NAT(网络地址转换) 边界路由器上,进行公私有ip地址间转换的协议,负责内部网络与互联网的沟通交流。其工作方式为静态,动态,多对多的进行端口地址转换 ,利用了边界路由器上同一个公有ip地址的不同的端口号来进行映射和区分,实现多个私有ip数据包可以同时被转换。实验需求如下图所示。
首先进项ip地址规划,规划如下图所示。
按要求配置配置路由器R1及ISP,配置网关,静态写齐路由表 。之后配置ISP(互联网服务的提供商)左侧的内部局域网及右侧的互联网(内网配置方法见关于eNSP的dhcp实验) ,以及在R1写一条缺省路由指向ISP(见静态路由综合实验实验报告)。此时需求1,需求4已达成。
虽然此图现在路由齐全,ip地址完全规划正确,但是内网依旧无法与互联网通信,因为内网的私有ip地址与外部的共有ip地址没有进行相应转换,我们这事就需要NAT技术的帮助来实现此目的,在边界路由器R1上输入以下密令:
[R1]acl 2000 启动一个标准访问控制列表。
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 添加规则,关注选择的目标范围的ip地址。
[R1-acl-basic-2000]q
[R1]int g 0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 告诉边境端口将acl 2000 中的私有ip地址转化为公有ip。
此时,我们使用PC1pingPC2,发现通信成功,结果如下图所示,此时需求2达成。
如果在一个内网里运行着一台HTTP服务器,一般做法是,再购买一个公有ip地址为此服务器服务,这样可以有效降低延迟,但会升高成本。由于本内网只有一个公有ip地址,HTTP服务都是基于80端口进行,如果有其他程序在与互联网通讯时占用80端口,将会发生冲突。因此,我们需要在R1的边境端口上为HTTP1设置端口映射,让80端口专为HTTP服务器服务。密令如下:
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.1.2
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
此密令表示将tcp传输协议中的80端口固定分配给HTTP1使用。外部若有人访问该接口12.1.1.1且tcp目标端口80,那么转换为192.168.1.10 目标端口80。
由于80端口被HTTP1占用,HTTP2必须再设置另一端口映射,密令如下:
[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8888 inside 192.168.1.3 80
此密令表示外部若有人访问12.1.1.1(G0/0/1的ip地址)时,且为TCP目标端口8888,转换为目标ip192.168.1.3目标端口80。
注:在为HTTP服务器填写DNS时,应填写映射此HTTP服务器的的端口的公有IP地址。由于eNSP中的DNS服务器无法记录端口号,因此仅可以为HTTP1,HTTP2中的一台提供域名解析服务。
此刻,我们使用client1通过域名解析服务访问HTTP1,结果成功会如下图所示:
另外一台HTTP2我们直接通过ip地址访问,在client1中直接输入12.1.1.1:8888(g0/0/1的8888端口映射。注:“:”符号一定要用英文输入法输入,否则会报错,血的教训。)即可得到如下图所示的成功提示:
需求5,6达成。 自此所有需求均已达成,实验完成。