本节讲述动态内部源地址转换的配置,同时查看和测试NAT相关信息和操作。
1.实验目的
通过本实验,读者可以把握以下技能:
●配置动态内部源地址转换NAT;
●查看NAT相关信息;
●监测ip地址的转换;
●测试动态内部源地址转换的连通性。
2.设备需求
本实验所需设备与本章实验1相同,参见实验1设备需求部分。
3.拓扑结构及配置说明
本实验的拓扑结构如图12-2示。
路由器的角色安排如下:
●R1路由器负责内。外网的连接及NAT转换;
●R2路由器作为外网节点,并模拟多个外网主机;
●R3路由器模拟内网上的多台主机。
预备实验时,用DCE和DTE电缆把R1和R2路由器连接起来;使用交叉双绞线把R2和R3路由器连接起来。
各路由器使用的接口及其IP地址如图12-2中的标注。
本实验的环境实际上是局域网通过专线(DDN)接入Internet的网络拓扑。当机构用户申请通过专线接入Internet时,ISP通常会分配给用户一个可用IP地址不多的网段供内网主机分配,如图12-2中的200.1.1.0/29(即200.1.1.0255.255.255.248)网段,它有图中标注的6个可用IP地址。
本实验演示的是把内网地址和给出网段上的地址之间进行动态地址转换,实现内网对外的访问。这是在上述拓扑环境下接入Internet时NAT配置方式中的一种,即动态内部源地址转换。
4.实验配置及监测结果
下面在第1部分中首先进行动态NAT的配置,在第2部分对配置结果进行查看和监测。
第1部分:配置动态内部源地址转换
对各路由器的配置见配置清单12-2。
配置清单12-2配置动态内部源地址转换
第1段:路由器R1的配置
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service passWord-encryption
!
hostname R1
!
ip subnet-zero
!
interface Ethemet0
ip address 10.1.1.10 255.255.255.0
ip nat inside
!
interface Serial0
ip address 198.1.1.1255.255.255.252
ip nat outside
!
ip nat pool lab2 200.1.1.1 200.1.1.6 netmask 255.255.255.248
ip nat inside source list 1 pool lab2
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
ip http server
!
access-list 1 permit 10.1.1.0 0.0.0.255
!
line con 0
line aux 0
line vty 0 4
login
!
end
第2段:路由器R2的配置
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R2
!
ip subnet-zero
no ip finger
!
interface Loopback0
ip address 202.1.1.2 255.255.255.0 secondary
ip address 202.1.1.3 255.255.255.0 secondary
ip address 202.1.1.4 255.255.255.0 secondary
ip address 202.1.1.1255.255.255.0
!
interface Serial0
ip address 198.1.1.2 255.255.255.252
clockrate 64000
!
ip classless
ip route 200.1.1.0 255.255.255.248 Serial0
ip http server
!
line con 0
line aux 0
line vty 0 4
password cisco
login
!
end
第3段:路由器R3的配置
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R3
!
no logging console
!
ip subnet-zero
no ip routing
!
interface Ethemet0
ip address 10.1.1.2 255.255.255.0 secondary
ip address 10.1.1.3 255.255.255.0 secondary
ip address 10.1.1.4 255.255.255.0 secondary
ip address 10.1.1.5 255.255.255.0 secondary
ip address 10.1.1.6 255.255.255.0 secondary
ip address 10.1.1.7 255.255.255.0 secondary
ip address 10.1.1.1255.255.255.0
no ip route-cache
no ip mroute-cache
!
ip default-gateway 10.1.1.10
ip classless
ip http server
!
line con 0
transport input none
line aux 0
line vty 0 4
password cisco
login
!
end
(1)首先配置的是连接内网与外网并启用NAT的路由器R1
(2)把R1路由器S0接口设置成NAT外部接口;把E0设置成NAT内部接口。
(3)ip nat pool语句定义了一个名为lab2的NAT地址池,地址池中有6个地址,其开始地址是200.1.1.1,结束地址是200.1.1.6"子网掩码是255.255.255.248,即29位子网掩码。
可以看到,在R1上并没有任何一个接口的地址属于NAT地址池,NAT地址池可以独立于接口存在。
(4)配置语句ip nat inside source list 1 pool lab2指定了动态地址转换,由访问列表1所定义的地址范围内的内网TP地址将被进行地址转换,转换后的地址是名为lab2的NAT地址池中的IP地址,方式为动态转换。
(5)访问列表1定义的地址范围是10.1.1.0/24的网段,即内网网段。
(6)在第2段对R2的设置中,除通常的接口地址和静态路由设置外,有两处是为本实验而加入的。
在回送接口上配置了4个IP地址,用于模拟多个外网主机;
为测试连通性,配置了VTY口令。
以上两个配置都不是必须的,而是为了监测上的方便。
(7)第3段是对R3的配置,R3用来模拟内网上多个主机。
在R3上关闭了IP路由功能,同时设置缺省网关为10.1.1.10。
在E0接口上配置了7个同一网段的IP地址;同时也配置了VTY口令。
第2部分:查看和监测动态内部源地址转换
以下,通过类似实验1的命令查看和监测动态NAT的转换过程和进行连通性测试。
监测清单12-2记录了相关命令的使用及相应结果。
监测清单12-2查看和监测动态内部源地址转换
第1段:监测和查看NAT操作
R1#debug ip nat
IP NAT debugging is on
R1#
Term_Server3
[Resuming connection 1 to r3 ...]
R3#ping
PRotocol [ip]:
Target IP address: 202.1.1.1
Repeat count [5]:
Datagram size[100]:
Timeout in seconds[2]:
Extened commands[n]:y
Source address or interface:10.1.1.1
Type of service[0]:
Set DF bit in IP header?[no]:
Validate reply data?[no]:
Data pattern[0xABCD]:
Loose,Strict,Record,Timestamp,Verbose[none]:
Sweep range of sizes[n]:
Type escape sequence to abort.
Sending ,100-byte ICMP Echos to 202.1.1.1,timeout is 2 seconds:
!!!!!
SUCcess rate is 80 percent(4/5),round-trip min/avg/max=32/33/36 ms
(重复上述指令,分别以源地址10.1.1.2、10.1.1.3、10.1.1.4、10.1.1.5和10.1.1.6对202.1.1.1-202.1.1.4进行ping测试。结果均为成功。测试记录此处从略。)
R3#ping
Protocol[ip]:
Target IP address:202.1.1.4
Repeat count[5]:
Datagram size[100]:
Timeout in seconds[2]:
Extended commands[n]:y
Source address or interface:10.1.1.7
Type of serivce[0]:
Set DF bit in IP header?[no]:
Validate reply data?[no]:
Data pattern[0xABCD]:
Loose,Strict,Record,Timestamp,Verbose[none]:
Sweep range of sizes[n]:
Type escape sequence to abort.
Sending 5,100-byte ICMP Echos to 202.1.1.4,timeout is 2 seconds:
.U.U.
Success rate is 0 percent(0/5)
R3#
Term_Server1
[Resuming connection 1 to r1...]
R1#sh logging
Syslog logging: enabled (0 messages dropped, 0 flushes, 0 overruns)
Console log
