收藏
下载资源 加入VIP免费专享

实验四路由器nat实验.docx

上传人:小飞机 文档编号:5175298 上传时间:2023-06-11 格式:DOCX 页数:11 大小:422.31KB
返回 下载 相关 举报
实验四路由器nat实验.docx_第1页
第1页 / 共11页
实验四路由器nat实验.docx_第2页
第2页 / 共11页
实验四路由器nat实验.docx_第3页
第3页 / 共11页
实验四路由器nat实验.docx_第4页
第4页 / 共11页
实验四路由器nat实验.docx_第5页
第5页 / 共11页
亲,该文档总共11页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《实验四路由器nat实验.docx》由会员分享,可在线阅读,更多相关《实验四路由器nat实验.docx(11页珍藏版)》请在三一办公上搜索。

1、实验四、路由器NAT实验一、实验目的:1、进一步了解网络地址划分,知道私有地址范围。2、熟悉掌握路由器网络地址转换的设置。3、进一步学习路由器操作,掌握路由器基本应用。二、实验内容:1、了解、认识网络地址转换(NAT)和代理。2、学习使用路由器设置代理服务器。三、实验工具和设备:华为路由器1台配置口(Console)电缆1根集线器(HUB)1台计算机(CPU为586,已配置网卡)若干交叉电缆1根直通电缆若干四、实验原理:1、NAT技术简介NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”, 它是一个 I ETF(Internet Engine

2、ering Task Force, InternetX 程任务组)标准,允许一 个整体机构以一个公用IP (Internet Protocol)地址出现在Internet上。顾名思义, 它是一种把内部私有网络地址(小地址)翻译成合法网络小地址的技术。 NAT技术产生的背景随着【nternet的发展和网络应用的增多,IPv4地址枯竭已成为制约网络发 展的瓶颈。尽WIPv6可以从根本上解决I Pv4地址空间不足问题,但目前众多 网络设备和网络应用大多是基于IPv4的,因此在IPv6广泛应用之前,一些过 渡技术(如CIDR、私网地址等)的使用是解决这个问题最主要的技术手段。其中,使用私网地址之所以能

3、够节省IPv4地址,主要是利用了这样一个 事实:一个局域网中在一定时间内只有很少的主机需访问外部网络,而80% 左右的流量只局限于局域网内部。由于局域网内部的互访可通过私网地址实 现,且私网地址在不同局域网内可被重复利用,因此私网地址的使用有效缓 解了【Pv4地址不足的问题。当局域网内的主机要访问外部网络时,只需通过 NAT技术将其私网地址转换为公网地址即可,这样既可保证网络互通,又节 省了公网地址。IANA保留以下三个网段中的地址作为私网地址:10.0.0.0 10.255.255.255172.16.0.0 172.31.255.255192.168.0.0192.168.255.255使

4、用私网地址的主机不能直接访问Internet,而在Internet上也不能直接 访问使用私网地址的主机。 实现NAT功能的设备NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT 设备中。另外资金有限的小型企业来说,现在通过软件也可以实现这一功能。 Windows 98 SE、Windows 2000 都包含了这一功能。 NAT技术的优点作为一种过渡方案,NAT通过地址重用的方法来满足地址的需要,可 以在一定程度上缓解IP地址空间枯竭的压力。它具备以下优点:对于内部通讯可以利用私网地址,如果需要与外部通讯或访问外部资源, 则可通过将私网地址转换成公网地址来实现。通过公网地址与端

5、口的结合,可使多个私网用户共用一个公网地址。通过静态映射,不同的内部服务器可以映射到同一个公网地址。外部用 户可通过公网地址和端口访问不同的内部服务器,同时还隐藏了内部服 务器的真实小地址,从而防止外部对内部服务器乃至内部网络的攻击行 为。方便网络管理,如通过改变映射表就可实现私网服务器的迁移,内部网 络的改变也很容易。2、NAT技术实现方式NAT有三种类型:静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络 地址端口转换NAPT(Port-Level NAT)。 静态NA/属于永久的一对一的地址转换,在这种方式下只转换地址, 而对TCP/UDP协议的端口号不处理

6、,一个公网IP地址不能同时被多个用 户使用。 动态地址NATR是转换IP地址,它为每一个内部的地址分配一个临时的外部小地址。当远程用户联接上之后,动态地址NAT就会分配给他一 个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用或其他 用户使用。InsideOutsideNAT Table内部2顼地地1外部本地地址192.168. 1. 1218. 194. 159. 1192. 168. 1. 2218. 194. 159. 2222.198. 40. 253 I图4-1静态NAT和动态地址NAT 网络地址端口转换NAPT (Network Address Port Translat

7、ion) NAPT与动 态地址NAT不同,它将内部连接映射到外部网络中的一个单独的地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。NAPT也分为静态和动态两种情况,静态NAPT建立的是永久的一对一 “IP 地址+端口”映射关系,动态NAPT建立的是临时的一对一 “地址+端口”映射 关系。222. 198. 40. 253:801NAT Table内部本地地址外部本地地址192. 168. 1. 1:1201218. 194. 159. 1:1884192. 168. 1.2:1563218. 194. 159. 1:2031192. 168. 1. 3:121218. 194.

8、159. 1:2032图4-2网络地址端口转换NAPT4、三种NAT方式的比较静态NA/和动态地址NAT均是地址一对一关系,并未实现地址的复用, 动态地址NATW以在不同的时间共用同一 IP地址。NAPT实现7IP地址的多对一转换,即地址的复用。实际应用中,常常可以将小地址转换和端口转换结合使用。5、源地址(source)NAT、目的地址(destination)NAT源地址(source)NAT改变的是源地址(发起连接的主机地址),通常是动 态NAT,一般用于实现内网主机连接外网;华为路由器通过下面两条命令实现:(其中是允许访问外网的 内网地址列表,是转换成的外网地址列表;interface

9、参数表示外网 地址即为当前端口地址)R1(config)#Nat inside pool R1(config-if-ethernet1)#Nat inside interface目的地址(destination)NAT改变的是目的地址(要连接的主机地址),只 能使用静态NAT,主要用于将内网服务器映射到一个外网地址,使外网能通过这 个地址访问到内网服务器;或者将一个外网服务器映射到一个内网地址,使内网 能通过这个地址访问到外网服务器。华为路由器通过下面的命令实现(、为外网IP 和端口; 为内网IP和端口;protocol是使用的协议, 一般为ip):R1(config-if-ethernet1

10、)#nat server global inside 华为路由器没有明确区分i nside端口和o utside端口,在使用上面的命令时,当前端口被认定为outside。五、实验步骤:不同的NAT设备对NAT技术的支持,以及配置方法相差较大,本实验以华为 Quidway 2621路由器作为NAT设备,按照Intranet常见的需求配置NAT。图4-3某是单位网络拓扑图,单位共有3个部门:“Front”、Left”、“Right”, 均使用私有IP地址,地址范围分别是:192.168.0.1192.168.0.63 ; 192.168.0.65192.168.0.127; 192.168.0.1

11、29192.168.0.191。整个内部网 络通过边界路由器R1连接到外部网络中(内部的中间节点路由器未在图中画 出),R1连接外网的IP地址为218.194.159.254,此外,分配给单位的外网IP 地址还有 218.194.159.201 218.194.159.215 共 15 个全局 IP 地址。1、动态地址NAT+动态NAPT目的是让内部主机实现共享上网,需要配置内部私有地址列表Access-list 到外部全局地址池Pool之间的映射关系。序号内部地址列表外部全局地址池1192.168.0.1 192.168.0.63218.194.159.201 218.194.159.205

12、2192.168.0.65 192.168.0.127218.194.159.206 218.194.159.2103192.168.0.129 192.168.0.191218.194.159.254192. 168. 0. 1FrontOlFront03 Front04FrontOl218. 194. 159. 253Global-Server192. 168. 0.2 192.168.0.3192. 168. 0. 66LeftOl192. 168. 0. 68192. 168. 0. 67Left02GateWay218. 194. 159. 1/24218. 194. 159. 25

13、4/24192. 168. 0. 4Right。1192.168. 0. 130192. 168. 0.131Right02LeftO3192. 168. 0. 69Left04192.168. 0. 132Right03192. 168. 0.133Right04192. 168. 0. 70SLeftO5192. 168. 0. 71Left06192.168. 0. 134Right05192. 168. 0. 135Right06192. 168. 0. 72SLeftO7192. 168. 0. 73Left07192. 168. 0.136Right07192. 168. 0.13

14、7Right08图4-3单位网络拓扑图配置访问地址列表access-list提示符命令功能R1enable进入特权模式R1#config进入全局配置模式Rl(config)#Access-list 1 deny any列表1禁止所有Rl(config)#Access-list 1 permit 192.168.0.0 0.0.0.63列表1允许192.168.0.1192.168.0.63 地址段Rl(config)#Access-list 2 deny anyAccess-list 2 permit 192.168.0.64 0.0.0.63Rl(config)#Access-list 3

15、deny anyAccess-list 3 permit 192.168.0.128 0.0.0.63(注意使用了反掩 码形式)。通过show access-list命令可以显示当前已建立的访问地址列表。配置地址池Pool提示符命令功能R1(config)#Nat pool 218.194.159.201 218.194.159.205 front配置名为 front 和 left 的 地址池R1(config)#Nat pool 218.194.159.206 218.194.159.210 left 配置访问列表access-list与地址池Pool之间的映射关系需要在端口配置模式下进行(

16、路由器连接内网端口为ethernet0,外网端口为 ethernetl)命令功能interface ethernet1进入ethernet1端口配置模式Nat inside 1 pool front建立地址列表1与地址池front的映射Nat inside 2 pool left建立地址列表2与地址池left的映射Nat inside 3 interface建立地址列表3与当前端口地址(即 218.194.159.254)的映射通过show nat命令可以显示当前的NAT配置信息。R2(config)#show natNat Fool Information:left : from 218.1

17、94.159.201 to 218.194.159.205front : from 218.194.159.206 to 218.194.159.210Server in Private network Information:Not config any server of private networkNat Access table Information:Ethernetl: ccess-list( 1)Nat Fool(left)Ethernetl: Access-list( 3)InterfaceEthernetl: ccess-list( 2)Nat Fool (front)Na

18、t timeout value Information:tcptimeout value is 240 (secondsudptimeout value is40 (seconds)icmptimeout value is20 (seconds) 测试内网主机访问外网服务器(http:/218.194.159.253)的情况在浏览器中打开外网WEB服务器(http:/218.194.159.253),记录页面 显示的IP地址和端口号。在(CMD)命令窗口输入命令:netstat,查看本机连接外网WEB服务器的端口。说明NAT前后IP地址和端口号的转换情况。再次用浏览器访问外网WEB服务器(ht

19、tp:/218.194.159.253),看看 IP地址和端口号有何变化。2、静态NAT目的是让内网的某台服务器向外网提供服务,需要建立服务器内部地址到固 定合法地址的静态映射,地址内部网络中的每个主机都被永久映射成外部网络中 的某个合法的地址。 使用nat server配置静态NAT需要在端口配置模式下进行。并且当前端口默认为“outside”。进入E1端口,建立内网地址192.168.0.60 (主机Local-Server)到外网全 局地址218.194.159.215的永久映射。nat server global 218.194.159.215 any inside 192.168.0

20、.60 any ip通过show nat命令可以显示当前的NAT配置信息。可以看到增加了下图所 示的信息:Server in Private network Information:Interface Clobalddr ChbalPort bsideddr InsidePort Pro| Ethernetl 218.194.159.215 O(any) 192.168.1.110 O(any) 0(ip)测试从外网(主机Global-Tch)能不能直接访问私有IP地址192.168.0.60 (主机 Local-Server)o测试从外网(主机 Global-Tch)通过 218.194.1

21、59.215 ( http:/ 218.194.159.215)是否能访问到内网服务器(主机Local-Server)。 同理,如果进入内网端口 E0进行静态NAT,可以建立外网全局地址到内 网地址的永久映射。进入E0端口,建立外网地址218.194.159.253 (主机global-Server)到内 网私有地址192.168.0.253的永久映射。nat server global 192.168.0.253 any inside 218.194.159.253 any ip通过show nat命令可以显示当前的NAT配置信息。可以看到增加了下图所 示的信息:测试从内网(主机 Local

22、-Tch)通过 192.168.0.253(http:/ 192.168.0.253) 是否能访问到外网服务器(主机global-Server)。 静态NAT与动态地址NAT和网络地址端口转换NAPT的区别后两者建立的地址映射关系是临时的,是在内部主机连接外部主机时临时建 立,当连接断开时就会释放映射关系,因此,无法从外网访问内网主机,即使 access-list列表中只有一个内网IP,且pool地址池中也只有一个全局IP时也 不行。如,键入下列命令:Access-list 2 deny anyAccess-list 2 permit 192.168.1.2 0.0.0.0Nat pool 2

23、18.194.159.214 218.194.159.214 testInt e1Nat inside 4 pool test将建立访问列表(只有一个IP192.168.1.2)到地址池(只有一个 IP218.194.159.214)的映射。但此时外网主机仍不能通过地址218.194.159.214 访问到内网主机192.168.1.2。3、静态NAT+静态 NAPT静态NAT将内网主机完全暴露到外网上,特别地,当系统只有一个全局IP 地址时,这台主机也叫DMZ主机。有时,我们只希望内网服务器向外网提供某一种服务,而只需要暴露其服务 端口,如一台Web服务器只需要80端口,一台FPT服务器只需

24、要21端口。此时, 采用一对一的(IP+端口)映射即可。如下列命令:nat server global 218.194.159.254 80 inside 192.168.1.3 80 tcpnat server global 218.194.159.254 8080 inside 192.168.1.4 80 tcp nat server global 218.194.159.254 21 inside 192.168.1.5 21 tcp 命令将192.168.1.3上的Web服务映射到218.194.159.254的80端口,将192.168.1.4 上的 Web 服务映射到 218.1

25、94.159.254 的 8080 端口,192.168.1.5 上的FTP服务映射到218.194.159.254的21端口。六、实验报告:1、图4-4是一个企业网络拓扑图(内网的路由器未画出)。企业内部使用私有IP地址,共划分3个子网,分配给财务部、生产部和市 场部;各子网中列出了一些WEB服务器、FTP服务器和综合服务器APP;路由器R1处于内网和外网的边界上,其E0 口接内网,IP为192.168.3.254,其 E1 口接外网,IP 为 222.198.40.1;外网列出了几台Intenet上的WEB服务器和FTP服务器;ISP为企业分配了 5个公有IP地址,范围为:222.198.

26、40.1222.198.40.5;要求在路由器R1上配置NAT,实现:使用动态NAT使内网中生产部和市场部所有主机实现共享上网。共享上 网使用的外网IP地址为222.198.40.3222.198.40.5。使用动态NAT使外网中PC6和PC7能直接访问内网中财务部所在的子网, 而PC8和PC9则不能。使用静态NAT使服务器APP和外网实现完全的双向通信,APP的外网访 问地址为:222.198.40.2。 配置NAT server使外网能通过E1端口地址222.198.40.1的80端口访 问内网Web服务器PC2的80端口;通过E1的21端口访问FTP服务器PC4 的 21 端口。卜表是锐

27、捷路由器配置动态NAT的命令提示符命令功能R1enable进入特权模式R1#configure terminal进入全局配置模式Rl(config)#ip access-list standard 进入列表“”配置模式R1_config_std_nacl#permit deny 允许或阻止某一地址段,注:每一条acl都会添加一条默认 的规则deny any,阻止所有主机。R1_config_std_nacl#exit退出列表配置模式R1(config)#ip nat pool netmask 建立名为“”的地址池,地址范围为“” “”R1(config)#ip nat inside sourc

28、e list pool overload建立列表“ ”与地址池“ ”的对应关系查看nat表:在特权模式输入show ip nat translationsPC4:192. 168. 2. 204 PC2:192. 168. 2. 202图4-4 一企业网络拓扑结构 测试内网主机之间能否相互连接。直接在浏览器输入WEB服务器或FTP 服务器IP地址,看能否访问? 按的方法测试内网主机能否访问外网服务器? 按上述方法测试外网主机之间能否相互访问? 按上述方法测试外网主机能否访问内网服务器? 配置内网中生产部和市场部所在子网到外网IP地址为 222.198.40.3222.198.40.5 的动态

29、NAT。先规划出acl列表和pool地址池;然后在下表中逐条列出所需命令及 其功能描述;最后进入虚拟平台进行配置。配置完成后先查看NAT表,再测 试生产部和市场部的主机能否访问到外网主机?财务部的主机能否访问到 外网主机?外网主机能否访问到内网?网,而PC8和PC9则不能。先规划出acl列表和pool地址池;然后在下表中逐条列出所需命令及 其功能描述;最后进入虚拟平台进行配置。配置完成后先查看NAT表,再测 试PC6和PC7能否访问到财务部所在的子网? PC8和PC9能否访问到财务部222.198.40.2的永久映射。在全局配置模式,命令格式为:ip natoutside在命令后输入“? ”,根据逐一的提示信息,写出完整的命令。 由于虚拟平台对静态NAT支持不足,不用测试。提示符命令功能R1 配置NAT server使外网能通过E1端口地址222.198.40.1的80端口访 问内网Web服务器PC2的80端口;通过E1的21端口访问FTP服务器 PC4 的 21 端口。因虚拟平台不支持端口转换,只需在下表中写出在华为Quidway 2621路由器中实现的命令(注意:需要先进入连接外网的端口配置模式)。3、指出NAT有三种类型的原理及适用情况。4、指出源地址(source)NAT和目的地址(destination)NAT有何区别。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号