<<NAT静态配置_静态路由实现>>这篇文章的一个疑问????
首先概念问题:
1、在本实验中使用Router来充当NAT服务器,但是在实际网络中 NAT功能不一定在Router上实现,此时,不能以Router角度来对待NAT服务器,应当在NAT服务器外再连接一个Router,NAT服务器与其内部子网一起作为一个广播域。
2、私有子网范围内的每个私有IP应当对应一个惟一的外部可用IP地址。
同样的,在这个私有子网内也有默认网关,此默认网关地址为NAT服务器的内部本地地址(即私有IP地址)
其次,应当将此NAT服务器归结于此私有子网网段内,当做一个局域网对待。因此,此时该NAT服务器的外部接口IP与私有子网网段中的内部全局地址属于同一个公有IP网段。
3、NAT的原理:打洞原理。在本实验中,只配置了内部向外部的地址对应,起了保护内部子网的作用。只允许内部子网访问外网,在内部子网没有访问外网的前提下,外网无法访问内部子网。
因此,以前的实验:
3NAT_3Router_3Switch_9PC;3NAT_3Router_3Switch_9PC; 1NAT_2Router_3Switch_8PC错啦
私有子网1 访问 私有子网2 是不行的,除非额外进行ip nat outside source static 设置
4、NAT服务器上应该有到达目的子网的路由。本实验中RIP路由协议配置失败,因此采用静态路由,连接到其他子网。
实验记录:
LAN1,LAN2属于私有子网范围,LAN3属于公有IP子网范围
NAT_Server1作为LAN1,LAN2的NAT服务器
Core_Router作为连接LAN1,LAN2与LAN3的核心路由器
预期配置结果:
NAT_Server1应当配置 内部向外部IP地址映射, LAN1,LAN2的到达端口, LAN3的到达端口
Core_Router应当配置 到达LAN1与LAN2(两个作为一个端口连接,因为是通过NAT映射为一个IP)的端口 和 LAN3的端口
实验设置
LAN1:
LAN1_PC1: 10.20.20.1/24 -> 209.165.200.227/27
LAN1_PC2: 10.20.20.2/24 -> 209.165.200.228/27
LAN1_PC3: 10.20.20.3/24 -> 209.165.200.229/27
LAN2:
LAN2_PC1: 10.20.30.1/24 -> 209.165.200.230/27
LAN2_PC2: 10.20.30.2/24 -> 209.165.200.231/27
LAN2_PC3: 10.20.30.3/24 -> 209.165.200.232/27
LAN3:
LAN3_PC1: 202.197.96.2/24
LAN3_PC2: 202.197.96.3/24
NAT_Server1:
interface fa0/0 10.20.20.4/24 作为 LAN1 的默认网关
interface fa1/0 10.20.30.4/24 作为 LAN2 的默认网关
interface serial2/0 209.165.200.233/27 作为外部接口
Core_Router:
interface serial2/0 209.165.200.234/27
interface fa0/0 209.165.200.234/27 作为 LAN3 的默认网关
配置命令记录如下:
NAT_Server1:
1、配置内部端口fa0/0(LAN1):
Router(config)#interface fa0/0
Router(config-if)#ip nat inside
Router(config-if)#ip address 10.20.20.4 255.255.255.0
Router(config-if)#no shutdown
将本端口上的 内地本地地址 映射到 内部全局地址(即阻止了外网访问内部子网,只允许内网访问外网)
Router(config)#ip nat inside source static 10.20.20.1 209.165.200.227
Router(config)#ip nat inside source static 10.20.20.2 209.165.200.228
Router(config)#ip nat inside source static 10.20.20.3 209.165.200.229
2、配置内部端口fa1/0(LAN2):
Router(config)#interface fa1/0
Router(config-if)#ip nat inside
Router(config-if)#ip address 10.20.30.4 255.255.255.0
Router(config-if)#no shutdown
将本端口上的 内地本地地址 映射到 内部全局地址(即阻止了外网访问内部子网,只允许内网访问外网)
Router(config)#ip nat inside source static 10.20.30.1 209.165.200.230
Router(config)#ip nat inside source static 10.20.30.2 209.165.200.231
Router(config)#ip nat inside source static 10.20.30.3 209.165.200.232
3、配置外部端口serial2/0
Router(config)#interface serial2/0
Router(config-if)#ip nat outside
Router(config-if)#clock rate 64000 //串行接口 配置 速率 DTE/DCE
Router(config-if)#ip address 209.165.200.233 255.255.255.224
Router(config-if)#no shutdown
4、检查地址映射以及路由:
Router#show ip route
10.0.0.0/24 is subnetted, 2 subnets
C 10.20.20.0 is directly connected, FastEthernet0/0
C 10.20.30.0 is directly connected, FastEthernet1/0
209.165.200.0/27 is subnetted, 1 subnets
C 209.165.200.224 is directly connected, Serial2/0
Router#show ip nat translation
Pro Inside global Inside local Outside local Outside global
--- 209.165.200.227 10.20.20.1 --- ---
--- 209.165.200.228 10.20.20.2 --- ---
--- 209.165.200.229 10.20.20.3 --- ---
--- 209.165.200.230 10.20.30.1 --- ---
--- 209.165.200.231 10.20.30.2 --- ---
--- 209.165.200.232 10.20.30.3 --- ---
5、配置静态路由
因为NAT_Server1中没有到达LAN3子网的路由记录,配置路由(配置动态路由协议RIP,学习路由失败,所以这里先采用静态路由配置)。
Router(config)#ip route 202.197.96.0 255.255.255.0 serial2/06、检查路由:
Router#show ip route
10.0.0.0/24 is subnetted, 2 subnets
C 10.20.20.0 is directly connected, FastEthernet0/0
C 10.20.30.0 is directly connected, FastEthernet1/0
S 202.197.96.0/24 is directly connected, Serial2/0
209.165.200.0/27 is subnetted, 1 subnets
C 209.165.200.224 is directly connected, Serial2/0
Core_Router:
1、LAN3默认网关的设置:
Router(config)#interface fa0/0
Router(config-if)#ip address 202.197.96.1 255.255.255.0
Router(config-if)#no shutdown
2、串行接口设置:
Router(config-if)#interface serial2/0
Router(config-if)#clock rate 64000
Router(config-if)#ip address 209.165.200.234 255.255.255.224
Router(config-if)#no shutdown
3、检查路由:
Router#show ip route
C 202.197.96.0/24 is directly connected, FastEthernet0/0
209.165.200.0/27 is subnetted, 1 subnets
C 209.165.200.224 is directly connected, Serial2/0
由于是直连 两个 子网, 实质上LAN1与LAN2是属于同一个子网,但在实际中,NAT_Server1左端的子网会被分割成更多个子网,为了例子简单,这里只是简单进行IP连续,实质上继续分化是OK的,也是实际应用中经常的。
因此,Core_Router上不需要再进行路由协议配置
检测:
同第一部分中说的一样,本实验中只设定了内部地址向外部地址的映射,因此外部地址是无法访问内网
所以,总结起来,总共有以下结果:
LAN1 ping LAN2: OK
LAN2 ping LAN1: OK
LAN1 ping LAN3: OK
LAN2 ping LAN3: OK
LAN3 ping LAN1: DOWN
LAN3 ping LAN2: DOWN
ping是一个双向过程,由LAN1,LAN2 ping LAN3时, 内网的包经由NAT_Server1出去的时候,NAT_Server会记录外网地址对应,以使得回复(ICMP应答包)能够抵达源PC。
为什么只有静态路由才能保障网络的运行,而RIP配置失败????????????????
[解决办法]
"只允许内部子网访问外网,在内部子网没有访问外网的前提下,外网无法访问内部子网。"
注意这句话.