網(wǎng)絡(luò)地址轉(zhuǎn)換NAT-動(dòng)態(tài)NAT的使用范圍和配置

?

什么是動(dòng)態(tài)NAT？

????? 使用公有地址池，并以先到先得的原則分配這些地址。當(dāng)具有私有 IP 地址的主機(jī)請(qǐng)求訪(fǎng)問(wèn) Internet 時(shí)，動(dòng)態(tài) NAT 從地址池中選擇一個(gè)未被其它主機(jī)占用的 IP 地址一對(duì)一的轉(zhuǎn)化。當(dāng)數(shù)據(jù)會(huì)話(huà)結(jié)束后，路由器會(huì)釋放掉公有IP地址回到地址池，以提供其他內(nèi)部私有IP地址的轉(zhuǎn)換。當(dāng)同一時(shí)刻地址池中地址被NAT轉(zhuǎn)換完畢，則其他私有地址不能夠被NAT轉(zhuǎn)換。

使用范圍：

一般是我們公司內(nèi)網(wǎng)中有設(shè)備需要去訪(fǎng)問(wèn)我們公網(wǎng)，我們就必須要做一個(gè)NAT地址轉(zhuǎn)換，把我們私網(wǎng)的IP地址轉(zhuǎn)換成我們公網(wǎng)的IP地址，這時(shí)，就需要使用動(dòng)態(tài)NAT了，使用地址池中的公網(wǎng)地址進(jìn)行IP地址轉(zhuǎn)換，去訪(fǎng)問(wèn)我們的公網(wǎng)，下文是一個(gè)例子。

?

?

（描述實(shí)驗(yàn)的要求）

1.?????? 使用網(wǎng)絡(luò)拓?fù)鋱D給的地址網(wǎng)段配置各路由器PC機(jī)的IP地址和接口地址

2.?????? 使用ospf路由協(xié)議使得全網(wǎng)互通（除公網(wǎng)ISP）

3.?????? 使用PAT端口復(fù)用使得內(nèi)網(wǎng)可以同時(shí)訪(fǎng)問(wèn)公網(wǎng)服務(wù)器

拓?fù)洌?/p>

?

分析難點(diǎn)以及完成的思路

優(yōu)先配置各PC機(jī)和路由器的地址，其次在路由器配置路由協(xié)議使得內(nèi)網(wǎng)全網(wǎng)互通，最后在邊界路由器做動(dòng)態(tài)NAT，并且在邊界路由器配置默認(rèn)路由并下發(fā)給內(nèi)網(wǎng)各路由器，全部指向邊界路由器，注意動(dòng)態(tài)NAT和PAT端口復(fù)用的區(qū)別，端口復(fù)用配置命令的關(guān)鍵詞overload，還有進(jìn)出口的選擇，我們做動(dòng)態(tài)NAT不需要加overload。

?

配置命令

1.?????? 配置ISP、PC機(jī)和路由器的IP地址接口地址和網(wǎng)關(guān)地址。

2.?????? 如果使用路由器代替PC或者server，需要加上“no ip routing”在全局配置模式下。

PC1：

PC1(config)#no ip routing

PC1(config-if)#interface Ethernet0/0

PC1(config-if)#ip address 192.168.1.1 255.255.255.0

?

PC1(config)#ip default-gateway 192.168.1.254

?

PC2：

PC2(config)#no ip routing

PC2(config-if)#interface Ethernet0/0

PC2(config-if)#ip address 192.168.1.2 255.255.255.0

?

PC2(config)#ip default-gateway 192.168.1.254

?

PC3：

PC3(config)#no ip routing

PC3(config-if)#interface Ethernet0/0

PC3(config-if)#ip address 192.168.3.1 255.255.255.0

?

PC3(config)#ip default-gateway 192.168.3.254

?

Sever：

server(config)#no ip routing

server(config-if)#interface Ethernet0/0

server(config-if)#ip address 192.168.2.1 255.255.255.0

?

server(config)#ip default-gateway 192.168.2.254

?

ISP：

ISP(config)#interface Serial2/0

ISP(config-if)#ip address 200.1.1.100 255.255.255.0

?

R1：（配置接口IP地址，使用OSPF路由協(xié)議，通告直連網(wǎng)段）

R1(config-if)#interface Ethernet0/0

R1(config-if)#ip address 192.168.1.254 255.255.255.0

?

R1(config-if)#interface Ethernet0/1

R1(config-if)#ip address 10.1.1.1 255.255.255.0

?

R1(config)#router ospf 1

R1(config-router)#router-id 1.1.1.1

R1(config-router)#network 10.1.1.0 0.0.0.255 area 0

R1(config-router)#network 192.168.1.0 0.0.0.255 area 0

?

R2：（配置接口IP地址，使用OSPF路由協(xié)議，通告直連網(wǎng)段）

R2(config-if)#interface Ethernet0/1

R2(config-if)#ip address 192.168.2.254 255.255.255.0

?

R2(config-if)#interface Ethernet0/0

R2(config-if)#ip address 10.1.1.2 255.255.255.0

?

R2(config-if)#interface Ethernet0/2

R2(config-if)#ip address 10.1.2.1 255.255.255.0

?

R2(config)#router ospf 1

R2(config-router)#router-id 2.2.2.2

R2(config-router)#network 10.1.1.0 0.0.0.255 area 0

R2(config-router)#network 10.1.2.0 0.0.0.255 area 0

R2(config-router)#network 192.168.2.0 0.0.0.255 area 0

?

R3：（配置接口IP地址，使用OSPF路由協(xié)議，通告直連網(wǎng)段）

R3(config-if)#interface Ethernet0/1

R3(config-if)#ip address 192.168.3.254 255.255.255.0

?

R3(config-if)#interface Ethernet0/0

R3(config-if)#ip address 10.1.3.1 255.255.255.0

?

R3(config)#router ospf 1

R3(config-router)#router-id 3.3.3.3

R3(config-router)#network 10.1.3.0 0.0.0.255 area 0

R3(config-router)#network 192.168.3.0 0.0.0.255 area 0

?

R4：（配置接口IP地址，使用OSPF路由協(xié)議，通告直連網(wǎng)段）

R4(config-if)#interface Ethernet0/0

R4(config-if)#ip address 10.1.2.2 255.255.255.0

?

R4(config-if)#interface Ethernet0/1

R4(config-if)#ip address 10.1.3.2 255.255.255.0

?

R4(config-if)#interface Serial2/0

R4(config-if)#ip address 200.1.1.2 255.255.255.0

?

R4(config)#router ospf 1

R4(config-router)#router-id 4.4.4.4

R4(config-router)#network 10.1.2.0 0.0.0.255 area 0

R4(config-router)#network 10.1.3.0 0.0.0.255 area 0

R4(config-router)#default-information originate ----------公網(wǎng)IP地址無(wú)法在內(nèi)網(wǎng)中出現(xiàn)，故下發(fā)一條默認(rèn)路由，為內(nèi)網(wǎng)設(shè)

備提供到達(dá)公網(wǎng)IP地址的路徑

?

3.?????? 使用拓?fù)浣o的唯一地址在邊界路由器（R4）配置動(dòng)態(tài)NAT，劃出一段地址池，根據(jù)拓?fù)渲薪o出的信息是從200.1.1.1到200.1.1.100是可以使用的地址，作為我們的地址池進(jìn)行綁定，并給出可以上網(wǎng)的網(wǎng)段信息，可以使用訪(fǎng)問(wèn)控制列表進(jìn)行過(guò)濾。

R4(config)#ip nat pool zsl 200.1.1.10 200.1.1.12 netmask 255.255.255.0

R4(config)#ip nat inside source list 1 pool zsl

R4(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.100

R4(config)#access-list 1 permit 192.168.0.0 0.0.255.255

我們?cè)诘刂烦刂羞x取了三個(gè)有效地址，但我們內(nèi)網(wǎng)中有四臺(tái)設(shè)備需要上網(wǎng)，這時(shí)我們可以看一下動(dòng)態(tài)NAT的缺點(diǎn)，采取先到先得的方式進(jìn)行地址分配，所以我們這個(gè)實(shí)驗(yàn)可以看到至少有一臺(tái)設(shè)備是無(wú)法ping通的。如果需要ping通，那么必須要等待有一臺(tái)設(shè)備將他的公網(wǎng)地址釋放，才可以讓另一臺(tái)設(shè)備使用，所以動(dòng)態(tài)NAT是非常浪費(fèi)我們公網(wǎng)地址的，接下來(lái)我們來(lái)測(cè)試一下這個(gè)實(shí)驗(yàn)。

?

PC1#ping 200.1.1.100

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.1.1.100, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 4/210/1016 ms

?

PC2#ping 200.1.1.100

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.1.1.100, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 10/211/1016 ms

?

Server#ping 200.1.1.100

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.1.1.100, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 9/210/1014 ms

?

?

?

?

PC3#ping 200.1.1.100

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.1.1.100, timeout is 2 seconds:

UUUUU

Success rate is 0 percent (0/5)

?

總結(jié)：

1）不要把inside和outside應(yīng)用的接口弄錯(cuò)。

2）動(dòng)態(tài)NAT映射表?xiàng)l目存在一定生存時(shí)間，時(shí)間超過(guò)時(shí)轉(zhuǎn)換條目將會(huì)被自動(dòng)刪除。一對(duì)一的動(dòng)態(tài)NAT超時(shí)時(shí)間為10分鐘（600秒）；只有等待將使用后的地址釋放之后，才可以給別的設(shè)備進(jìn)行使用，這是動(dòng)態(tài)NAT的一個(gè)機(jī)制。

?