企业网络架构学习手册10.docVIP

第十章 NAT与DHCP 10.1 配置NAT——静态的NAT 1.这节实验主要用到的命令 2.命令的定义 ? clear ip nat：用来清除所有（或指定的）活动的NAT转换。 ? ip nat ：用来为发送报文（从内部）或接收（到外部）的接口应用NAT。 ? ip nat inside destination list：这条全局命令为内部目的地址应用NAT。可以配置为动态的或静态的。 ? ip nat inside source：这条全局命令为内部源地址应用NAT。可以配置为动态的或静态的。 ? ip nat outside source：这条全局命令为外部源地址应用NAT。也可以配置为动态或静态的。 ? ip nat pool name：这条全局命令定义一个I P地址池用来为网络转换，可以定义为内部全局池、外部本地池或旋转池。 ? ip nat translation：NAT超时后，这个全局命令用来改变时间长。 ? show ip nat statistics：用来显示关于NAT的统计数据。 ? show ip nat translations：显示所有激活的NAT转换。 3.所需设备 下面列出了本实验所需设备： 1) 两台Cisco路由器各带一个以太网端口和一个串行口； 2) Cisco 11.2或更高； 3) 一台运行终端仿真程序的微机； 4) 一台带有以太网NIC的微机或有一以太网接口的路由器； 5) 两根以太网电缆和一个以太网集线器； 6) 一根Cisco DTE/DCE交叉电缆。 4.实验步骤： 本配置将演示NAT将一没注册的、内部IP地址转换为全局的、唯一的外部地址。如图所示，路由器A将把内部源地址转换为全局唯一的地址。 路由器A和B通过交叉电缆串行连接，A作为DCE为B提供时钟，地址的分配如图中所示。 一台带有一个以太网NIC的微机（或一台路由器）连到与路由器A相连的以太网上。路由器A配置了NAT，并将源IP地址转换为。 1. 路由器A 2. 路由器B 5.监测配置 从主机A ping主机B（）。用debug ip packet命令分析到达路由器B的报文。命令执行结果如下，注意ICMP ping报文的源地址是。 在路由器A上执行debug ip nat命令可以看出源IP地址已转换为，这是个两部过程。而返回报文的到的目标地址也转回到了。 以前，我们曾讨论了在一内部本地地址和一内部全局地址之间的一对一的映射。这个方法是低效的且不能推广。因为一个IP地址只能让一个端主机使用。静态转换经常在一个固定的外部的IP地址访问一内部主机的情况下使用。图给出了一个需要静态地址映射的示例。 主机A想访问FTP服务器上的文件，然而FTP服务器属于内部网络，没有一个唯一的全局IP地址，这时就需要定义一个全局地址到本地地址 10.2 动态内部源地址转换 1.下面列出了本实验所需设备： 1) 两台Cisco路由器，各带一个以太网端口和一串行口； 2) Cisco IOS 11.2或更高的； 3) 一台运行终端仿真程序的微机； 4) 一根Cisco DTE/DCE交叉电缆。 2.实验步骤： 本配置将演示内部源地址到外部全局地址之间的动态转换。路由器A将把在与之间的任一源地址转换为在地址池中的三个全局地址之一。 两台Cisco路由器串行连接。路由器A通过交叉电缆连接到路由器B。路由器B作为DCE为A提供时钟。一台运行终端仿真程序的微机连到路由A上的控制台端口上。IP地址的分配如图所示。 路由器A配置给NAT，将动态转换访问表1指定的范围内的任何内部源地址到一个Internet注册过的唯一的全局地址。 3.路由器配置 下面给出了本例中两台路由器的配置： 路由器A 路由器B 4 监测配置 在路由器A上，用扩展ping命令测试配置。这条命令可以从路由器中任何现存的I P地址中为ping报文找其源地址。只需在特权级状态下键入ping即可。 下面的例子都是在路由器A上用扩展ping命令从在配置中定义的二级IP地址为报文源路。用这个方法代替路由器A的局域网上的多个微机。 1) 从路由器A，用源地址 ping 。 2) 从路由器A，用源地址 ping 。 3) 从路由器A，用源地址 ping 。 从在路由器A上执行debug ip nat 命令的结果，得知源地址转换为（池中的第一个地址）。池中的全局IP地址按请求的顺序分配。 在路由器A上执行debug ip nat translation命令显示了当第4台端站点想访问外面的网络时，所发生的情况，但是池中的所有地址都用完了。 从上面的各例中得知，虽然动态地址转换比静态转换效率更高，但每一转换仍需要自己的地址。因此，网络管理者必须正确地掌握离线访问的通信量并相应地定义地址池的大小。 10.3 复用内