实验十二NAT配置班级组名姓名一、实验目的1. 掌握NA T工作原理；2. 掌握NA T配置。

二、实验设备主机、网线、交换机、路由器。

三、实验内容组网需求：某公司通过一台路由器接口Serial1/0 访问Internet，公司内部对外提供WWW、FTP 和Telnet 服务，假设公司内部网络192.168.1.0使用的IP地址段为192.168.1.1 ~ 192.168.1.254，子网掩码为255.255.255.0，其中，内部FTP 服务器PC1、Telnet 服务器PC2、WWW服务器PC3、主机PC4、PC5的IP地址分配如表12-1所示（核心设备使用较小的地址），路由器R1的以太网口g0/0的IP地址为192.168.1.254。

该单位申请到的合法的IP地址为200.1.1.1，200.1.1.3 ~ 200.1.1.10，假设路由器R1串口s2/0的IP地址为200.1.1.1/30，R2串口s3/0的IP地址为200.1.1.2/30（交换机SwitchB连接私有网络时，R2串口s3/0的IP地址一般是该私有网络所属单位申请的公有IP地址)。

配置要求：(1) 内网192.168.1.0中的服务器和主机PC4可以访问Internet，PC5等其他主机不能访问Internet；(2) 外网主机PC6(IP地址为200.1.2.1)可以访问内网服务器，但不能访问内网主机PC4和PC5；(3) 外网主机PC7不能访问192.168.1.0网络。

表12-1 服务器和主机IP地址四、相关知识华为和H3C的NAT配置相关命令如表12-2～表12-5所示、CISCO设备配合命令参考网络课程中的相关课件。

表12-2 访问控制列表与接口关联的配置命令表12-3 定义地址池命令表12-4 访问控制列表与地址池关联的配置命令表12-5 查看、删除NA T配置命令五、实验步骤1. 构建网络拓朴图根据组网需求构建网络拓朴图如图12-1所示。

2. 配置主机IP地址按表12-1或图12-1配置主机的IP地址和网关地址。

图12-1 网络拓朴图3. 配置路由器IP地址和路由协议路由器R1和R2的IP地址和路由协议配置命令如下：（1）路由器R1配置Router1#configureConfiguring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router1(config)# int fa0/0Router1(config-if)#ip address 192.168.1.254 255.255.255.0 Router1(config-if)#no shutdownRouter1(config-if)#Router1(config-if)#int Serial2/0Router1(config-if)#ip address 200.1.1.1 255.255.255.252 Router1(config-if)#no shutdown（2）路由器R1的rip协议配置Router1#configureConfiguring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#router ripRouter1(config-router)#network 192.168.1.0Router1(config-router)#network 200.1.1.0路由器R2配置Router2>enableRouter2#configureConfiguring from terminal, memory, or network [terminal]?Enter configuration commands, one per line. End with CNTL/Z.Router2(config)#int fa0/0Router2(config-if)#ip address 200.1.2.254 255.255.255.0Router2(config-if)#no shutdownRouter2(config-if)#int Serial3/0Router2(config-if)#ip address 200.1.1.2 255.255.255.252Router2(config-if)#no shutdown路由器R2 rip协议配置Router2(config)#router ripRouter2(config-router)#network 200.1.2.0Router2(config-router)#network 200.1.1.0Router2(config-router)#exitRouter2(config)#静态路由协议配置Router2(config)#ip route 192.168.1.0 255.255.255.0 200.1.1.1 Router1(config)#ip route 200.1.2.0 255.255.255.0 200.1.1.24. 验证路由协议配置是否正确PC1PC65. 配置高级访问控制列表(1) 配置访问控制列表规则允许内网192.168.1..0网络中的服务器和主机PC4访问Internet，不允许PC5及其他主机访问Internet；(2) 配置访问控制列表规则使外网用户PC6可以访问内网服务器，但不能访问内网主机PC4和PC5；(3)配置访问控制列表规则使外网主机PC7不能访问192.168.1.0网络中的主机；配置命令如下：（1）Router1>enRouter1#conf tEnter configuration commands, one per line. End with CNTL/Z.Router1(config)#access-list 100 permit ip host 192.168.1.1 anyRouter1(config)#access-list 100 permit ip host 192.168.1.2 anyRouter1(config)#access-list 100 permit ip host 192.168.1.3 anyRouter1(config)#access-list 100 permit ip host 192.168.1.4 anyRouter1(config)#access-list 100 deny ip host 192.168.1.0 anyRouter1(config)#int f0/0Router1(config-if)#ip access-group 100 inRouter1(config-if)#end（2）Router2>enRouter2#conf tEnter configuration commands, one per line. End with CNTL/Z.Router2(config)#access-list 101 permit ip host 200.1.2.1 host 192.168.1.1Router2(config)#access-list 101 permit ip host 200.1.2.1 host 192.168.1.2Router2(config)#access-list 101 permit ip host 200.1.2.1 host 192.168.1.3 Router2(config)#access-list 101 deny ip host 200.1.2.1 host 192.168.1.4 Router2(config)#access-list 101 deny ip host 200.1.2.1 host 192.168.1.5 Router2(config)#int f0/0Router2(config-if)#ip access-group 101 in(验证过程)pc1 ping pc6Pc5 ping pc6Pc6 ping pc5Pc6 ping pc4Pc6 ping pc1Router2(config-if)#no ip access-group 101 inRouter2#conf tEnter configuration commands, one per line. End with CNTL/Z.Router2(config)#access-list 102 permit ip host 200.1.2.2 host 192.168.1.1 Router2(config)#access-list 102 permit ip host 200.1.2.2 host 192.168.1.2 Router2(config)#access-list 102 permit ip host 200.1.2.2 host 192.168.1.3 Router2(config)#access-list 102 deny ip host 200.1.2.2 host 192.168.1.0 Router2(config)#int f0/0Router2(config-if)#ip access-group 102 in验证ACL配置是否正确。

pc1 ping pc7Pc5 ping pc7(3)Pc7 ping pc5Pc7 ping pc4Pc7 ping pc16. 配置地址转换为了提高外网用户访问服务器的速度，配置NA T时采用固定的公网IP 地址：(1) 内网ftp服务器192.168.1.1通过公有IP地址200.1.1.3访问外网；(2) 内网Telnet服务器192.168.1.2通过公有IP地址200.1.1.4访问外网；(3) 内网WWW服务器192.168.1.3通过公有IP地址200.1.1.5访问外网；(4) 内网其他主机，通过地址池200.1.1.3 ~ 200.1.1.10访问外网，在路由器R1的出接口Serial 1/0配置地址转换。

ip nat pool NAT 200.1.1.3 200.1.1.10 netmask 255.255.255.0如果我们只有一个公网地址且已经分配给了R1的S0/0口，可以使用下面的命令来对这仅有的一个公网地址反复利用或叫超载。