??斗地主捕鱼电竞提现秒到 广告位招租 - 15元/月全站展示
??支付宝搜索579087183领大额红包 ??伍彩集团官网直营彩票
??好待遇→招代理 ??伍彩集团官网直营彩票
??络茄网 广告位招租 - 15元/月全站展示
菜鸟学习CCNA-NAT

转载   2011-07-28   浏览量:466


 

NAT 技术使得一个私有网络可以通过Internet 注册IP 连接到外部世界,位于Inside 网络和Outside 网络中的NAT 路由器在发送数据包之前,负责把内部IP 地址翻译成外部合法IP 地址。NAT 将每个局域网节点的IP 地址转换成一个合法IP 地址,反之亦然。它也可以应用到防火墙技术里,把个别IP 地址隐藏起来不被外界发现,对内部网络设备起到?;さ淖饔?,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet 地址和私有IP 地址的使用。

                               静态NAT

静态NAT 中,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail 服务器或FTP 服务器等可以为外部用户提供的服务,这些服务器的IP 地址必须采用静态地址转换,以便外部用户可以使用这些服务。

实验网络拓扑图:

                     

 

Router>

Router>enable

Router#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R1

R1(config)#int f0/1

R1(config-if)#ip address 192.168.1.1 255.255.255.0

R1(config-if)#no shut

R1(config-if)#int s0/0/0

R1(config-if)#ip address 202.96.1.1 255.255.255.0

R1(config-if)#clock rate 128000

R1(config-if)#no shut

R1(config-if)#exit

R1(config)#route rip

R1(config-router)#version 2

R1(config-router)#no auto-summary

R1(config-router)#network 202.96.1.0

R1(config-router)#exit

R1(config)#ip nat inside source static 192.168.1.3 202.96.1.3

//将内部网络地址192.168.1.3转换为合法IP地址202.96

R1(config)#ip nat inside source static 192.168.1.4 202.96.1.4

R1(config)#int f0/1

R1(config-if)#ip nat inside

R1(config-if)#int s0/0/0

R1(config-if)#ip nat outside

Router>enable

Router#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R2

R2(config)#int s0/0/0

R2(config-if)#ip address 202.96.1.2 255.255.255.0

R2(config-if)#clock rate 128000

R2(config-if)#no shut

R2(config)#int loopback 0

R2(config-if)#ip address 2.2.2.2 255.255.255.0

R1(config-if)#exit

R1(config)#route rip

R1(config-router)#version 2

R1(config-router)#no auto-summary

R1(config-router)#network 202.96.1.0

在PC1上使用PING 命令PING 2.2.2.2

R1#debug ip nat //查看NAT转换过程

R1#

NAT: s=192.168.1.4->202.96.1.4, d=2.2.2.2 [26]

NAT*: s=2.2.2.2, d=202.96.1.4->192.168.1.4 [44]

NAT: s=192.168.1.4->202.96.1.4, d=2.2.2.2 [27]

NAT*: s=2.2.2.2, d=202.96.1.4->192.168.1.4 [45]

R1#show ip nat translations //查看静态转换表

Pro Inside global Inside local Outside local Outside global

--- 202.96.1.3 192.168.1.3 --- ---

--- 202.96.1.4 192.168.1.4 --- ---

                      动态NAT

   动态NAT 首先要定义合法地址池,然后采用动态分配的方法映射到内部网络。动态NAT是动态一对一的映射。

R1>

R1>enable

R1#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#no ip nat

R1(config)#no ip nat inside source static 192.168.1.3 202.96.1.3 //删除静态nat

ipnat_remove_static_cfg: id 3, flag A

R1(config)#no ip nat inside source static 192.168.1.4 202.96.1.4

ipnat_remove_static_cfg: id 4, flag A

R1(config)#

R1(config)#ip nat pool nat 202.96.1.3 202.96.1.100 netmask 255.255.255.0 //配置动态NAT;指明地址缓冲池的名称为nat,IP地址范围为202.96.1.3~202.96.1.100,子网掩码为255.255.255.0。需要注意 的是,即使掩码为255.255.255.0,也会由起始IP地址和终 止IP地址对IP地址池进行限制。

或ip nat pool nat 202.96.1.3 202.96.1.100 prefix-length 24//改的是子网掩码的位数

R1(config)#ip nat inside source list 1 pool nat

//将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换

ipnat_add_dynamic_cfg: id 1, flag 5, range 0

id 1, flags 0, domain 0, lookup 0, aclnum 1 ,

aclname 1 , mapname idb 0

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255

//允许访问Internet的网段为192.168.1.0~192.168.1.255,反掩码为0.0.0.255。需要

注意的是,在这里采用的是反掩码,而非子网掩码。

R1(config)#interface f0/1

R1(config-if)#ip nat inside

R1(config-if)#int s0/0/0

R1(config-if)#ip nat outside

R1#debug IP NAT

IP NAT debugging is on

R1#

NAT: s=192.168.1.3->202.96.1.3, d=2.2.2.2 [13]

NAT*: s=2.2.2.2, d=202.96.1.3->192.168.1.3 [320]

NAT: s=192.168.1.3->202.96.1.3, d=2.2.2.2 [14]

NAT*: s=2.2.2.2, d=202.96.1.3->192.168.1.3 [321]

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

icmp 202.96.1.3:13 192.168.1.3:13 2.2.2.2:13 2.2.2.2:13

icmp 202.96.1.3:14 192.168.1.3:14 2.2.2.2:14 2.2.2.2:14

icmp 202.96.1.3:15 192.168.1.3:15 2.2.2.2:15 2.2.2.2:15

icmp 202.96.1.3:16 192.168.1.3:16 2.2.2.2:16 2.2.2.2:16

                           Port端口多路复用

    PAT 则是把内部地址映射到外部网络的IP 地址的不同端口上,从而可以实现多对一的映射。PAT 对于节省IP 地址是最为有效的。

R1(config)#int f0/1

R1(config-if)#ip nat inside

R1(config-if)#int s0/0/0

R1(config-if)#ip nat outside

R1(config-if)#exit

R1(config)#ip nat pool natport 202.96.1.3 202.96.1.100 netmask 255.255.255.0

//指明地址缓冲池的名称为natport,IP地址范围为202.96.1.3—202.96.1.100 子网掩码为255.255.255.0

R1(config)#ip nat inside source list 1 pool natport overload

//以端口复用方式,将访问列表1中的私有IP地址转换为natport IP地址池中定义的合法IP地址。overload是复用动态地址转换的关键词

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255

R1(config)#end

R1#debug ip nat

IP NAT debugging is on

R1#

NAT: s=192.168.1.3->202.96.1.3, d=2.2.2.2 [9]

NAT*: s=2.2.2.2, d=202.96.1.3->192.168.1.3 [36]

NAT: s=192.168.1.3->202.96.1.3, d=2.2.2.2 [10]

NAT*: s=2.2.2.2, d=202.96.1.3->192.168.1.3 [37]

动态NAT 的过期时间是86400 秒,PAT 的过期时间是60 秒,通过命令“show ip nat

translations verbose”可以查看。也可以通过下面的命令来修改超时时间:

R1(config)#ip nat translation timeout timeout //此模拟器无法修改

参数timeout 的范围是0-2147483。

如果主机的数量不是很多, 可以直接使用outside 接口地址配置PAT,不必定义地址池,

命令如下:

R1(config)#ip nat inside source list 1 interface s0/0/0 overload

本文出自 “让梦飞翔” 博客

转载自:https://www.2cto.com/px/201107/98038.html

招聘 不方便扫码就复制添加关注:程序员招聘谷,微信号:jobs1024


上一篇:
没有了

CCIE学习笔记-portfast和Bpdu Guard、Bpdu Filter、Root Guard
PortFast加快终端主机连接入stp网络的收敛.只适用于,在交换机与主机(电脑)相连的端口,不应该在交换机与交换机,路由器,hub互连的网络设备的端口使用.把一个port设置了portfast,就是让那个port不再使用STP的算...
我的CCIE之路:是她让我成就CCIE?
编者按:CCIE是一条比较困难的路,Devil走了过来。在困惑期,“她”为Devil指为了CCIE的方向,备战CCIE困难期,她支持着Devil.真可谓,谈CCIE之路而情多彩。(这是Devil的博文,为保持本色,故只加了标题而未
网络工程师:到底该不该冲刺CCIE?
一直都有人很仿徨地这么问我。之所以说他彷徨,一是因为CCIE考试费用不菲,10375元人民币考一次(还不计算2000多元的笔试费用以及前期培训费用),而且中国大陆的CCIE考场只有北京和香港两地,如果你不住在当
网工的忠告 考过CCIE意味着什么?
CCIE一年后的感悟(NO.175xx)本文旨在总结一年来的CCIE感受,也为那些还未参加工作的无工作经验的CCIE们做个参考。2003年开始上了大学,学了计算机网络专业,必修思科网院的CCNA课程
是你证明CCIE,还是CCIE证明你?
  本文可能语言过激,而且含沙射影,但请勿对号入座?! ∥蘅煞袢?,2003年到至今,Cisco的CCIE证书有量产的倾向,这种情况得益于中国人民开始热衷网络技术以及各种国内培训班的“雨后春笋”般的诞生。笔者
想冲刺CCIE吗?五步助你成为网络专家
参加认证考试是相当多的人寻求职业发展的必经之路。但市场上的证书多如牛毛,你该参加哪一个?本文作者根据自己的认识和体会,为有志于在网络管理与设计方面发展的人做了一个认证道路五步规划,对各位颇有借
准备CCIE考试用的一些学习笔记
Rip技术概览    Rip工作在UDP的端口520上-也就是说,所有的RIP数据包的源端口和目的端口都是520?!   ?初始化——w.net130.com/CMS/Pub/network/network_protocal/04937.htm
CCIE之路——路由过滤命令详解
 ?。ㄒ唬㏑outeMaps  特性:  RouteMaps类似于accesslists,不同之处在于RouteMaps可以改变Packets/Routes的部分属性?! ∮猛荆骸 outeMaps主要用于Redistribution和PolicyRouting及
CCIE试验备考之冗余备份(HSRP
  HRRP热备份路由协议  多台路由器组成一个“热备份组”,用来模拟为一个虚拟的路由器(拥有虚拟的IP地址和虚拟的MAC地址),在一个备份组中,只有一台路由器作为活动路由器发送数据包,只有当活动路由
安全CCIE考试,常用端口一览
  考试的时候经常需要穿越PIX,那么必须作影射,多数要涉及到端口,说说安全常用的FTP-dataTCP20FTPTCP21SSH