实验十四-NAT转换原理.doc

实验十四 NAT转换 实验简介 NAT的概念 为了节约IP地址，因特网IP地址分配与管理机构（ICANN）将IP地址划分了一部分出来，规定作为私网地址使用，不同的局域网可重复使用这些私网地址，因特网中的路由器将丢弃源地址或目的地址为私网地址的数据包，以实现局域网间的相互隔离。但这样以来，局域网用户就无法直接访问因特网，位于因特网中的用户也无法访问局域网。 为了解决局域网用户访问因特网的问题，从而诞生了网络地址转换技术，它就是一种将一个IP地址转换为另一个IP地址的技术——NAT转换。 NAT转换技术也可实现局域网与互联网隔离，提高内部网络的安全性。 实验过程 一、搭建网络拓扑图 图1 实验拓扑分析： 如上图所示，路由器R1模拟一个外网，在防火墙FW1做一个局域网。192.168.1.0/24此网段地址作为私网地址被转换出去，计算机PC3用来测试内外网是否通信，故NAT转换在防火墙FW1上配置。 二、配置IP地址、掩码及网关 1.为各个主机配置IP 图2 图3 用ipconfig命令查看IP是否配置正确。 PC2与PC3的配置方法与PC1配置方法一样，在此省略。 2.测试PC1与PC2连通性 图4 因PC1与PC2在同一网络内部，故二者可以通信。 三、配置路由器R1 1.路由器R1命令如下： <Huawei>sys(进入系统视图) [Huawei]inter g 0/0/0（进入端口Ge0/0/0） [Huawei-GigabitEthernet0/0/0]ip add 222.21.81.254 24（端口Ge0/0/0 IP地址为222.21.81.254掩码为255.255.255.0） [Huawei-GigabitEthernet0/0/0]inter g 0/0/1（进入端口Ge0/0/1） [Huawei-GigabitEthernet0/0/1]ip add 69.0.0.2 30（端口Ge0/0/1IP地址为69.0.0.2掩码为255.255.255.252） [Huawei-GigabitEthernet0/0/1]q（退出端口Ge0/0/1） 图5 用Display current-configuration 命令可查看正在运行的配置。 四、配置防火墙 1.防火墙FW1命令如下： <SRG>sys(进入系统视图) [SRG]inter g 0/0/0(进入端口G0/0/0) [SRG-GigabitEthernet0/0/0]ip add 192.168.1.254 24(端口G0/0/0IP地址为192.168.1.254掩码为255.255.255.0) [SRG-GigabitEthernet0/0/0]inter g 0/0/1(进入端口G0/0/01) [SRG-GigabitEthernet0/0/1]ip add 69.0.0.1 30(端口G0/0/1IP地址为69.0.0.1掩码为255.255.255.252) [SRG-GigabitEthernet0/0/1]q(退出端口G0/0/1) [SRG]firewall zone trust (建立Trust安全信任区域，一般将内网接口配置Trust区域) [SRG-zone-trust]add inter g 0/0/0(将G0/0/0放入Trust区域) [SRG-zone-trust]q(退出) [SRG]firewall zone untrust (建立Untrust不信任区域，一般将外网接口配置Untrust区域) [SRG-zone-untrust]add inter g 0/0/1(将G0/0/1放入Untrust) [SRG-zone-untrust]q （退出） [SRG]policy interzone trust untrust outbound (开启Trust区域与Untrust区域间报过滤规则) [SRG-policy-interzone-trust-untrust-outbound]policy 0 (域间报过滤政策0) [SRG-policy-interzone-trust-untrust-outbound-0]action permit (行动允许) [SRG-policy-interzone-trust-untrust-outbound-0]policy source 192.168.1.0 0.0.0.255(这里0.0.0.255表示的是掩码为255.255.255.0，与正常子网掩码格式相反。高位用0表示，低位用1表示) [SRG-policy-interzone-trust-untrust-outbound-0]q(退出到上一级) [SRG-policy-interzone-trus