wyl0900020_網(wǎng)絡(luò)地址轉(zhuǎn)換_教師參考

1、實(shí)驗(yàn)實(shí)驗(yàn) 22 網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換實(shí)驗(yàn)任務(wù)一：配置 Basic NAT本實(shí)驗(yàn)中，私網(wǎng)客戶端 Client_A、 Client_B 需要訪問公網(wǎng)服務(wù)器 Server，而 RTB 上不能保有私網(wǎng)路由，因此將在 RTA 上配置 Basic NAT，動(dòng)態(tài)地為 Client_A、Client_B 分配公網(wǎng)地址。步驟一：建立物理連接并初始化路由器配置按實(shí)驗(yàn)組網(wǎng)圖進(jìn)行物理連接并檢查設(shè)備的軟件版本及配置信息，確保各設(shè)備軟件版本符合要求，所有配置為初始狀態(tài)。如果配置不符合要求，請學(xué)員在用戶視圖下擦除設(shè)備中的配置文件，然后重啟設(shè)備以使系統(tǒng)采用缺省的配置參數(shù)進(jìn)行初始化步驟二：基本 IP 地址和路由配置依據(jù)實(shí)驗(yàn)

2、組網(wǎng)圖，完成 RTA 和 RTB 上接口 IP 地址的配置，需要在 RTA 上配置缺省路由去往公網(wǎng)路由器 RTB，請?jiān)谙旅娴目崭裰醒a(bǔ)充完整的路由配置：RTAip route-static 0.0.0.0 交換機(jī) SW1 采用出廠缺省配置即可。步驟三：檢查連通性分別在 Client_A 和 Client_B 上 ping Server（IP 地址為） ，其結(jié)果為無法 ping 通產(chǎn)生這種結(jié)果的原因是在公網(wǎng)路由器上不可能有私網(wǎng)的路由，從 Server 回應(yīng)的 ping 響應(yīng)報(bào)文到 RTB 的路由表上無法找到網(wǎng)段的路由步驟四：配置 Basic NAT在 RTA 上配置 Basic NAT： 首先通過

3、 ACL 定義允許源地址屬于網(wǎng)段的流做 NAT 轉(zhuǎn)換，請?jiān)谌缦碌目崭裰刑顚懲暾腁CL 配置命令RTAacl number 2000 其次配置 NAT 地址池，設(shè)置地址池中用于地址轉(zhuǎn)換的地址范圍為：到，請?jiān)谙旅娴目崭裰刑顚懲瓿傻?NAT 地址池配置命令：RTAnat address-group 1 在該命令中，數(shù)字 1 的含義是：地址池的索引號(hào)是 1 最后將地址池與 ACL 關(guān)聯(lián)，并在正確的接口的正確方向上下發(fā)，請?jiān)谙旅娴目崭裰刑顚懲暾拿睿篟TA interface G0/1RTA- G0/1 nat outbound 2000 address-group 1 no-pat在該命令中，參數(shù)

4、 no-pat 的含義是：表示不使用 TCP/UDP 端口信息實(shí)現(xiàn)多對多地址轉(zhuǎn)換，也即表示使用一對一地址轉(zhuǎn)換，只轉(zhuǎn)換數(shù)據(jù)包的地址而不轉(zhuǎn)換端口信息步驟五：檢查連通性從 Client_A、Client_B 分別 ping Server，其結(jié)果是可以 Ping 通步驟六：檢查 NAT 表項(xiàng)完成步驟五后立即在 RTA 上通過 display nat session 命令查看 NAT 會(huì)話信息，依據(jù)該信息輸出，可以看到該 ICMP 報(bào)文的源地址已經(jīng)轉(zhuǎn)換成公網(wǎng)地址，目的端口號(hào)和源端口號(hào)均為1024。源地址已經(jīng)轉(zhuǎn)換成公網(wǎng)地址，目的端口號(hào)和源端口號(hào)均為 512。五分鐘后再次通過該命令查看表項(xiàng)，發(fā)現(xiàn) NAT 表

5、項(xiàng)全部消失，產(chǎn)生這種現(xiàn)象的原因是 NAT 表項(xiàng)具有一定的老化時(shí)間（aging-time） ，一旦超過老化時(shí)間，NAT 會(huì)刪除表項(xiàng)?？梢酝ㄟ^ display nat aging-time 命令查看路由器的 NAT 默認(rèn)老化時(shí)間注意：注意：步驟六中不同學(xué)員實(shí)驗(yàn)結(jié)果中的 NAT 會(huì)話信息中的顯示的轉(zhuǎn)換后的公網(wǎng)地址和端口號(hào)可能不同，這是正?，F(xiàn)象，以實(shí)際顯示結(jié)果為準(zhǔn)。實(shí)驗(yàn)任務(wù)二：NAPT 配置私網(wǎng)客戶端 Client_A、 Client_B 需要訪問公網(wǎng)服務(wù)器 Server，但由于公網(wǎng)地址有限，在RTA 上配置的公網(wǎng)地址池范圍為，因此配置 NAPT，動(dòng)態(tài)地為 Client_A、Client_B 分配公網(wǎng)

6、地址和協(xié)議端口。步驟一：建立物理連接并初始化路由器配置按實(shí)驗(yàn)組網(wǎng)圖進(jìn)行物理連接并檢查設(shè)備的軟件版本及配置信息，確保各設(shè)備軟件版本符合要求，所有配置為初始狀態(tài)。如果配置不符合要求，請學(xué)員在用戶視圖下擦除設(shè)備中的配置文件，然后重啟設(shè)備以使系統(tǒng)采用缺省的配置參數(shù)進(jìn)行初始化步驟二：基本 IP 地址和路由配置與實(shí)驗(yàn)任務(wù)一同樣，配置 RTA 和 RTB 相關(guān)接口的 IP 地址以及路由SW1 同樣采用出廠缺省配置即可步驟三：檢查連通性從 Client_A、Client_B ping Server（IP 地址為） ，其結(jié)果是 不能 ping 通步驟四：配置 NAPT在 RTA 上配置 NAPT：首先通過 AC

7、L 定義允許源地址屬于網(wǎng)段的流做 NAT 轉(zhuǎn)換，請?jiān)谌缦碌目崭裰刑顚懲暾腁CL 配置命令RTAacl number 2000 RTA-acl-basic-2000其次配置 NAT 地址池 1，設(shè)置地址池中用于地址轉(zhuǎn)換的地址為：RTA-acl-basic-2000在接口視圖下將 NAT 地址池與 ACL 綁定并下發(fā)，在配置命令中不需要（需要/不需要）攜帶 no-pat 參數(shù)，意味著 NAT 要對數(shù)據(jù)包進(jìn)行端口的轉(zhuǎn)換,請?jiān)谙旅娴目崭裰刑顚懲暾拿睿篟TA interface G0/1RTA- G0/1 nat outbound 2000 address-group 1 步驟五：檢查連通性從 C

8、lient_A、Client_B 上分別 ping Server，其結(jié)果是 可以 ping 通步驟六：檢查 NAT 表項(xiàng)完成步驟五后立即在 RTA 上通過 display nat session 命令查看 NAT 會(huì)話信息，依據(jù)該信息輸出，可以看到源地址和轉(zhuǎn)換成的公網(wǎng)地址分別為和，轉(zhuǎn)換后的端口為 12289，轉(zhuǎn)換后的端口為 12288。當(dāng) RTA 出接口收到目的地址為的回程流量時(shí)，正是用當(dāng)初轉(zhuǎn)換時(shí)賦予的不同的端口來分辯該流量是轉(zhuǎn)發(fā)給還是。NAPT 正是靠這種方式，對數(shù)據(jù)包的 IP 層和傳輸層信息同時(shí)進(jìn)行轉(zhuǎn)換，顯著地提高公有 IP 地址的利用效率。注意：注意：步驟六中不同學(xué)員實(shí)驗(yàn)結(jié)果中的 NAT

9、 會(huì)話信息中的顯示的轉(zhuǎn)換后的端口號(hào)可能不同，這是正?，F(xiàn)象，以實(shí)際顯示結(jié)果為準(zhǔn)。實(shí)驗(yàn)任務(wù)三：Easy IP 配置私網(wǎng)客戶端 Client_A、Client_B 需要訪問公網(wǎng)服務(wù)器 Server，使用公網(wǎng)接口 IP 地址動(dòng)態(tài)為 Client_A、Client_B 分配公網(wǎng)地址和協(xié)議端口。 步驟一：建立物理連接并初始化路由器配置按實(shí)驗(yàn)組網(wǎng)圖進(jìn)行物理連接并檢查設(shè)備的軟件版本及配置信息，確保各設(shè)備軟件版本符合要求，所有配置為初始狀態(tài)。如果配置不符合要求，請學(xué)員在用戶視圖下擦除設(shè)備中的配置文件，然后重啟設(shè)備以使系統(tǒng)采用缺省的配置參數(shù)進(jìn)行初始化步驟二：基本 IP 地址和路由配置與實(shí)驗(yàn)任務(wù)一同樣，配置 RTA

10、 和 RTB 相關(guān)接口的 IP 地址以及路由SW1 同樣采用出廠缺省配置即可步驟三：檢查連通性從 Client_A、Client_B ping Server（IP 地址為） ，其結(jié)果是 無法 ping 通步驟四：配置 Easy IP 在 RTA 上配置 Easy IP:首先通過 ACL 定義允許源地址屬于網(wǎng)段的流做 NAT 轉(zhuǎn)換，請?jiān)谌缦碌目崭裰刑顚懲暾腁CL 配置命令RTAacl number 2000 RTA-acl-basic-2000 然后在接口視圖下江 ACL 與接口關(guān)聯(lián)并下發(fā) NAT，請?jiān)谌缦碌目崭裰刑顚懲暾呐渲妹睿篟TA interface G0/1RTA- G0/1 na

11、t outbound 2000 步驟五：檢查連通性從 Client_A、Client_B 分別 ping Server，其結(jié)果是 能夠 ping 通步驟六：檢查 NAT 表項(xiàng)完成步驟五后立即在 RTA 上通過 display nat session 命令查看 NAT 會(huì)話信息，依據(jù)該信息輸出，可以看到源地址和轉(zhuǎn)換成的公網(wǎng)地址分別為和請思考一個(gè)問題：在步驟五中，從 Client_A 能夠 ping 通 Server，但是如果從 Server 端ping Client_A 呢？其結(jié)果是無法 ping 通。 導(dǎo)致這種情況的原因是：在 RTA 上始終沒有網(wǎng)段的路由，所以 Server 直接 ping

12、Client_A 是不可達(dá)的。而 Client_A 能 ping 通 Server 是因?yàn)?，?Server 回應(yīng)的 ICMP 回程報(bào)文源地址是 Server 的地址，但是目的地址是 RTA 的出接口地址，而不是 Client_A 的實(shí)際源地址。也就是說這個(gè) ICMP 連接必須是由 Client 端來發(fā)起連接，觸發(fā) RTA 做地址轉(zhuǎn)換后轉(zhuǎn)發(fā)。還記得我們在 RTA 出接口 Eth 0/1 下發(fā) NAT 配置時(shí)的那個(gè)outbound 嗎？NAT 操作是在出方向使能有效。所以，如果從 Server 端始發(fā) ICMP 報(bào)文 ping Client 端，是無法觸發(fā) RTA 做地址轉(zhuǎn)換的。實(shí)驗(yàn)任務(wù)四：NA

13、T Server 配置想讓 Server 端能夠 ping 通 Client_A，以便 Client_A 對外提供 ICMP 服務(wù)，在 RTA 上為Client_A 靜態(tài)映射公網(wǎng)地址和協(xié)議端口，公網(wǎng)地址為在實(shí)驗(yàn)三的基礎(chǔ)上繼續(xù)如下實(shí)驗(yàn)在實(shí)驗(yàn)三的基礎(chǔ)上繼續(xù)如下實(shí)驗(yàn)步驟一：檢查連通性從 Server ping Client_A 的私網(wǎng)地址，其結(jié)果是無法 ping 通。步驟二：配置 NAT Server在 RTA 上完成 NAT Server 配置，允許 Client_A 對外提供 ICMP 服務(wù)。請?jiān)谌缦驴崭裰型瓿赏暾呐渲妹睿篟TA interface G0/1RTA- G0/1 步驟三：檢查連

14、通性并查看 NAT 表項(xiàng)從 Server 主動(dòng) ping Client_A 的公網(wǎng)地址，其結(jié)果是可以 ping 通在 RTA 上通過 display nat server 命令查看 NAT Server 表項(xiàng)，表項(xiàng)信息中顯示出地址和地址的一對一的映射關(guān)系。實(shí)驗(yàn)實(shí)驗(yàn) 22 網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換.- 1 -實(shí)驗(yàn)任務(wù)一： 配置Basic NAT .- 1 -步驟一： 建立物理連接并初始化路由器配置.- 1 -步驟二： 基本 IP 地址和路由配置.- 1 -步驟三： 檢查連通性.- 1 -步驟四： 配置 Basic NAT.- 1 -步驟五： 檢查連通性.- 2 -步驟六： 檢查 NAT 表項(xiàng).- 2 -實(shí)驗(yàn)任務(wù)二： NAPT配置.- 2 -步驟一： 建立物理連接并初始化路由器配置.- 2 -步驟二： 基本 IP 地址和路由配置.- 3 -步驟三： 檢查連通性.- 3 -步驟四： 配置 NAPT.- 3 -步驟五： 檢查連通性.- 3 -步驟六： 檢查 NAT 表項(xiàng).- 3 -實(shí)驗(yàn)任務(wù)三： E