网IT技术,记录生活点滴》 => 《实验8-3 网络地址转换之动态内部源地址转换NAT
本文地址://qiaowen.net/post-1129.html
除非注明,文章均为 《曾巧文博客-关注互联网IT技术,记录生活点滴》 原创,欢迎转载!转载请注明本文地址,谢谢。

有 4638 人浏览,获得评论 0 条

发表评论:

Powered by emlog 粤ICP备12040901号

>>本作品采用-知识共享署名-非商业-禁止演绎-协议-进行许可 |站点地图 | | | | 开放分类目录 |