NAT网络地址转换

bwangshang · 发表于 2014-8-8 17:31:21

马上注册成为ROSABC会员，随时发帖回复。

您需要登录才可以下载或查看，没有账号？会员注册

x

1、配置每个设备的名称和接口的ip地址

sibo1(config)#interface serial 0

sibo1(config-if)#ip address 192.168.12.1 255.255.255.0

sibo1(config-if)#ip address 192.168.12.2 255.255.255.0 secondary

注：配置辅助ip地址。

sibo1(config-if)#ip address 192.168.12.3 255.255.255.0 secondary

sibo1(config-if)#no sh

sibo2(config)#interface serial 0

sibo2(config-if)#ip address 192.168.12.254 255.255.255.0

sibo2(config-if)#no shutdown

sibo2(config-if)#clock rate 64000

sibo2(config)#interface serial 1

sibo2(config-if)#ip add 192.168.23.2 255.255.255.0

sibo2(config-if)#no shutdown

sibo2(config-if)#clock rate 64000

sibo2(config-if)#exit

sibo3(config)#interface serial 1

sibo3(config-if)#ip add 192.168.23.3 255.255.255.0

sibo3(config-if)#no shutdown

sibo3(config-if)#exit

2、在sibo2上完成静态NAT的配置。

sibo2(config)#ip nat inside source static 192.168.12.1 192.168.23.4

注：Inside关键字指定内部源本地ip地址转换成内部全局ip地址。当数据由内向外是转换

是源地址。回应时转换的是目标地址。静态NAT转换一对一。内部局部地址：在内部网络使用的地址。内部全局地址：用来代替一个或多个本地地址的，对外的，向NIC

注册过的地址。

sibo2(config)#interface serial 0

sibo2(config-if)#ip nat inside-----------指定了s0接口在内部。

sibo2(config-if)#int s 1

sibo2(config-if)#ip nat out--------------

指定s1接口在外部。

sibo2(config-if)#end

sibo2#debug ip nat

IP NAT debugging is on

sibo1#ping 192.168.23.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:

48 .....

Success rate is 0 percent (0/5)

注：用本地地址192.168.12.1 Ping 192.168.23.3,结果没有ping通，为什么？

sibo2#show ip nat translations

注：查看sibo2上是否有地址转换的NAT表。

sibo1(config)#ip route 192.168.23.0 255.255.255.0 serial 0

sibo1(config)#end

注：为jiace1上加上去往sibo3的路由。

sibo1#ping 192.168.23.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:

!!!!!

注：可以ping 通说明加上了路由可以让数据发出去也能回来。

Success rate is 100 percent (5/5), round-trip min/avg/max = 68/74/88 ms

sibo1#ping---------------

使用扩展ping。

Protocol [ip]:

Target IP address: 192.168.23.3

Repeat count [5]: 50----------发送50数据包。

Datagram size [100]:

Timeout in seconds [2]:

Extended commands [n]: ----------------这里不使用扩展的命令，直接回车。表示使用主ip

地址192.168.12.1来ping192.168.23.3。

Sweep range of sizes [n]:

Type escape sequence to abort.

Sending 50, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:

!!!!!!!!!!!!!!!!!!!!!

Terminal-Server#2-----------快速切换到sibo2上。来查看具体的转换过程。

[Resuming connection 2 to sibo2 ... ]

00:18:28: NAT*: s=192.168.12.1->192.168.23.4, d=192.168.23.3 [38]

00:18:28: NAT*: s=192.168.23.3, d=192.168.23.4->192.168.12.1 [38] 省略…

注：第一个条目是将源地址进行转化。那第二个条目是将目的地址进行转化。

sibo2#show ip nat translations

Pro Inside global Inside local Outside local  Outside global

--- 192.168.23.4    192.168.12.1       ---          ---

注：建立了NAT表，当有流量符合这个匹配规则时就会两个地址进行转换。

49

2、在sibo2上完成动态NAT的配置。

sibo2(config)#no ip nat inside source static 192.168.12.1 192.168.23.4------------将原来的

静态NAT

的条目删除。

若不能删除请执行命令：clear ip nat tran *

sibo2(config)#access-list 1 permit 192.168.12.0 0.0.0.255

注：通过使用用户访问控制列表来定义本地地址池。

sibo2(config)#ip nat pool sibo 192.168.34.1 192.168.34.2 p 24

注：通过使用用户访问控制列表来定义本地地址池。

sibo2(config)#ip nat inside source list 1 pool sibo 注：定义公有地址池，命名为sibo。地址的范围是192.168.34.1

到192.168.34.2，子网掩码用

前缀表示24。也可以使用关键字network+

具体的网段。

3、用192.168.12.1 ping 192.168.23.3

sibo1#ping 192.168.23.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5) 注：当数据包到达sibo2

时会将192.168.12.1转化成192.168.34.1，这时sibo3会收到这个数

据包，因为目的地址没变。但sibo3

给sibo1回应时，将以192.168.34.1为目的地址，这

是在sibo3上没有相关的路由条目。

sibo3(config)#ip route 192.168.34.0 255.255.255.0 s 1

注：在sibo3上配置去往sibo1上公有地址的路由。

sibo1#ping

Protocol [ip]:

Target IP address: 192.168.23.3

Repeat count [5]: 50

Sending 50, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:

!!!!!!!!!!!!!!! ------------------Ping

通说明路由添加正确

通说明路由添加正确通说明路由添加正确

通说明路由添加正确。

。。

。

Terminal-Server#2

[Resuming connection 2 to sibo2 ... ]

01:16:55: NAT*: s=192.168.12.1->192.168.34.1, d=192.168.23.3 [134]

01:16:55: NAT*: s=192.168.23.3, d=192.168.34.1->192.168.12.1 [134]

省略…

sibo2#show ip nat tr

Pro Inside global Inside local Outside local    Outside global

--- 192.168.34.1 192.168.12.1    ---             ---

50

4、用192.168.12.2 ping 192.168.23.3

sibo1#ping

Protocol [ip]:

Target IP address: 192.168.23.3

Repeat count [5]: 20

Datagram size [100]:

Timeout in seconds [2]:

Extended commands [n]: y

Source address or interface: 192.168.12.2

Sending 20, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:

Packet sent with a source address of 192.168.12.2

!!!!!!!!!!

注：要求使用扩展的命令。可以选择详细的参数。比如这里可以使用辅助的ip地址。使用sibo1接口s0的辅助ip地址来作为源地址。

Terminal-Server#2

[Resuming connection 2 to sibo2 ... ]

01:35:02: NAT*: s=192.168.12.2->192.168.34.2, d=192.168.23.3 [22]

01:35:02: NAT*: s=192.168.23.3, d=192.168.34.2->192.168.12.2 [22]

省略…

注：源地址192.168.12.2转换成192.168.34.2。很明显调用了第2个公有地址。

sibo2#show ip nat tr

Pro Inside global Inside local Outside local Outside global

--- 192.168.34.1 192.168.12.1    ---             ---

--- 192.168.34.2 192.168.12.3    ---             ---

5、用192.168.12.3 ping 192.168.23.3

sibo1#ping

Protocol [ip]:

Target IP address: 192.168.23.3

Repeat count [5]: 20

Extended commands [n]: y

Source address or interface: 192.168.12.3-------------用第3个私有地址来ping192.168.23.3

。

Sending 20, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:

Packet sent with a source address of 192.168.12.3

U.U.U.U.U.--------------结果不能

结果不能结果不能

结果不能ping通到目的

通到目的通到目的

通到目的。

。。

。

Terminal-Server>2

[Resuming connection 2 to sibo2 ... ]

51 00:22:02: NAT: translation failed (A), dropping packet s=192.168.12.3 d=192.168.23.3

00:22:02: NAT: translation failed (A), dropping packet s=192.168.12.3 d=192.168.23.3

省略…

注：从调试的信息中可以查找出不能ping通的原因。是因为地址转换的失败而丢包。

sibo2#show ip nat tr--通过显示NAT表也可以发现没有192.168.12..3的条目。

Pro Inside global Inside local Outside local  Outside global

--- 192.168.34.1 192.168.12.1    ---             ---

--- 192.168.34.2 192.168.12.2    ---             ---

解决的方法： 1、清除NAT表中的条目，将公有地址池中的公有地址释放出来。

         2、将NAT超时时间改小，让被转换的目标地址能在短时间内得到释放。

请大家自己研究

sibo2#clear ip nat tr *

sibo2#show ip nat tr

Terminal-Server>1

[Resuming connection 1 to r4 ... ]

sibo1#ping

Protocol [ip]:

Target IP address: 192.168.23.3

Extended commands [n]: y

Source address or interface: 192.168.12.3

Sending 5, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:

Packet sent with a source address of 192.168.12.3

!!!!!-------

又可以ping通对端。

Terminal-Server>2

[Resuming connection 2 to sibo2 ... ]

00:46:21: NAT: s=192.168.12.3->192.168.34.2, d=192.168.23.3 [55]

00:46:21: NAT*: s=192.168.23.3, d=192.168.34.2->192.168.12.3 [55]

省略…

注：调试所显示的转换过程。

sibo2#sh ip nat tr

Pro Inside global Inside local Outside local Outside global

--- 192.168.34.2 192.168.12.3    ---          ---

注：NAT表中有了转换的条目。

6、配置PAT

sibo2(config)#no ip nat pool sibo 192.168.34.1 192.168.34.2 prefix-length 24

52 sibo2(config)#ip nat pool sibo 192.168.34.1 192.168.34.1 prefix-length 24

sibo2(config)#no ip nat inside source list 1 pool sibo

sibo2(config)#ip nat inside source list 1 pool sibo overload

7、在sibo1用192.168.12.1上ping 192.168.23.3

sibo1#ping 192.168.23.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 68/71/80 ms

Terminal-Server>2

[Resuming connection 2 to sibo2 ... ]

01:01:55: NAT*: s=192.168.12.1->192.168.34.1, d=192.168.23.3 [74]

01:01:55: NAT*: s=192.168.23.3, d=192.168.34.1->192.168.12.1 [74]

省略…

sibo2#sh ip nat tr

Pro Inside global    Inside local    Outside local Outside global

Icmp 192.168.34.1:6 192.168.12.1:6 192.168.23.3:6 192.168.23.3:6

注：由于发送的ping包，所以显示转换的是icmp协议。随机产生端口号6。

sibo2#

01:02:55: NAT: expiring 192.168.34.1 (192.168.12.1) icmp 6 (6)

注：约1分钟的时间释放地址转换的空间。

sibo2# sh ip nat translations----

查找NAT，表中没有任何的转换条目。

sibo2#

8、在sibo1用192.168.12.2上ping 192.168.23.3

sibo1#ping

Protocol [ip]:

Target IP address: 192.168.23.3

Extended commands [n]: y

Source address or interface: 192.168.12.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.23.3, timeout is 2 seconds:

Packet sent with a source address of 192.168.12.2

!!!!!

Terminal-Server>2

[Resuming connection 2 to r5 ... ]

01:03:37: NAT: s=192.168.12.2->192.168.34.1, d=192.168.23.3 [75]

01:03:37: NAT*: s=192.168.23.3, d=192.168.34.1->192.168.12.2 [75]

省略…

sibo2#sh ip nat tr

53 Pro Inside global    Inside local    Outside local    Outside global

icmp 192.168.34.1:7 192.168.12.2:7    192.168.23.3:7    192.168.23.3:7

注：端口号已改为7。

sibo2#

01:04:37: NAT: expiring 192.168.34.1 (192.168.12.2) icmp 7 (7)

实验十六

实验十六实验十六

实验十六交换机的基础配置

交换机的基础配置交换机的基础配置

交换机的基础配置实验要求

实验要求实验要求

实验要求：

：：

：

1.主机名更改为sibo

2.完成交换机IP地址配置，IP地址为202.119.249.250 255.255.255.0, 网关为

202.119.249.2

3.MAC地址绑定,mac地址为0010.7a60.1884

4.配置telnet时用到的用户密码和vty密码。分别为ccna和ccnp。

实验过程

实验过程实验过程

实验过程：

：：

：（以2950交换机为例）

   1.完成交换机重命名

Switch>enable

Switch#configure terminal

Switch(config)#hostname sibo

2.设置TELNET时必要的密码

sibo(config)#enable password ccna

sibo(config)#line vty 0 4

sibo(config-if)#password ccnp

sibo(config-if)#exit

注：设置交换机的特权密码。设置交换机的虚拟登陆时的密码。

3.设置管理VLAN的IP地址

sibo(config)#interface vlan 1

sibo(config-if)#ip address 202.119.249.250 255.255.255.0

sibo(config-if)#no shutdown

sibo(config-if)#exit

sibo(config)#ip default-gateway 202.119.249.2

注：进入接口vlan1。配置管理ip地址。置交换机的网关。

4.完成MAC地址的绑定

sibo(config)#mac-address-table static 0010.7a61.1884 vlan 1 interface fastethernet 0/5

注：将MAC地址加入到地址表中

54 5.

测试实验效果

将PC终端设置ip地址202.119.249.251，然后与交换机的fa0/8相连，并打开“开始”菜单

—“运行”—“cmd”,接着按照下面给出的DOS所显示的信息来验证实验。

telnet登陆后，分别输入vty密码和特权密码。然后show mac-address-table显示mac地址

表。

实验十七

实验十七实验十七

实验十七交换机

交换机交换机

交换机密码恢复

密码恢复密码恢复

密码恢复实验要求

实验要求实验要求

实验要求

      1、掌握交换机的密码恢复原理

      2、区分交换机和路由器密码恢复的不同

实验步骤

实验步骤实验步骤

实验步骤

      1、设置交换机加密并保存配置

      Switch>en

Switch#conf t

Switch(config)#enable password 123

Switch(config)#line console 0

Switch(config-line)#password 123

Switch(config-line)#login

Switch(config-line)#end

注：进入线路中控制台。设置控制台密码。

2．保存配置

Switch#copy running-config startup-config

Destination filename [startup-config]?

Building configuration...

[OK]

Switch#reload 注：保存配置。起交换机。这次软重起，也可以拔掉交换机电源，然后再接上电源。

当交换机重起时

当交换机重起时当交换机重起时

当交换机重起时，

，，

，按住交换机前面板的

按住交换机前面板的按住交换机前面板的

按住交换机前面板的Mode键不放

键不放键不放

键不放，

，，

，显示以下的信息

显示以下的信息显示以下的信息

显示以下的信息。

。。

。

3.修改启动文件名

Base ethernet MAC Address: 00:0c:30:51:56:00

Xmodem file system is ava

The system has been interrupted prior to initializing the

flash filesystem.  The following commands will initialize

the flash filesystem, and finish loading the operating

system software:

55

               flash_init

               load_helper

               boot

switch: flash_init-------------------初始化flash。

Initializing Flash...

省略…

Parameter Block Filesystem (pb

installed, fsid: 4

switch: load_helper

4.查看配置文件

switch: dir flash:-------------显示flash中的文件。

Directory of flash:/

2 -rwx  1193    <date>             config.text

3 –rwx 2958970    <date> c2950-i6q4l2-mz.121-14.EA1a.bin

4 drwx  2304    <date>             html

79 -rwx  5       <date>             private-config.text

2482688 bytes avai (5258752 bytes used)

注：config.text是交换机的启动配置文件，和路由器的startup-config类似。

5.修改配置文件名

switch: rename flash:config.text flash:config.old 注：将启动配置文件改名，这样交换机启动时就读不到config.text了，从而没有了密码。

6.重启交换机

switch: boot--------------引导系统，这时不再按住Mode键了。

Loading

"flash:/c2950-i6q4l2-mz.121-14.EA1a.bin"...####################################

########################################################################

########################################################

省略…

7.修改密码

Switch>en

Switch#show flash

Directory of flash:/

      2  -rwx  1193 Mar 01 1993 00:01:20  config.old

注：启动文件名被修改所以不会被加载。

      3 –rwx 2958970 Mar 01 1993 00:04:42 c2950-i6q4l2-mz.121-14.EA1a.bin

56       4  drwx       2304 Mar 01 1993 00:05:47  html

      79  -rwx 5 Mar 01 1993 00:01:20  private-config.text

Switch#rename flash:config.old flash:config.text

注：将启动的文件名改回到正常的文件名。

Switch#copy flash:config.text running-config

Destination filename [running-config]?

1193 bytes copied in 1.312 secs (909 bytes/sec)

注：将配置文件加载到RAM中。

Switch#conf t

Switch(config)#no enable password-----------删除密码。

Switch(config)#line con 0

Switch(config-line)#no password-------------删除控制台的密码。

Switch(config-line)#no login----------------不要求密码验证。

Switch(config-line)#end

8．保存配置文件

Switch#copy running-config startup-config

Destination filename [startup-config]?

Building configuration...

[OK]

注：将密码删除后的配置文件保存。

Switch#exit

注：退出用户模式，进行验证是否还要求密码验证。或将交换机重新启动检查是否要求

密码验证。

Switch con0 is now availe

Press RETURN to get started.

Switch>en

Switch#

注：很明显没要求密码验证。密码已被删除。

注意

注意注意

注意：

：：

：完成实验后

完成实验后完成实验后

完成实验后，

，，

，请在全局配置模式下使用

请在全局配置模式下使用请在全局配置模式下使用

请在全局配置模式下使用erase star 命令擦除配置文件

命令擦除配置文件命令擦除配置文件

命令擦除配置文件，

爱普信 · 发表于 2014-8-11 16:28:00

顶一下。

		自动登录	找回密码
密码			会员注册

NAT网络地址转换

马上注册成为ROSABC会员，随时发帖回复。

评分