JohnLyu的blog

橙汁事务所艾欧泽亚分部

0%

NAT

Posted on Edited on In

实验要求

1.将 10.1.1.2 和 10.1.1.3 做动态 NAT 转换,地址池范围为:80.1.1.2-80.1.1.9;
2.将 10.1.1.4 静态转换成 80.1.1.10;
3.将路由器R1的以太网口 F0/0 地址做 PAT 转换。

实验过程

image-20201117171118610

如图配置网络拓扑, 配置好对应的rip协议, 使得PC0和r2能ping通.

r2 上的route

1
2
3
4
5
6
7
8
9
10
11
12
13
14
Router#show ip route 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

C    10.0.0.0/8 is directly connected, FastEthernet0/1
R    20.0.0.0/8 [120/1] via 80.1.1.2, 00:00:14, FastEthernet0/0
C    80.0.0.0/8 is directly connected, FastEthernet0/0

r3上的route:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Router>show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is not set

R    10.0.0.0/8 [120/1] via 80.1.1.1, 00:00:22, FastEthernet0/0
     20.0.0.0/24 is subnetted, 1 subnets
C       20.1.1.0 is directly connected, Loopback0
C    80.0.0.0/8 is directly connected, FastEthernet0/0

配置nat

1
2
3
4
5
6
7
8
9
10
11
12
Router(config)#interface FastEthernet0/0
Router(config-if)#ip nat outside
Router(config-if)#int fa0/1
Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#ip nat inside source static 10.1.1.4 80.1.1.10
Router(config)#access-list 10 permit host 10.1.1.2
Router(config)#access-list 10 permit host 10.1.1.3
Router(config)#ip nat pool ippool 80.1.1.2 80.1.1.9 netmask 255.255.255.240
Router(config)#ip nat inside source list 10 pool ippool
Router(config)#access-list 11 permit host 10.1.1.1
Router(config)#ip nat inside source list 11 interface fa0/1 overload

测试

在r2上开启nat debug:

1
2
Router#debug ip nat
IP NAT debugging is on

在pc2上ping 20.1.1.1, 在r2的CLI中可以看到debug信息:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Router#
NAT: s=10.1.1.4->80.1.1.10, d=20.1.1.1 [126]

NAT*: s=20.1.1.1, d=80.1.1.10->10.1.1.4 [1411]

NAT: s=10.1.1.4->80.1.1.10, d=20.1.1.1 [127]

NAT*: s=20.1.1.1, d=80.1.1.10->10.1.1.4 [1412]

NAT: s=10.1.1.4->80.1.1.10, d=20.1.1.1 [128]

NAT*: s=20.1.1.1, d=80.1.1.10->10.1.1.4 [1413]

NAT: s=10.1.1.4->80.1.1.10, d=20.1.1.1 [129]

NAT*: s=20.1.1.1, d=80.1.1.10->10.1.1.4 [1414]

NAT: expiring 80.1.1.10 (10.1.1.4) icmp 126 (126)

NAT: expiring 80.1.1.10 (10.1.1.4) icmp 127 (127)

NAT: expiring 80.1.1.10 (10.1.1.4) icmp 128 (128)

NAT: expiring 80.1.1.10 (10.1.1.4) icmp 129 (129)

分别在pc0, pc1, pc2上执行ping 20.1.1.1 -n 1000, 在NAT路由器r2上查看nat状态

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
Router#show ip nat translations 
Pro  Inside global     Inside local       Outside local      Outside global
icmp 80.1.1.10:26      10.1.1.4:26        20.1.1.1:26        20.1.1.1:26
icmp 80.1.1.10:27      10.1.1.4:27        20.1.1.1:27        20.1.1.1:27
icmp 80.1.1.10:28      10.1.1.4:28        20.1.1.1:28        20.1.1.1:28
icmp 80.1.1.10:29      10.1.1.4:29        20.1.1.1:29        20.1.1.1:29
icmp 80.1.1.10:30      10.1.1.4:30        20.1.1.1:30        20.1.1.1:30
icmp 80.1.1.10:31      10.1.1.4:31        20.1.1.1:31        20.1.1.1:31
icmp 80.1.1.10:32      10.1.1.4:32        20.1.1.1:32        20.1.1.1:32
icmp 80.1.1.10:33      10.1.1.4:33        20.1.1.1:33        20.1.1.1:33
icmp 80.1.1.10:34      10.1.1.4:34        20.1.1.1:34        20.1.1.1:34
icmp 80.1.1.10:35      10.1.1.4:35        20.1.1.1:35        20.1.1.1:35
icmp 80.1.1.10:36      10.1.1.4:36        20.1.1.1:36        20.1.1.1:36
icmp 80.1.1.10:37      10.1.1.4:37        20.1.1.1:37        20.1.1.1:37
icmp 80.1.1.10:38      10.1.1.4:38        20.1.1.1:38        20.1.1.1:38
icmp 80.1.1.10:39      10.1.1.4:39        20.1.1.1:39        20.1.1.1:39
icmp 80.1.1.10:40      10.1.1.4:40        20.1.1.1:40        20.1.1.1:40
icmp 80.1.1.10:41      10.1.1.4:41        20.1.1.1:41        20.1.1.1:41
icmp 80.1.1.10:42      10.1.1.4:42        20.1.1.1:42        20.1.1.1:42
icmp 80.1.1.10:43      10.1.1.4:43        20.1.1.1:43        20.1.1.1:43
icmp 80.1.1.10:44      10.1.1.4:44        20.1.1.1:44        20.1.1.1:44
icmp 80.1.1.10:45      10.1.1.4:45        20.1.1.1:45        20.1.1.1:45
icmp 80.1.1.10:46      10.1.1.4:46        20.1.1.1:46        20.1.1.1:46
icmp 80.1.1.10:47      10.1.1.4:47        20.1.1.1:47        20.1.1.1:47
icmp 80.1.1.10:48      10.1.1.4:48        20.1.1.1:48        20.1.1.1:48
icmp 80.1.1.10:49      10.1.1.4:49        20.1.1.1:49        20.1.1.1:49
icmp 80.1.1.10:50      10.1.1.4:50        20.1.1.1:50        20.1.1.1:50
icmp 80.1.1.10:51      10.1.1.4:51        20.1.1.1:51        20.1.1.1:51
icmp 80.1.1.10:52      10.1.1.4:52        20.1.1.1:52        20.1.1.1:52
icmp 80.1.1.10:53      10.1.1.4:53        20.1.1.1:53        20.1.1.1:53
icmp 80.1.1.10:54      10.1.1.4:54        20.1.1.1:54        20.1.1.1:54
icmp 80.1.1.10:55      10.1.1.4:55        20.1.1.1:55        20.1.1.1:55
icmp 80.1.1.10:56      10.1.1.4:56        20.1.1.1:56        20.1.1.1:56
icmp 80.1.1.10:57      10.1.1.4:57        20.1.1.1:57        20.1.1.1:57
icmp 80.1.1.10:58      10.1.1.4:58        20.1.1.1:58        20.1.1.1:58
icmp 80.1.1.10:59      10.1.1.4:59        20.1.1.1:59        20.1.1.1:59
icmp 80.1.1.5:13       10.1.1.3:13        20.1.1.1:13        20.1.1.1:13
icmp 80.1.1.5:14       10.1.1.3:14        20.1.1.1:14        20.1.1.1:14
icmp 80.1.1.5:15       10.1.1.3:15        20.1.1.1:15        20.1.1.1:15
icmp 80.1.1.5:16       10.1.1.3:16        20.1.1.1:16        20.1.1.1:16
icmp 80.1.1.5:17       10.1.1.3:17        20.1.1.1:17        20.1.1.1:17
icmp 80.1.1.5:18       10.1.1.3:18        20.1.1.1:18        20.1.1.1:18
icmp 80.1.1.5:19       10.1.1.3:19        20.1.1.1:19        20.1.1.1:19
icmp 80.1.1.5:20       10.1.1.3:20        20.1.1.1:20        20.1.1.1:20
icmp 80.1.1.5:21       10.1.1.3:21        20.1.1.1:21        20.1.1.1:21
icmp 80.1.1.5:22       10.1.1.3:22        20.1.1.1:22        20.1.1.1:22
icmp 80.1.1.5:23       10.1.1.3:23        20.1.1.1:23        20.1.1.1:23
icmp 80.1.1.5:24       10.1.1.3:24        20.1.1.1:24        20.1.1.1:24
icmp 80.1.1.5:25       10.1.1.3:25        20.1.1.1:25        20.1.1.1:25
icmp 80.1.1.5:26       10.1.1.3:26        20.1.1.1:26        20.1.1.1:26
icmp 80.1.1.5:27       10.1.1.3:27        20.1.1.1:27        20.1.1.1:27
icmp 80.1.1.5:28       10.1.1.3:28        20.1.1.1:28        20.1.1.1:28
icmp 80.1.1.5:29       10.1.1.3:29        20.1.1.1:29        20.1.1.1:29
icmp 80.1.1.5:30       10.1.1.3:30        20.1.1.1:30        20.1.1.1:30
icmp 80.1.1.5:31       10.1.1.3:31        20.1.1.1:31        20.1.1.1:31
icmp 80.1.1.5:32       10.1.1.3:32        20.1.1.1:32        20.1.1.1:32
icmp 80.1.1.5:33       10.1.1.3:33        20.1.1.1:33        20.1.1.1:33
icmp 80.1.1.5:34       10.1.1.3:34        20.1.1.1:34        20.1.1.1:34
icmp 80.1.1.5:35       10.1.1.3:35        20.1.1.1:35        20.1.1.1:35
icmp 80.1.1.6:32       10.1.1.2:32        20.1.1.1:32        20.1.1.1:32
icmp 80.1.1.6:33       10.1.1.2:33        20.1.1.1:33        20.1.1.1:33
icmp 80.1.1.6:34       10.1.1.2:34        20.1.1.1:34        20.1.1.1:34
icmp 80.1.1.6:35       10.1.1.2:35        20.1.1.1:35        20.1.1.1:35
icmp 80.1.1.6:36       10.1.1.2:36        20.1.1.1:36        20.1.1.1:36
icmp 80.1.1.6:37       10.1.1.2:37        20.1.1.1:37        20.1.1.1:37
icmp 80.1.1.6:38       10.1.1.2:38        20.1.1.1:38        20.1.1.1:38
icmp 80.1.1.6:39       10.1.1.2:39        20.1.1.1:39        20.1.1.1:39
icmp 80.1.1.6:40       10.1.1.2:40        20.1.1.1:40        20.1.1.1:40
---  80.1.1.10         10.1.1.4           ---                ---

注意到10.1.1.4优先使用了动态nat池.

停止全部的ping, 再次查看nat:

1
2
3
Router#show ip nat translations 
Pro  Inside global     Inside local       Outside local      Outside global
---  80.1.1.10         10.1.1.4           ---                ---

可见动态的nat已经全部停止, 只剩下静态nat

1
2
3
4
5
6
7
8
9
10
11
12
Router#show ip nat statistics 
Total translations: 31 (1 static, 30 dynamic, 30 extended)
Outside Interfaces: FastEthernet0/0
Inside Interfaces: FastEthernet0/1
Hits: 1231  Misses: 1383
Expired translations: 1215
Dynamic mappings:
-- Inside Source
access-list 10 pool ippool refCount 30
 pool ippool: netmask 255.255.255.240
       start 80.1.1.2 end 80.1.1.9
       type generic, total addresses 8 , allocated 0 (0%), misses 0

小结

动态和静态NAT的优先度规则还不清楚, 配置的PAT似乎也没有使用到.