最新消息:点击查看大S的省钱秘笈

基于cisco路由器的NAPT转换及服务器端口映射实验

网络相关 Slyar 198浏览 0评论

文章作者:姜南(Slyar) 文章来源:Slyar Home (www.slyar.com) 转载请注明,谢谢合作。

实验拓扑图如下,网段及IP地址不做多余介绍,配置模式及基本命令不做多余介绍

实验环境及实验目的:

0、每个网段上,左侧端口为F0/0,右侧端口为F0/1

1、3台路由器作为ISP路由器,丢弃一切私有IP地址,只路由公网IP地址。实验中只在路由器之间的网段上启用EIGRP路由协议

2、ISP给左边的公司/29大小的公网IP地址,由于左边公司内主机数量大于10K台,要求使用所有可用IP地址进行动态NAPT转换

3、ISP给右边公司/30大小的公网IP地址,即右侧公司只有1个可用公网IP地址,要求使用NAPT技术使得右边公司内主机可以上网,并且要求映射服务器的80端口到外部网络供其他人访问

主要实验过程:

1、配置各个设备的IP地址,保证各个设备的连通性,不说。

2、在3台路由器上启用EIGRP路由协议

ISP1:

router eigrp 100
network 100.100.100.0 0.0.0.7
no auto-summary

ISP2:

router eigrp 100
network 100.100.100.0 0.0.0.7
network 200.200.200.0 0.0.0.3
no auto-summary

ISP3:

router eigrp 100
network 200.200.200.0 0.0.0.3
no auto-summary

3、在ISP1上配置允许通过NAPT技术转换的主机范围

access-list 1 permit 192.168.1.0 0.0.0.255

4、在ISP1上配置可以进行转换的公网IP地址池,名字为cisco

ip nat pool cisco 100.100.100.3 100.100.100.6 netmask 255.255.255.248

/29为8个地址,刨去网络号和广播地址,以及线缆两端占用的2个地址,还剩4个可用地址

5、在ISP1上基于地址池配置NAPT

ip nat inside source list 1 pool cisco overload

overload表示端口多路复用

6、在ISP1的相应端口上启用NAT

interface FastEthernet0/0
ip nat outside

interface FastEthernet0/1
ip nat inside

至此左边公司内的主机即可通过NAPT技术访问外部网络了。

7、在ISP3上配置允许通过NAPT技术转换的主机范围

access-list 1 permit 172.16.1.0 0.0.0.255

8、在ISP3上基于单个IP地址(即单个接口)配置NAPT

ip nat inside source list 1 interface FastEthernet0/1 overload

9、在ISP3上使用静态绑定映射服务器的80端口

ip nat inside source static tcp 172.16.1.1 80 200.200.200.2 80

10、在ISP3的相应端口上启用NAT

interface FastEthernet0/0
ip nat inside

interface FastEthernet0/1
ip nat outside

至此右边公司内的主机即可通过NAPT技术访问外部网络了,并且外部主机访问ISP3的80端口时,数据包会自动转发到内部web服务器上。

实验效果:

使用PC0(192.168.1.1)访问右边公司的Web服务器(200.200.200.2)的80端口

ISP1:

IP NAT debugging is on
NAT: s=192.168.1.1->100.100.100.3, d=200.200.200.2 [19]
NAT*: s=200.200.200.2, d=100.100.100.3->192.168.1.1 [8]
NAT*: s=192.168.1.1->100.100.100.3, d=200.200.200.2 [20]
NAT*: s=192.168.1.1->100.100.100.3, d=200.200.200.2 [21]
NAT*: s=200.200.200.2, d=100.100.100.3->192.168.1.1 [9]
NAT*: s=192.168.1.1->100.100.100.3, d=200.200.200.2 [22]
NAT*: s=200.200.200.2, d=100.100.100.3->192.168.1.1 [10]
NAT*: s=192.168.1.1->100.100.100.3, d=200.200.200.2 [23]

Router#sh ip nat tra
Pro  Inside global     Inside local       Outside local      Outside global
tcp 100.100.100.3:1025 192.168.1.1:1025   200.200.200.2:80   200.200.200.2:80
tcp 100.100.100.3:1026 192.168.1.1:1026   200.200.200.2:80   200.200.200.2:80
tcp 100.100.100.3:1027 192.168.1.1:1027   200.200.200.2:80   200.200.200.2:80

ISP3:

IP NAT debugging is on
NAT: s=100.100.100.3, d=200.200.200.2->172.16.1.1 [19]
NAT*: s=172.16.1.1->200.200.200.2, d=100.100.100.3 [8]
NAT*: s=100.100.100.3, d=200.200.200.2->172.16.1.1 [20]
NAT*: s=100.100.100.3, d=200.200.200.2->172.16.1.1 [21]
NAT*: s=172.16.1.1->200.200.200.2, d=100.100.100.3 [9]
NAT*: s=100.100.100.3, d=200.200.200.2->172.16.1.1 [22]
NAT*: s=172.16.1.1->200.200.200.2, d=100.100.100.3 [10]
NAT*: s=100.100.100.3, d=200.200.200.2->172.16.1.1 [23]

Router#sh ip nat tra
Pro  Inside global     Inside local       Outside local      Outside global
tcp 200.200.200.2:80   172.16.1.1:80      ---                ---
tcp 200.200.200.2:80   172.16.1.1:80      100.100.100.3:1025 100.100.100.3:1025
tcp 200.200.200.2:80   172.16.1.1:80      100.100.100.3:1026 100.100.100.3:1026
tcp 200.200.200.2:80   172.16.1.1:80      100.100.100.3:1027 100.100.100.3:1027

给出了debug信息及NAT转换表,过程应该很清晰了。还可以看到ISP3的NAT转换表中静态保存了服务器80端口与ISP3的映射关系。

转载请注明:Slyar Home » 基于cisco路由器的NAPT转换及服务器端口映射实验

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友最新评论 (12)

  1. @Slyar 再请教一个问题哈,access-list 1 permit 172.16.1.0 0.0.0.255这条acl需要在ISP3那个路由的端口激活(启用)么?如果需要应该在int f0/0上使用ip access-group in还是在int 0/1上使用ip access-group out呢?不胜感激
    s5年前 (2012-06-17)回复
  2. @Slyar 。。。额。。。对不起啊。。。我看的时候是‘网段’,脑子里面想的是‘路由’。。。现在表示已经看懂了
    s5年前 (2012-06-17)回复
  3. @s 就是内网口是inside...你再仔细看那句话“每个网段上,左侧端口为F0/0,右侧端口为F0/1”
    Slyar5年前 (2012-06-17)回复
  4. 为什么是外网口是ip nat inside的呢?烦请帮忙解答@Slyar
    s5年前 (2012-06-17)回复
  5. @s 难道不应该是连接内网的端口配置为ip nat inside么?
    s5年前 (2012-06-17)回复
  6. @s 木有写反。每个网段上,左侧端口为F0/0,右侧端口为F0/1
    Slyar5年前 (2012-06-17)回复
  7. 博主您好: 10、在ISP3的相应端口上启用NAT interface FastEthernet0/0 ip nat inside interface FastEthernet0/1 ip nat outside 这两条命令是不是写反了呢?
    s5年前 (2012-06-17)回复
  8. 这些都是NA最重要的知识,不难吧!
    green5年前 (2011-09-30)回复
  9. 貌似挺复杂的
    茶叶6年前 (2011-06-29)回复
  10. 真的很好哈哈
    QQ空间6年前 (2011-06-28)回复
  11. sh ip nat tra 你简写真是太。。。 show ip nat tra* 没碰过 不学CCNP了 我要学习马上要用的东西啊。。。
    hackinery6年前 (2011-06-27)回复
  12. 太专业了,没看懂哦!
    ixwebhosting6年前 (2011-06-27)回复