實驗配置動態(tài)靜態(tài)案例

拓地址分配表目1部分：構(gòu)建網(wǎng)絡(luò)并檢驗連接第2部分配置和NAT第3部分配置和拓地址分配表目1部分：構(gòu)建網(wǎng)絡(luò)并檢驗連接第2部分配置和NAT第3部分配置和背景/場景網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)是網(wǎng)絡(luò)設(shè)備（例如思科路由器）為私有網(wǎng)絡(luò)內(nèi)的主機設(shè)備分配公有地址的過程。使用主要是為了減少企業(yè)使用公有IP地址的數(shù)量，因為可用IPv4公有地址的數(shù)量是有限的。?1頁8IP地址子網(wǎng)默認(rèn)網(wǎng)S0/0/0在本實驗中，ISP已將公有IP地址空間24/27分配給一家公在本實驗中，ISP已將公有IP地址空間24/27分配給一家公司。這可為公司提供30個公地址。2541范圍內(nèi)的地址用于靜態(tài)分配，而4254范圍內(nèi)的地址用于動態(tài)分配。從ISP到網(wǎng)關(guān)路由器使用靜態(tài)路由，從網(wǎng)關(guān)到ISP路由器使用默認(rèn)路由。通過ISP路由器上的一個環(huán)回地址模擬ISP與Internet的連接。注意：A動手實驗所用的路由器是采用iscoSlse.M（ivslk9映像）的isco1集成多業(yè)務(wù)路由器S。所用的交換機是采用iscoSlse.（lbsk9映像）的iscotlyst0系列。也可使用其他路由器、交換機以及iscoS版本。根據(jù)型號以及iscoS版本不同，注意確保所使用的路由器和交換機的啟動配置都已擦除。如果不確定，請聯(lián)系教師。所需資源2臺路由器（支持CiscoIOS15.2(4)M3版通用映像的Cisco1941或同類路由器臺交換機（支持CiscoIOS15.0(2)lanbasek9版映像的Cisco2960或同類交換機PC（Windows7、VistaXP且支持終端模擬程序，比如TeraTerm）用于通過控制臺電纜配置CiscoIOS設(shè)備的控制臺端口如拓?fù)渌镜囊蕴W(wǎng)電纜和串行電1部分:創(chuàng)建網(wǎng)絡(luò)并檢驗連通性在第1部分中，您將建立網(wǎng)絡(luò)拓?fù)洳⑴渲没驹O(shè)置，例如接IP地址、靜態(tài)路由、設(shè)備訪問和密碼1步:建立如拓?fù)鋱D所示的按照拓?fù)鋱D所示連接設(shè)備和電纜2步配置PC主機3步根據(jù)需要初始化并重新加載路由器和交換機。4步配置每個路由器的基本設(shè)置。b.d.f.DNS查找按照地址分配表列出的設(shè)置配置路由器的IP地址。在DCE串行接口上，將時鐘頻率設(shè)為1280000。cisco為控制臺密碼和vty密碼class作為特權(quán)EXEC模式加密密碼配置loggingsynchronous以防止控制臺消息中斷命令輸入g.5步:ISP上創(chuàng)建Web服務(wù)器創(chuàng)建一個名為webuser的本地用戶，使用加密密碼webpassISP(config)#usernamewebuserprivilege15?2頁8ISP上啟HTTP服務(wù)器服務(wù)ISP(config)#iphttpHTTP服務(wù)，ISP上啟HTTP服務(wù)器服務(wù)ISP(config)#iphttpHTTP服務(wù)，以便使用本地用戶數(shù)據(jù)庫ISP(config)#iphttpauthentication6步:配置靜態(tài)路由。使用已分配的公有網(wǎng)絡(luò)地址范圍24/27創(chuàng)建從ISP路由器到網(wǎng)關(guān)路由器的靜態(tài)路由ISP(config)#iproute2424在網(wǎng)關(guān)路由器上創(chuàng)建到ISP路由器的默認(rèn)路由Gateway(config)#iprouteb.7步:將運行配置保存到啟8步:檢驗網(wǎng)絡(luò)連通性。PC主機上，對網(wǎng)關(guān)路由器上的G0/1接口執(zhí)行ping操作。如果ping不成功，請排除故障顯示兩臺路由器上的路由表，以檢驗靜態(tài)路由是否位于路由表中而且在兩臺路由器上都已配置正確2部分:配置和檢驗靜態(tài)靜態(tài)NAT使用本地地址與全局地址的一對一映射，這些映射保持不變。靜態(tài)NAT對于必須具有可從訪問的靜態(tài)地址的Web服務(wù)器或設(shè)備尤其有用1步:配置靜態(tài)映射。配置靜態(tài)映射，以告知路由器進(jìn)行私有內(nèi)部服務(wù)器地址0和公有地址25之間的轉(zhuǎn)換。這將允許用戶從Internet訪問PC-A。PC-A使用一個可從Internet訪問的固定地址模擬服務(wù)器或設(shè)備。Gateway(config)#ipnatinsidesourcestatic02步:指定接口。對接口發(fā)出ipnatinsideipnatoutside命令Gateway(config)#interfaceGateway(config-Gateway(config-ipnatinsideinterfaces0/0/1ipnat3步:測試配置。showipnattranslations命令以顯示靜態(tài)NAT表Gateway#showipnatProInsideInside內(nèi)部本地主機地址對應(yīng)的轉(zhuǎn)換是怎樣的0= ?3頁8--- 內(nèi)部全局地址是由誰分配的內(nèi)部本地地址是由誰分配的b.PC-A，對ISP上的Lo0在網(wǎng)關(guān)路由器上，顯示NAT表Gateway#showip內(nèi)部全局地址是由誰分配的內(nèi)部本地地址是由誰分配的b.PC-A，對ISP上的Lo0在網(wǎng)關(guān)路由器上，顯示NAT表Gateway#showipnat執(zhí)行ping操作。如ping不成功，請排除故障并糾正問題ProInsideInside---PC-AISPICMP請協(xié)議(ping)時，表中添加了一NAT條目，其中ICMP列此ICMP交換使用哪個端口號 注意：可能需要禁用PC-A防火墻以使ping操作成功PC-A，使telnet連接ProInsideglobalISPLo0接口并顯InsidelocalNAT表tcp25:10340:1034 ---注意：用于ICMP請求的NAT可能已超時并已從NAT表中刪除。 使用的端口號是什么 外部全局/本地 因為PC-A配置了靜態(tài)NAT，因此從ISP對位于靜態(tài)NAT公有地ping操作成功在網(wǎng)關(guān)路由器上，顯示NAT表以檢驗轉(zhuǎn)換Gateway#showipnatd.(25)PC-A執(zhí)ProInsideInsideicmp25:12 7:12---注意，外部本地和外部全局地址相同。此地址是ISP的遠(yuǎn)程網(wǎng)絡(luò)源地址。為了使從ISP執(zhí)行的ping操作成功，將內(nèi)部全局靜態(tài)NAT地址25轉(zhuǎn)換為PC-A的內(nèi)部本地地址(0)。在網(wǎng)關(guān)路由器上使用showipnatstatistics命令檢驗NAT統(tǒng)計數(shù)據(jù)Gateway#showipnatTotalactivetranslations:2(1static,1dynamic;1extended)Peaktranslations:2,occurred00:02:12agoInsidef?4頁8 Hits:39Misses:0CEFTranslatedpackets:39,CEFPuntedpackets:0Expiredtranslations:3Hits:39Misses:0CEFTranslatedpackets:39,CEFPuntedpackets:0Expiredtranslations:3Totaldoors:Appldoors:Normaldoors:QueuedPackets:注意這僅僅是一個輸出示例。您的輸出可能不完全匹配。3部分:配置和檢驗動態(tài)動態(tài)NAT使用公有地址池，并以先到先得的原則分配這些地址。當(dāng)內(nèi)部設(shè)備請求訪問外部網(wǎng)絡(luò)時，動態(tài)會從地址池中分配一個公共IPv4地址。動態(tài)NAT會產(chǎn)生本地地址和全局地址之間的多對多地址映射。1步:清除NAT在繼續(xù)添加動態(tài)NAT之前，請清除第2部分NAT和統(tǒng)計信息Gateway#clearipnattranslationGateway#clearipnat2步:定義LAN私有IP地址范圍相匹配的訪問控制列表(ACL)ACL1用來允許對/24網(wǎng)絡(luò)進(jìn)行轉(zhuǎn)換Gateway(config)#access-list1permit3步:檢驗NAT接口配置是否仍然有效。在網(wǎng)關(guān)路由器上發(fā)出showipnatstatistics命令來檢驗NAT配置4步:定義可用的IP地址池Gateway(config)#ipnatpoolpublic_access4254netmask245步:定義從內(nèi)部源列表到外部地址池的NAT注意AT池的名稱是區(qū)分大小寫的，而且此處輸入的地址池名稱必須與上一步中使用的名稱匹配。Gateway(config)#ipnatinsidesourcelist1pool6步:測試配置。a.PC-B，對ISP上的Lo0在網(wǎng)關(guān)路由器上，顯示NAT表Gateway#showipnat執(zhí)行ping操作。如ping不成功，請排除故障并糾正問題InsideInside?5頁8---PC-B的內(nèi)部本地主機地址對應(yīng)的轉(zhuǎn)換是怎樣的1---PC-B的內(nèi)部本地主機地址對應(yīng)的轉(zhuǎn)換是怎樣的1= PC-BISP上的發(fā)送ICMP請求時，表中添加了一個動態(tài)NAT條目，其中ICMP列為此ICMP交換使用哪個端口號 PC-B上，打開瀏覽器并輸入ISP模擬的Web服務(wù)器（Lo0接口）IP地址。出現(xiàn)提示時，請使用b.戶名webuser和密NAT表webpass登錄Insideglobal此轉(zhuǎn)換中使用了什么協(xié)議 使用了哪些端口號 外部 使用了什么公認(rèn)端口號和服務(wù) 在網(wǎng)關(guān)路由器上使用showipnatstatistics命令檢驗NAT統(tǒng)計數(shù)據(jù)Gateway#showipnatTotalactivetranslations:3(1static,2dynamic;1extended)Peaktranslations:17,occurred00:06:40agoInsideHits:345Misses:CEFTranslatedpackets:345,CEFPuntedpackets:d.?6頁8 Dynamicmappings:--Inside[Id:1]access-list1Dynamicmappings:--Inside[Id:1]access-list1poolpublic_accessrefcountpoolpublic_access:netmask start42end typegeneric,totaladdresses13,allocated1(7%),missesTotaldoors:Appldoors:Normaldoors:QueuedPackets:注意這僅僅是一個輸出示例。您的輸出可能不完全匹配。7步:刪除靜NAT條目7步中，靜態(tài)NAT條目已刪除而且您可以觀察NAT條目刪除第2部分中的靜態(tài)NAT。出現(xiàn)提示時，輸入yes刪除子條目Gateway(config)#noipnatinsidesourcestatic0Staticentryinuse,doyouwanttodeletechildNAT和統(tǒng)計信息從兩臺主機上對ISP()ping操作。顯示NAT表和統(tǒng)計信息。Gateway#showipnatTotalactivetranslations:4(0static,4dynamic;2Peaktranslations:15,occurred00:00:43agoOutsideinterfaces:Hits:16Misses:CEFTranslatedpackets:285,CEFPuntedpackets:0Expiredtranslations:11--Inside[Id:1]access-list1poolpublic_accessrefcount4poolpublic_access:netmask24start42endb.d.typegeneric,totaladdresses13,allocated2(15%),0Totaldoors:Appldoors:doors:Packets:?7頁8Gateway#showipnatProInsideInsideOutsidelocalicmp43:512---icmp42:512---注意這僅僅是一個輸出示例。您的輸出可能不完全匹配。思Gateway#showipnatProInsideInsideOutsidelocalicmp43:512---icmp42:512---注意這僅僅是一個輸出示例。您