演示: NAT-PAT代理内部网络访问Internet
演示目标:在思科的路由器上配置NAT-PAT代理内部网络访问Internet。
演示环境:使用前面描述PAT工作原理的图 9.55所示的实验环境。
演示背景:NAT路由器将整个网络分割成内外两个部分,子网192.168.2.0属于NAT的内部网络;要求使用PAT转换方式,将该子网的所有主机转换成NAT路由器的外部接口IP地址202.202.1.1访问公共网络部分。
演示步骤:
第一步:为实验环境中的所有路由器完成基础配置,包括激活接口、为接口写IP地址,开启动态路由等,具体配置如下所示:
路由器R1的基础配置:
R1(config)#interface e1/0
R1(config-if)#ip address 192.168.2.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface e1/1
R1(config-if)#ip address 202.202.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#router rip
R1(config-router)#no auto-summary
R1(config-router)#version 2
R1(config-router)#network 202.202.1.0
R1(config-router)#exit
* 注意,在进行RIP路由公告时,不需要公告私有网络192.168.2.0,因为在真实的环境中,即便是公告了该网络,公共网络也不会认为该网络是合法的。
路由器R2的基础配置:
R2(config)#interface e1/1
R2(config-if)#ip address 202.202.1.2255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#interface e1/0
R2(config-if)#ip address 202.202.2.1 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#router rip
R2(config-router)#no auto-summary
R2(config-router)#version 2
R2(config-router)#network 202.202.1.0
R2(config-router)#network 202.202.2.0
R2(config-router)#exit
当完成上述配置后,确保NAT路由器的路由学习正常,事实确保NAT路由器上的路由学习正常,也是保障NAT正常工作的一个重要环节,可以在路由器R1上执行showip route指令如下图9.60 所示,可看现在路由学习正常。
第二步:现在来完成NAT-PAT的配置,具体配置如下所示:
在路由器R1上完成NAT配置:
R1(config)#access-list 1 permit 192.168.2.0 0.0.0.255
* 使用ACL定义需要被执行NAT的私有网络地址,也叫做定义感兴趣的翻译流量。
R1(config)#ip nat inside source list 1 interface ethernet 1/1overload
* 执行NAT的翻译,inside source指示翻译内部源地址,内部源地址的内容被list 1即上面的第一条语句ACL 1所定义,interface ethernet 1/1指示将内部源地址翻译成NAT路由器E1/1上的公共IP地址,overload指示将所有的私有网络地址翻译成一个公共IP地址,即E1/1接口的公共IP,实际上就是指示地址复用,也是PAT与动态NAT的关键区别。
R1(config)#interface e1/0
R1(config-if)#ip nat inside * 定义E1/0接口为NAT的内部接口。
R1(config-if)#exit
R1(config)#interface e1/1
R1(config-if)#ip nat outside * 定义E1/1接口为NAT的外部接口。
R1(config-if)#exit
第三步:完成上述配置后,分别在内部主机A(192.168.2.100)和主机B(192.168.2.200)上去访问公共主机202.202.2.100的Web服务,注意在执行该访问时,在路由器R1上使用debug ip nat detailed调试PAT的翻译过程,如下图9.61所示,除此之外,还可以使用showip nat translations来查看NAT翻译表,可见虽然多个不同的私有专用网络地址被翻译成同一个公共IP,但是端口号是不相同的,这样就可以成功的去识别不同的会话,然后可以看出NAT四类地址类型的部局,这与理解NAT的地址类型中的案例一的NAT地址部局相同,此时可以通过实践环境进一步的来理解NAT的地址类型。
本文出自 “无名的基督” 博客,转载请与作者联系!