實驗 4.4.3.3 設定和驗證靜態 NAT 裝置 主機名稱 FastEthernet 0/0 / 子網路遮罩 介面類型 Serial 0/0/0/ IP 位址 Loopback 0 位址 啟用加密密碼 Router 1 Gateway 10.10.10.1/24 DTE 209.165.201.33/30 cisco class Router 2 ISP N/A DCE 209.165.201.34/30 172.16.1.1/32 cisco class Switch 1 Switch1 cisco class 啟用 vty 和主控台密碼 目標 設定路由器, 以便使用網路位址轉換 (NAT) 來將內部 IP 位址 ( 一般是私有位址 ) 轉換為外部公用位址 驗證連通性 驗證 NAT 統計資訊 所有內容版權所有 1992 2007 Cisco Systems, Inc. 保留所有權利 本文件為 Cisco 公開資訊 第 1 頁 ( 共 5 頁 )
背景 / 準備工作 ISP 為一家公司指定了公用無級別領域間路由 (CIDR) IP 位址 209.165.200.224/27 因此該公司從中獲得了 30 個公用 IP 位址 由於該公司內部需要的位址不止 30 個, 因此 IT 經理決定採用 NAT 技術 位址 209.165.200.225 到 209.165.200.241 將用於靜態指定, 而位址 209.165.200.242 到 209.165.200.254 則用於動態指定 路由在 ISP 和公司的閘道路由器之間完成 ISP 將設定一條指向閘道路由器的靜態路由, 而閘道路由器與 ISP 伺服器之間將使用一條預設路由 接入網際網路的 ISP 連線用 ISP 路由器上的迴路位址表示 本實驗的主要內容是使用 Cisco IOS 命令為 Cisco 1800 路由器或與之相當的路由器執行基本設定 本實驗中的資訊同樣適用於其他路由器, 但命令語法可能會有所差異 根據路由器的具體型號, 介面也可能有所不同 例如, 在某些路由器上,Serial 0 可能是 Serial 0/0 或 Serial 0/0/0, 而 Ethernet 0 則可能是 FastEthernet 0/0 Cisco Catalyst 2960 交換器出廠時已執行預先設定, 只需設定基本安全資訊即可接入網路 本實驗需要以下資源 : 一台 Cisco 2960 交換器或其他同類交換器 具有序列連接的兩台路由器, 其中一台的一個乙太網路介面將連接到交換器 兩台使用 Windows 系統的電腦, 其中一台需安裝有終端機模擬程式 至少一條 RJ-45 轉 DB-9 連接器主控台纜線, 用於設定路由器和交換器 三條直通乙太網路纜線, 用於將路由器連接到交換器 1, 以及將兩台主機連接到該交換器 一條序列纜線, 用於將路由器 1 連接到路由器 2 注意 : 請確保已清除路由器和交換器的啟動設定 有關如何清除交換器和路由器設定的說明, 請參閱 Academy Connection 中 Tools( 工具 ) 部份的 Lab Manual( 實驗手冊 ) 注意 : 對於啟用了 SDM 的路由器 - 如果在此類路由器中清除了啟動設定, 那麼在重新啟動路由器後 SDM 不會預設啟動 必須使用 IOS 命令來建立基本路由器設定 本實驗包含的步驟使用 IOS 命令, 不需要使用 SDM 如果要使用 SDM, 請參閱 Academy Connection 中 Tools( 工具 ) 部份的 Lab Manual( 實驗手冊 ), 必要時也可以諮詢您的教師 步驟 1: 連接設備 a. 使用序列纜線將路由器 1 的 Serial 0/0/0 介面連接到路由器 2 的 Serial 0/0/0 介面 b. 使用直通纜線將路由器 1 的 Fa0/0 介面連接到交換器 1 的 Fa0/1 介面 c. 將主控台纜線連接到 PC 上, 以便稍後設定路由器和交換器 d. 使用直通纜線將兩台主機分別連接到交換器上的 Fa0/2 和 Fa0/3 步驟 2: 對路由器 2 執行基本設定 a. 將 PC 連接到路由器 2 的主控台連接埠, 透過終端機模擬程式執行設定 b. 根據所提供的圖表, 為路由器 2 設定主機名稱 介面 主控台 Telnet 以及特權密碼 儲存設定 步驟 3: 設定閘道路由器 根據所提供的圖表, 為作為閘道路由器的路由器 1 設定主機名稱 介面 主控台 Telnet 以及特權密碼 儲存設定 所有內容版權所有 1992 2007 Cisco Systems, Inc. 保留所有權利 本文件為 Cisco 公開資訊 第 2 頁 ( 共 5 頁 )
步驟 4: 設定交換器 1 根據所提供的圖表, 為交換器 1 設定主機名稱 主控台 Telnet 以及特權密碼 步驟 5: 使用正確的 IP 位址 子網路遮罩和預設閘道設定主機 a. 使用正確的 IP 位址 子網路遮罩和預設閘道設定每台主機 HOST 1 的位址應該是 10.10.10.2/24, HOST 2 的位址應該是 10.10.10.3/24 預設閘道應該是 10.10.10.1 b. 每台主機都應該能夠 ping 通所連接的路由器 如果 ping 不成功, 請排除故障 檢查設定, 確保為每台主機指定的 IP 位址和預設閘道正確無誤 步驟 6: 確保網路運作正常 從預設閘道路由器連接的主機上,ping 該路由器的 FastEthernet 介面 從 HOST 1 發出的 ping 是否成功? 從 HOST 2 發出的 ping 是否成功? 如果上述任意一個問題的答案為否, 則檢查路由器和主機的設定並修正錯誤 再次執行 ping, 直到兩台機器都能 ping 通為止 步驟 7: 建立靜態路由 建立一條從 ISP 到閘道路由器的靜態路由 該公司獲得的網際網路公用位址是 209.165.200.224/27 使用 ip route 命令來建立靜態路由 ISP(config)#ip route 209.165.200.224 255.255.255.224 209.165.201.33 該靜態路由是否出現在路由表中? 哪條命令可以檢查路由表的內容? 如果該路由沒有出現在路由表中, 請舉出一條可導致該情況的原因 步驟 8: 建立預設路由 a. 在閘道路由器與 ISP 路由器之間, 使用 ip route 命令建立一條指向網路 0.0.0.0 0.0.0.0 的靜態路由 該路由將作為閘道路由器上的 最後選用閘道, 將所有目的地未知的流量轉送到 ISP Gateway(config)#ip route 0.0.0.0 0.0.0.0 209.165.201.34 該靜態路由是否出現在路由表中? b. 嘗試從其中一個工作站 ping ISP 的序列介面 IP 位址 步驟 9: 定義可用的公用 IP 位址儲存區 使用 ip nat pool 命令來定義公用位址儲存區 Gateway(config)#ip nat pool public_access 209.165.200.242 209.165.200.253 netmask 255.255.255.224 所有內容版權所有 1992 2007 Cisco Systems, Inc. 保留所有權利 本文件為 Cisco 公開資訊 第 3 頁 ( 共 5 頁 )
步驟 10: 定義符合內部私有 IP 位址的存取清單 使用 access-list 命令定義與內部私有位址相符的存取清單 Gateway(config)#access-list 1 permit 10.10.10.0 0.0.0.255 步驟 11: 定義從內部清單到外部位址儲存區的 NAT 轉換 使用 ip nat inside source 命令定義 NAT 轉換 Gateway(config)#ip nat inside source list 1 pool public_access 步驟 12: 指定介面 為了使用 NAT, 需要將路由器上的使用中介面指定為內部介面或外部介面 為此, 請使用 ip nat inside 或 ip nat outside 命令來指定 Gateway(config)#interface fastethernet 0/0 Gateway(config-if)#ip nat inside Gateway(config-if)#interface serial 0/0/0 Gateway(config-if)#ip nat outside 步驟 13: 設定靜態對應 a. HOST 1 (10.10.10.2/24) 將被指定為公共 WWW 伺服器 因此, 需要為其指定永久性的公用 IP 位址對應 這將透過靜態 NAT 對應來實現 b. 在特權執行模式的提示字元下, 使用 ip nat inside source static 命令來設定靜態 IP NAT 對應 Gateway(config)#ip nat inside source static 10.10.10.2 209.165.200.224 此命令會將 209.165.200.224 永久對應到內部位址 10.10.10.2 c. 檢視轉換表 : Gateway#show ip nat translations 步驟 14: 測試設定 該對應是否出現在 show 命令的輸出中? a. 在 10.10.10.2 工作站上 ping 172.16.1.1 b. 在 ISP 路由器上, 鍵入 ping 10.10.10.2 命令來 ping 具有靜態 NAT 轉換的主機 c. 在 ISP 路由器上 ping 209.165.200.224 如果成功, 則使用 show ip nat translations 命令檢視閘道路由器上的 NAT 轉換 該內部本地主機位址對應的轉換是怎樣的? = 所有內容版權所有 1992 2007 Cisco Systems, Inc. 保留所有權利 本文件為 Cisco 公開資訊 第 4 頁 ( 共 5 頁 )
步驟 15: 驗證 NAT 統計資訊要檢視 NAT 統計資訊, 請在特權執行模式的提示字元下鍵入 show ip nat statistics 命令 發生了多少次使用中轉換? 儲存區中有多少個位址? 到目前為止已指定了多少個位址? 步驟 16: 思考為什麼要在網路中使用 NAT? 所有內容版權所有 1992 2007 Cisco Systems, Inc. 保留所有權利 本文件為 Cisco 公開資訊 第 5 頁 ( 共 5 頁 )