NAT网络地址转换 一：拓扑图 二：使用dynamips完成实验 1：启用R5和R6路由器，其中R5模拟PC5机，S1/1ip：220.171.1.1/24网关：220.171.1.2 2：R6路由器S1/0端口ip地址：220.171.1.2，Fa2/0端口ip地址：192.168.1.1/24 3：模拟公网实际环境：R6实现ACL来阻止192.168.1.0网络从Fa2/0到达PC5的S1/1 4：在R6上使用NAT来实现192.168.1.0到PC5的访问 5：真实PC（ip:192.168.1.2/24网关：192.168.1.1） 三：实验步骤 1：在R5上 Router>en Router#configureterminal Router(config)#hostnamePC5 PC5(config)#noipdomain-lookup PC5(config)#lineconsole0 PC5(config-line)#exec-timeout00 PC5(config-line)#loggingsynchronous PC5(config-line)#exit PC5(config)#noiprouting／去除路由器的路由功能来模拟成pc PC5(config)#interfaces1/1 PC5(config-if)#ipaddress220.171.1.1255.255.255.0／配置ip地址 PC5(config-if)#noshutdown PC5(config-if)#exit PC5(config)#ipdefault-gateway220.171.1.2／配置默认网关 PC5(config)#end PC5# 2：在R6上： 使用ACL Router>enable Router#configureterminal Router(config)#hostnameR6 R6(config)#noipdomain-lookup R6(config)#lineconsole0 R6(config-line)#exec-timeout00 R6(config-line)#loggingsynchronous R6(config-line)#exit R6(config)#interfa2/0 R6(config-if)#ipaddress192.168.1.1255.255.255.0 R6(config-if)#noshutdown R6(config-if)#interfaces1/0 R6(config-if)#ipaddress220.171.1.2255.255.255.0 R6(config-if)#noshutdown R6(config-if)#ipaccess-group1out／加载ACL到s1/0的出口上以192.168.1.0的源包 R6(config-if)#exit R6(config)#access-list1deny192.168.1.00.0.0.255／标准ACL，阻止192.168.1.0来的包 R6(config)#access-list1permitany／标准ACL，允许任何来包 R6(config)# 测试：PC（IP：192.168.1.2／24网关：192.168.1.1）ping220.171.1.1不通 由于ACL阻止了192.168.1.0来的包，要实现内外访问，必须使用NAT转换 A:使用使用静态NAT：在内部本地地址和内部全局地址之间建立一对一的映射关系 R6# R6#conft R6(config)#ipnatinsidesourcestatic192.168.1.2220.171.1.3／配置静态nat，内部本地地址和内部全局地址做一对一对应 R6(config)#interfacefa2/0 R6(config-if)#ipnatinside／设置fa2/0接口为内部网络 R6(config-if)#interfaces1/0 R6(config-if)#ipnatoutside／设置s1/0网络为外部网络 R6(config-if)#end R6# 测试：PC（IP：192.168.1.2／24网关：192.168.1.1）ping220.171.1.1通 B：使用动态地址转换NAT：在内部本地地址和内部全局地址之间建立动态的映射关系。这是通过指定要转换的本地地址和全局地址池，并将它们之间关联起来来实现的。路由器在需要时创建转换条目 R6# R6#conft R6(config)#access-list2permit192.168.1.00.0.0.255／设置ACL来设置可以被NAT的流量 R6(config)#ipna