NAT

实验目的

通过本次实验，您将掌握：

1  NAT 的配置方法，包括静态和动态

2  PAT 的特点和配置方法

任务 1：建立基本通信链路和基本路由配置

步骤 1：登录到所有设备，清空启动配置文件并重启，待重启后进入 CLI 界面正确定

义每一台设备的主机名

步骤 2：将交换机的所有接口全部关闭

SW1(config)#interface range fastEthernet 0/1 – 24

SW1(config-if-range)#shutdown

SW1(config-if-range)#

SW2(config)#interface range fastEthernet 0/1 – 24

SW2(config-if-range)#shutdown

SW2(config-if-range)#

步骤 3：在 SW1 上，将 Fa0/1 口开启，配置为 Access 接口，指定加入 vlan1，并

为 vlan1 配置 IP 地址，同时指定默认网关为 192.168.100.1，将 SW1 作为 R1 下

的一个客户主机，

SW1(config)#interface fastEthernet 0/1

SW1(config-if)#switchport mode access

SW1(config-if)#switchport access vlan 1

SW1(config-if)#no shutdown

SW1(config-if)#exit

SW1(config)#interface vlan 1

SW1(config-if)#ip address 192.168.100.100 255.255.255.0

SW1(config-if)#no shutdown

SW1(config-if)#

SW1(config)#ip default-gateway 192.168.100.1

步骤 4：开启 R1 的 Fa0/0 口，配置 IP 地址

R1(config)#interface fastEthernet 0/0

R1(config-if)#ip address 192.168.100.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#exit

步骤5：在SW2上，将Fa0/2和Fa0/4口开启，配置为Access接口，指定加入vlan1，

并为 vlan1 配置 IP 地址，同时指定默认网关为 192.168.100.1，将 SW2 作为 R2

下的一个客户主机

SW2(config)#interface range fastEthernet 0/2 ， fastEthternet 0/4

SW2(config-if-range)#switchport mode access

SW2(config-if-range)#switchport access vlan 1

SW2(config-if)#no shutdown

SW2(config-if)#exit

SW2(config)#int vlan 1

SW2(config-if)#ip address 192.168.100.100 255.255.255.0

SW2(config-if)#no shutdown

SW2(config-if)#exit

SW2(config)#

SW2(config)#ip default-gateway 192.168.100.1

SW2(config)#

步骤 6：配置 R2 的 Fa0/1，开启并配置上 IP 地址

R2(config)#interface fastEthernet 0/1

R2(config-if)#ip address 192.168.100.1 255.255.525.0

R2(config-if)#ip address 192.168.100.1 255.255.255.0

R2(config-if)#no shutdown

步骤 7：配置 R1 和 R3 之间的专线链路，使用 PPP 封装，并确认不要出现/32 的主机

路由

R1(config)#interface serial 0/0

R1(config-if)#encapsulation ppp

R1(config-if)#ip address 20.1.0.2 255.255.255.240

R1(config-if)#no peer neighbor-route

R1(config-if)#no shutdown

R1(config-if)#

R3(config)#interface serial 0/0

R3(config-if)#encapsulation ppp

R3(config-if)#no peer neighbor-route

R3(config-if)#clock rate 64000

R3(config-if)#ip address 20.1.0.1 255.255.255.240

R3(config-if)#no shutdown

步骤 8：配置 R2 和 R3 之间的专线链路，使用 PPP 封装，并确认不要出现/32 的主机

路由

R2(config)#interface serial 0/0

R2(config-if)#encapsulation ppp

R2(config-if)#no peer neighbor-route

R2(config-if)#ip address 20.2.0.2 255.255.255.240

R2(config-if)#no shutdown

R2(config-if)#

R3(config)#interface serial 0/1

R3(config-if)#encapsulation ppp

R3(config-if)#no peer neighbor-route

R3(config-if)#clock rate 64000

R3(config-if)#ip address 20.2.0.1 255.255.255.240

R3(config-if)#no shutdown

R3(config-if)#

步骤 9：在 SW1 上创建 vlan30，将 Fa0/3 和 Fa0/10 加入 vlan30，建立 BB1 和

R3 的通信链路

SW1(config)#interface range fa0/3 , fa0/10

SW1(config-if-range)#switchport mode access

SW1(config-if-range)#switchport access vlan 30

SW1(config-if-range)#no shutdown

SW1(config-if-range)#

步骤 10：配置 R3，定义 Fa0/0 的 IP，并开启

R3(config)#interface fastEthernet 0/0

R3(config-if)#ip address 150.1.0.3 255.255.0.0

R3(config-if)#no shutdown

R3(config-if)#

步骤 11：使用 ping 测试，确认所有通信链路都正确连接

R3#ping 150.1.0.254 //R3ping 通 BB1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 150.1.0.254, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms

R3#

R3#ping 20.1.0.2 //R3ping 通 R1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 20.1.0.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 28/29/32 ms

R3#ping 20.2.0.2 //R3ping 通 R2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 20.2.0.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 28/28/32 ms

SW1#ping 192.168.100.1 //SW1ping 通 R1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.100.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/202/1000 ms

SW2#ping 192.168.100.1 //SW2ping 通 R2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.100.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/202/1004 ms

步骤 12：在 R3 上开启 EIGRP100，将所有接口都加入 EIGRP100，在本实验中，R3

和 BB1 组成模拟的 Internet

R3(config)#router eigrp 100

R3(config-router)#no auto-summary

R3(config-router)#network 20.0.0.0

R3(config-router)#network 150.1.0.0

R3(config-router)#

步骤 13：检查 R3 的路由表，确认 R3 能收到一系列 BB1 中的路由

步骤 14：在 R1 和 R2 分别添加默认路由，指向 R3

R1(config)#ip route 0.0.0.0 0.0.0.0 20.1.0.1

R2(config)#ip route 0.0.0.0 0.0.0.0 20.2.0.1

步骤 15：在 R1、R2 上，使用 ping 测试，确认 R1 和 R2 作为企业网边缘路由器，是

可以访问到 Internet

R1#ping 197.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 197.1.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 28/31/32 ms

R1#

R2#ping 197.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 197.1.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 36/38/41 ms

R2#

步骤 16：配置 R4 的 Fa0/1，定义 IP 地址，并将默认路由指向 192.168.100.1，

将 R4 配置为 R2 下的另一个客户主机

R4(config)#interface fastEthernet 0/1

R4(config-if)#ip address 192.168.100.200 255.255.255.0

R4(config-if)#no shutdown

R4(config-if)#exit

R4(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1

R4(config)#

任务 2：配置静态 NAT

步骤 1：在 SW1 上，使用 ping 测试，观察是否能访问到 Internet，分析原因

SW1#ping 197.1.1.1 //SW1 是不能访问到 internet 的

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 197.1.1.1, timeout is 2 seconds:

…..

Success rate is 0 percent (0/5)

步骤 2：在 R1 上将 S0/0 配置为 NAT 的 Outide 端，将 Fa0/0 配置为 NAT 的 Inside

端

R1(config)#interface serial 0/0

R1(config-if)#ip nat outside

R1(config)#interface fastEthernet 0/0

R1(config-if)#ip nat inside

步骤 3：在 R1 上，指定一个静态 NAT 规则，将内部的 192.168.100.100（SW1）和

外部地址 20.1.0.3 作一对一绑定

R1(config)#ip nat inside source static 192.168.100.100 20.1.0.3

步骤 4：检查 NAT 转换表，确认静态 NAT 的规则

步骤 5：再测使用 SW1 做测试，现在 SW1 能访问到 Internet 了

SW1#ping 197.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 197.1.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 32/32/32 ms

SW1#

步骤 6：在 R3 上开启 Telnet，并关闭域名解析功能

R3(config)#line vty 0 4

R3(config-line)#no login

R3(config-line)#exit

R3(config)#no ip domain-lookup

R3(config)#

步骤 7：使用 SW1 做 telnet 连接，尝试登录 R3，确认是可以登录的，登录后暂时不

要关闭 telnet 会话

SW1#telnet 150.1.0.3

Trying 150.1.0.3 … Open

R3>

步骤 8：在 R3 上，检查远程登录的用户，看到的是来自 20.1.0.3 的连接，说明 NAT

是起作用的，完成检查后，关闭 SW1 对 R3 的远程登录

R3#clear line vty 0

[confirm]

[OK]

R3#

步骤 10：在 SW1 上开启远程登录

SW1(config)#line vty 0 4

SW1(config-line)#no login

步骤 11：使用 R3，尝试远程登录 20.1.0.3，会登录到 SW1，说明了

192.168.100.100 和 20.1.0.3 之间的静态映射永久生效的

R3#telnet 20.1.0.3

Trying 20.1.0.3 … Open

SW1>exit

[Connection to 20.1.0.3 closed by foreign host]

R3#

任务 3：配置动态 NAT

步骤 1：在 R2 上，将 S0/0 配置为 NAT 的 outside 端，Fa0/1 配置为 NAT 的 inside

端

R2(config)#interface serial 0/0

R2(config-if)#ip nat outside

R2(config-if)#exit

R2(config)#interface fastEthernet 0/1

R2(config-if)#ip nat inside

R2(config-if)#

步骤 2：在 R2 上创建一个 ACL，匹配所有 192.168.100.0/24 的地址，作为 NAT

的内部地址范围

R2(config)#access-list 1 permit 192.168.100.0 0.0.0.255

步骤 3：在 R2 上创建一个 NAT 地址池，定义外部地址池，地址池可以包含所有分配给

R2 的空闲的公网地址

R2(config)#ip nat pool NAT_POOL 20.2.0.3 20.2.0.14 netmask 255.255.255.240

步骤 4：在 R2 上定义 ACL 和 NAT 地址池的做关联

R2(config)#ip nat inside source list 1 pool NAT_POOL

步骤 5：在 SW2 和 R4 上使用 telnet 测试，确认都能访问 internet

R4#telnet 197.1.1.1

Trying 197.1.1.1 … Open

User Access Verification

Username: user

Password:

BB1>

SW2#telnet 197.1.1.1

Trying 197.1.1.1 … Open

User Access Verification

Username: user

Password:

BB1>

步骤 6：检查 R2 的 NAT 转换表，会看到 192.168.100.100 和 192.168.100.200

分别转换为了 20.2.0.3 和 20.2.0.4

任务 4：配置 PAT

步骤 1：清楚 R2 的 NAT 转换表

R2#clear ip nat translation *

R2#show ip nat translations

R2#

步骤 2：删除 R2 上所有 NAT 的配置

R2(config)#no ip nat inside source list 1 pool NAT_POOL

R2(config)#no access-list 1

R2(config)#no ip nat pool NAT_POOL

R2(config)#interface serial 0/0

R2(config-if)#no ip nat outside

R2(config-if)#exit

R2(config)#interface fastEthernet 0/1

R2(config-if)#no ip nat inside

R2(config-if)#

步骤 3：创建一个 ACL，匹配所有 192.168.100.0/24 的源地址

R2(config)#access-list 1 permit 192.168.100.0 0.0.0.255

步骤 4：将ACL1 应用到 PAT的配置中，所有 192.168.100.0/24 的地址转换为S0/0

的地址

R2(config)#ip nat inside source list 1 interface serial 0/0 overload

步骤 5：配置 S0/0 为 outside 端，配置 Fa0/1 为 Inside 端

R2(config)#interface serial 0/0

R2(config-if)#ip nat outside

R2(config-if)#exit

R2(config)#interface fastEthernet 0/1

R2(config-if)#ip nat inside

步骤 6：使用 R4 和 SW2 分别 telnet 访问 R3（internet），确认都可以打开连接

R4#telnet 150.1.0.3

Trying 150.1.0.3 … Open

R3>

SW2#telnet 150.1.0.3

Trying 150.1.0.3 … Open

R3>

步骤 7：检查 R3 的 telnet 会话，发现了 2 个来自 20.2.0.2 的 telnet，说明 PAT

在起作用

步骤 8：检查 R2 的 NAT 转换表，确认内部所有地址都已转换为外部地址 20.2.0.2