路由器基于端口的NAT配置,看懂这个你就清楚了
端口地址转换(PAT,Port AddressTranslation)是指改变外出数据包的源端口并进行端口转换,又称端口多路复用.采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自Internet的攻击。端口地址转换首先是动态地址转换,是根据端口号和地址进行映射转换,允许多个局部地址同时共用一个全局地址,路由器会利用TCP或UDP端口号来唯一标识某台IP主机,是一对多的关系。
网络中有两台路由器互联,其中R1和R2是通过以太网口连接,R1和R2各自连接一个本地局域网,IP地址分配如表所示,要求在路由器R1上配置基于端口的NAT,将PC1、PC2所在网段172.16.1.0/24的私有地址转换为地址池222.196.1.3到222.196.1.100中的地址后访问服务器Server0。整个网络使用OSPF动态路由协议保证IP连通性。
基于端口的NAT配置
IP地址分配表
设备
端口
描述
IP地址
子网掩码
网关
R1
Fa0/1
连接R2
202.196.1.1
255.255.255.0
Fa0/0
连接S1
172.16.1.1
255.255.255.0
R2
Fa0/1
连接R1
202.196.1.2
255.255.255.0
Fa0/0
连接S2
125.66.248.1
255.255.255.0
Lo0
回环地址
1.1.1.1
255.255.255.0
PC1
NIC
172.16.1.2
255.255.255.0
172.16.1.1
PC2
NIC
172.16.1.3
255.255.255.0
172.16.1.1
Server0
NIC
125.66.248.2
255.255.255.0
125.66.248.1
1 配置路由器R1
Router#config
Router_config#hostname R1
R1_config#int fa0/0
R1_config_f0/0#ip addr 172.16.1.1 255.255.255.0
R1_config_f0/1#ip addr 222.196.1.1 255.255.255.0
//配置路由器R1提供NAT服务
R1_config#ip nat pool outpool 222.196.1.3 222.196.1.100 255.255.255.0 #配置地址池名称为outpool,池中地址范围为222.196.1.3到222.196.1.100
R1_config#ip access-list standard pzhu
R1_config_std_nacl#permit 172.16.1.0 255.255.255.0
R1_config_std_nacl#exit
R1_config#ip nat inside source list pzhu pool outpool overload #配置PAT
//配置OSPF动态路由协议
R1_config#router ospf 1
R1_config_ospf_1#network 222.196.1.0 255.255.255.0 area 0
R1_config#int fa0/0
R1_config_f0/0#ip nat inside #配置NAT内部接口
R1_config_f0/0#int fa0/1
R1_config_f0/1#ip nat outside #配置NAT外部接口
2 配置路由器R2
Router#config
Router_config#hostname R2
R2_config#int fa0/0
R2_config_f0/0#ip addr 125.66.248.1 255.255.255.0
R2_config_f0/0#int fa0/1
R2_config_f0/1#ip addr 222.196.1.2 255.255.255.0
R2_config#int loopback 0
R2_config_l0#ip addr 1.1.1.1 255.255.255.0
//配置OSPF动态路由协议
R2_config#router ospf 1
R2_config_ospf_1#network 222.196.1.0 255.255.255.0 area 0
R2_config_ospf_1#network 125.66.248.0 255.255.255.0 area 0
R2_config_ospf_1#network 1.1.1.0 255.255.255.0 area 0
3 查看R1和R2的路由表
R1的路由表
R1_config_f0/1#show ip route
......略
R2的路由表
R2_config#show ip route
......略
5.4 实验调试
(1) debug ip nat detail
该命令可以查看地址翻译的过程中的细节,包括报文的源、目的IP地址,协议、端口号,以及没有翻译成功的原因等。
在PC1和PC2上ping 125.66.248.2(PC2的IP地址),此时应该是连通的。路由器R1的输出如下信息:
R1#debug ip nat detail
R1#2004-1-18 01:28:54 NAT FastEthernet0/1: TX. ICMP s=172.16.1.2:512->222.196.1.3:512, d=125.66.248.2:512 translated
2004-1-18 01:28:54 NAT FastEthernet0/1: RX. ICMP s=125.66.248.2:512, d=222.196.1.3:512->172.16.1.2:512 translated
2004-1-18 01:28:55 NAT FastEthernet0/1: TX. ICMP s=172.16.1.2:512->222.196.1.3:512, d=125.66.248.2:512 translated
2004-1-18 01:28:55 NAT FastEthernet0/1: RX. ICMP s=125.66.248.2:512, d=222.196.1.3:512->172.16.1.2:512 translated
2004-1-18 01:28:56 NAT FastEthernet0/1: TX. ICMP s=172.16.1.2:512->222.196.1.3:512, d=125.66.248.2:512 translated
……………………………….
以上输出表明路由器R1在网络地址转换的过程中,首先把私有地址172.16.1.2转换成公网地址222.196.1.3访问地址125.66.248.2,然后当数据包回来的时候把公网地址222.196.1.3转换成私有地址172.16.1.2,同时附带了原地址和目的地址的端口号512。
关闭R1的NAT调试信息。
R1#no debug ip nat detail
(2)show ip nat translations
查看路由器R1的激活的NAT地址翻译。
R1#show ip nat translations
Pro. Dir Inside local Inside global Outside local Outside global
ICMP OUT 172.16.1.2:512222.196.1.3:512125.66.248.2:512125.66.248.2:512
~了解这些技巧,您可以更好地控制您的网络连接,并获得更快的网络速度和更安全的连接。
