Cisco Packet Tracer NAT模拟实验

by: 铁乐猫

date: 2020-09-22

cisco packet tracer : 7.2.2

NAT简介

NAT允许将私有IP地址映射到公网(合法的Internet IP) 地址,以此来做到多个内网ip共用一个公网ip之类。

NAT使用场景:

  • 需要连接Internet,但是你的主机没有公网IP地址
  • 更换了一个新的ISP, 需要重新组织网络
  • 需要合并两个具有相同网络地址的内网

NAT一般应用在边界路由器中,比如公司连接Internet的路由器上,其最显著的优点是节约合法公网IP地址。

NAT类型:

  • 静态NAT: 一对一映射,每台主机对应一个真实的IP地址。或一个内网网段共同使用一个真实的外网ip。
  • 动态NAT: 从设置好的公有ip的地址池中提供一个公网iP地址给来申请映射的私有IP地址使用。
  • PAT: 通过端口区分内网主机,将多个私网IP地址映射到一个公网IP。

基础拓扑

如图,左半部分蓝色框内的模拟内网环境,右半部分红色框住的模拟为外网环境。

连好线后,开始配置,中间的route0配置如下:

Route0

  • 端口配置
interface GigabitEthernet0/0

 ip address 10.0.0.1 255.255.255.0

 duplex auto

 speed auto

!

interface GigabitEthernet0/1

 ip address 131.107.0.1 255.255.255.0

 duplex auto

 speed auto

!

其中,ip address 配置ip地址例:

Router0(config)# int gig0/0

Router0(config-if)# ip add 10.0.0.1 255.255.255.0

Router0(config-if)# no shutdown
  • 静态路由配置
ip route 0.0.0.0 0.0.0.0 131.107.0.254

Route1

  • 端口配置
interface GigabitEthernet0/0

 ip address 131.107.0.254 255.255.255.0

 duplex auto

 speed auto

!

interface GigabitEthernet0/1

 ip address 202.99.160.1 255.255.255.0

 duplex auto

 speed auto

!
  • 静态路由配置
ip route 131.107.0.0 255.255.255.0 131.107.0.1

ip route 0.0.0.0 0.0.0.0 202.99.160.2

模拟的客户端pc0/pc1/Server0

直接点击打开使用图形界面配置上各自的ip和网关即可。不再详说。

配置静态NAT

模拟静态地址规划一

机器名称 :pc0

私网ip地址: 10.0.0.3

映射公网地址: 131.107.0.3

第一个实验我们先做一对一映射的模拟,简单的就是将pc0访问外网的时候映射出去变为131.107.0.3这个地址。

Router0 配置nat inside和outside

Router0(config)# int gig0/0

Router0(config-if)# ip nat inside

Router0(config)# int gig0/1

Router0(config-if)# ip nat outside

主要是看ip nat inside ip nat outside

inside 可以理解为内网进入端(被转换端),outside理解为公网出口端。

配置nat 一对一映射

Router0(config)# ip nat inside source static 10.0.0.3 131.107.0.3

主要看source来源,static的话就是精准的一对一映射。

  • 验证

开启debug ip nat查看

Router0# debug ip nat

pc0 ping 外网服务器(server0)

C:\>ping 202.99.160.2

Pinging 202.99.160.2 with 32 bytes of data:

Reply from 202.99.160.2: bytes=32 time=1ms TTL=126

Reply from 202.99.160.2: bytes=32 time=7ms TTL=126

Reply from 202.99.160.2: bytes=32 time<1ms TTL=126

Reply from 202.99.160.2: bytes=32 time<1ms TTL=126

Ping statistics for 202.99.160.2:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 0ms, Maximum = 7ms, Average = 2ms

debug中可看到

Router>

NAT: s=10.0.0.3->131.107.0.3, d=202.99.160.2 [47]

NAT: s=10.0.0.3->131.107.0.3, d=202.99.160.2 [48]

NAT: s=10.0.0.3->131.107.0.3, d=202.99.160.2 [49]

NAT: s=10.0.0.3->131.107.0.3, d=202.99.160.2 [50]

NAT*: s=202.99.160.2, d=131.107.0.3->10.0.0.3 [93]

NAT: s=10.0.0.3->131.107.0.3, d=202.99.160.2 [51]

NAT*: s=202.99.160.2, d=131.107.0.3->10.0.0.3 [94]

NAT: s=10.0.0.3->131.107.0.3, d=202.99.160.2 [52]

NAT*: s=202.99.160.2, d=131.107.0.3->10.0.0.3 [95]

NAT: s=10.0.0.3->131.107.0.3, d=202.99.160.2 [53]

NAT*: s=202.99.160.2, d=131.107.0.3->10.0.0.3 [96]

NAT: s=10.0.0.3->131.107.0.3, d=202.99.160.2 [54]

NAT*: s=202.99.160.2, d=131.107.0.3->10.0.0.3 [97]

NAT: expiring 131.107.0.3 (10.0.0.3) icmp 44 (44)

NAT: expiring 131.107.0.3 (10.0.0.3) icmp 45 (45)

NAT: expiring 131.107.0.3 (10.0.0.3) icmp 46 (46)

NAT: expiring 131.107.0.3 (10.0.0.3) icmp 47 (47)

NAT: expiring 131.107.0.3 (10.0.0.3) icmp 48 (48)

NAT: expiring 131.107.0.3 (10.0.0.3) icmp 49 (49)

NAT: expiring 131.107.0.3 (10.0.0.3) icmp 50 (50)

NAT: expiring 131.107.0.3 (10.0.0.3) icmp 51 (51)

配置范围映射(PAT)

一组内网映射到一个公网ip(共用)

首先要先创建一个list

  • access-list 配置

这里配置地址表主要是应用于之后的nat转发中,毕竟很多时候一整个网段映射到同一公网ip才方便。

access-list 7 permit 10.0.0.0 0.0.0.255
  • ip nat inside source list 配置
ip nat inside source list 7 interface GigabitEthernet0/1 overload

list的话就是多个内网ip映射重载,所以后面跟的是接口。最主要的区别是后面跟了个overload。

  • 验证

    用pc1 ping server0

    C:\>ping 202.99.160.2 -n 16

Pinging 202.99.160.2 with 32 bytes of data:

Reply from 202.99.160.2: bytes=32 time<1ms TTL=126
    
Reply from 202.99.160.2: bytes=32 time=1ms TTL=126
    
Reply from 202.99.160.2: bytes=32 time<1ms TTL=126
    
Reply from 202.99.160.2: bytes=32 time<1ms TTL=126
    
Reply from 202.99.160.2: bytes=32 time=1ms TTL=126
    
Reply from 202.99.160.2: bytes=32 time<1ms TTL=126
    
Reply from 202.99.160.2: bytes=32 time<1ms TTL=126
    
Reply from 202.99.160.2: bytes=32 time=1ms TTL=126
    
Reply from 202.99.160.2: bytes=32 time<1ms TTL=126
    
Reply from 202.99.160.2: bytes=32 time<1ms TTL=126
    
Reply from 202.99.160.2: bytes=32 time<1ms TTL=126
    
Reply from 202.99.160.2: bytes=32 time<1ms TTL=126
    
Reply from 202.99.160.2: bytes=32 time<1ms TTL=126
    
Reply from 202.99.160.2: bytes=32 time<1ms TTL=126
    
Reply from 202.99.160.2: bytes=32 time=1ms TTL=126
    
Reply from 202.99.160.2: bytes=32 time<1ms TTL=126

    debug中可以看到由于没有一对一映射成具体的ip,所以直接使用的是出口的ip地址:131.107.0.1

    NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [47]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [98]
    
NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [48]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [99]
    
NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [49]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [100]
    
NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [50]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [101]
    
NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [51]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [102]
    
NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [52]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [103]
    
NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [53]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [104]
    
NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [54]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [105]
    
NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [55]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [106]
    
NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [56]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [107]
    
NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [57]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [108]
    
NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [58]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [109]
    
NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [59]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [110]
    
NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [60]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [111]
    
NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [61]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [112]
    
NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [62]
    
NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [113]
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 47 (47)
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 48 (48)
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 49 (49)
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 50 (50)
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 51 (51)
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 52 (52)
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 53 (53)
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 54 (54)
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 55 (55)
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 56 (56)
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 57 (57)
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 58 (58)
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 59 (59)
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 60 (60)
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 61 (61)
    
NAT: expiring 131.107.0.1 (10.0.0.4) icmp 62 (62)

配置动态NAT

这种类型的Nat可以实现映射一个私有IP地址到注册IP地址池中的一个注册IP地址.但必须保证拥有足够的真实IP,保证每个在因特网中收发包的用户都有真实的IP可用.

比如: 你有3个外网IP,但内网有5台机器,使用动态NAT,只能同时有3台计算机访问Internet.

将上面配置的静态NAT保存为static_nat.pkt,再另存一份为dynamic_nat.pkt

以下实验在dynamicNAT.pkt上修改。

清除之前对route0路由器的静态配置:

Router0(config)#no ip nat inside source static 10.0.0.3 131.107.0.3

Router0(config)#no ip nat inside source list 7 interface GigabitEthernet0/1
  • 动态nat规划
//配置动态NAT

//定义访问控制列表,将网段添加到列表中

access-list 8 permit 10.0.0.0 0.0.0.255

//定义公网地址池,名称定义为tielemao

ip nat pool tielemao 131.107.0.1 131.107.0.3 netmask 255.255.255.0

//将列表list 8 和 公网地址池tielemao 关联

ip nat inside source list 8 pool todd

如下:

Router0(config)#access-list 8 permit 10.0.0.0 0.0.0.255

Router0(config)#ip nat pool tielemao 131.107.0.1 131.107.0.3 netmask 255.255.255.0

Router0(config)#ip nat inside source list 8 pool tielemao

ipnat_add_dynamic_cfg: id 2, flag 5, range 0

poolstart 131.107.0.1 poolend 131.107.0.3

id 2, flags 0, domain 0, lookup 0, aclnum 8 ,

        aclname 8 , mapname idb 0
  • 验证

同时用pc0 和pc1 ping server0, debug信息中可以看到分别自动从池中拿取了131.107.0.1和131.107.0.2

NAT: s=10.0.0.3->131.107.0.2, d=202.99.160.2 [57]

NAT*: s=202.99.160.2, d=131.107.0.2->10.0.0.3 [136]

NAT: s=10.0.0.4->131.107.0.1, d=202.99.160.2 [83]

NAT*: s=202.99.160.2, d=131.107.0.1->10.0.0.4 [137]

....

NAT: expiring 131.107.0.1 (10.0.0.4) icmp 90 (90)

NAT: expiring 131.107.0.2 (10.0.0.3) icmp 62 (62)

配置PAT

简单来说就是类似将内网的服务通过端口映射出公网给外面的也能访问。

保存dynamic_nat.pkt后,另存一份pat_nat.pkt, 在pat_nat.pkt进行修改,

另外增加三台server机器做为模拟. 拓扑如下:

server1: 10.0.0.5 提供80端口web服务

server2: 10.0.0.6 8080 web

server3: 10.0.0.7 443 https

清除之前的nat配置

Router0(config)#no ip nat inside source list 8 pool tielemao

Router0(config)#no access-list 7 permit 10.0.0.0 0.0.0.255

启用PAT,命令和之前的动态NAT命令极其相似, 规划如下:

access-list 8 permit 10.0.0.0 0.0.0.255 # list可以不变

ip nat pool tielemao 131.107.0.1 131.107.0.3 netmask 255.255.255.0 # 仍然是有个pool池

//注意区别在后面加了个overload,即启用PAT

ip nat inside source list 8 pool tielemao overload

配置如下,因list和pool都是在之前就有创建,所以其实就只敲一条命令就成了:

Router0(config)#ip nat inside source list 8 pool tielemao overload

ipnat_add_dynamic_cfg: id 3, flag 5, range 0

poolstart 131.107.0.1 poolend 131.107.0.3

id 3, flags 0, domain 0, lookup 0, aclnum 8 ,

        aclname 8 , mapname idb 0

server1-3分别ping server0,可以ping通。

端口映射,要想让内网的服务器供外网访问,还需要做端口映射:

//端口映射,将我们拥有的三个公网ip的80端口分别映射给三台服务器

ip nat inside source static tcp 10.0.0.5 80 131.107.0.3 80

ip nat inside source static tcp 10.0.0.6 443 131.107.0.2 443

ip nat inside source static tcp 10.0.0.7 80 131.107.0.1 8080

实际配置如下:

Router0(config)#ip nat inside source static tcp 10.0.0.5 80 131.107.0.3 80


Router0(config)#ip nat inside source static tcp 10.0.0.6 443 131.107.0.2 443


Router0(config)#ip nat inside source static tcp 10.0.0.7 80 131.107.0.1 8080

验证,这次使用外网server0来访问内网的三台server

选择Desktop中的Web Browser模拟浏览器访问,如图:

为了便于区别,可以分别在server1,2,3的Services上编辑一下hello world, 将相应的名字添加进去。

如图,记得修改完成后点击save:

server1 80

server2 443

server3 8080

需要注意的是: 内网地址访问外网地址时,PAT对外地址地址只有一个,

尽管这里是用了3个外网地址做PAT,但其实所有机器访问外网,路由器只会用一个外网地址,剩下两个没有用到.

但是,做端口映射的时候,是可以用到剩下的两个IP的!

也就是,外网访问内网服务器时才会用到做过端口映射的IP.

所以,一般做PAT地址转换,一组机器只用一个公网IP.

实验至此,完美完成预期,也加深了对nat的理解。

end

Cisco Packet Tracer NAT模拟实验的更多相关文章

  1. IP组网实验(使用Cisco Packet Tracer路由器模拟软件)

    最近计网课讲到了以太网,第二个计网实验就是IP组网实验.这个实验主要使用了netsim这个路由器模拟软件.怎奈mac上没有,于是用Cisco Packet Tracer进行了一次模拟(其实就是实验中的 ...

  2. Cisco Packet Tracer 6.0 实验笔记

    开篇:组建小型局域网 实验任务 1.利用一台型号为2960的交换机将2pc机互连组建一个小型局域网: 2.分别设置pc机的ip地址: 3.验证pc机间可以互通. 实验设备 Switch_2960 1台 ...

  3. IPSecVPN介绍 & (Cisco Packet Tracer)IPSecVPN实验演示

    一.基础知识 VPN(Virtual Private Network)虚拟专有网络,即虚拟专网.VPN可以实现在不安全的网络上,安全的传输数据,好像专网!VPN只是一个技术,使用PKI技术,来保证数据 ...

  4. 对比网络模拟器软件——Cisco Packet Tracer、华为eNSP、H3C Cloud Lab

    1.软件介绍 1.1 Cisco Packet Tracer Cisco Packet Tracer(以下简称PT)是一款由思科公司开发的,为网络课程的初学者提供辅助教学的实验模拟器.使用者可以在该模 ...

  5. Linux中安装Cisco Packet Tracer

    Cisco Packet tracer是什么? Cisco Packet Tracer是一个强大的网络模拟工具,用于进行Cisco认证时的培训.它为我们 提供了各个路由器和网络设备的良好的接口视图,这 ...

  6. Cisco Packet Tracer中通过集线器组网

    Cisco Packet Tracer中可以通过集线器将多台电脑完成通信. Cisco Packet Tracer 6.2.0 一.添加三台电脑设备 1.按照下图1.2步骤操作,2步骤执行三次,拖拽P ...

  7. Cisco Packet Tracer中两台电脑通信设置

    Cisco Packet Tracer是网络初学者仿真模拟网络环境的必备工具.今天我们来模拟下两台电脑之间的通信. Cisco Packet Tracer版本6.2.0 一.添加设备 1.这里添加一个 ...

  8. Cisco学习记录(一):Cisco Packet Tracer官网下载方法

    通过Cisco Packet Tracer学习计算机网络知识 本人大三狗一枚,一直以来都在学java, python, web开发的我,经过一番决定,毅然决然要开始深入学习计算机网络!通过Cisco ...

  9. Cisco Packet Tracer的使用(一)

    Cisco Packet Tracer 是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计.配置.排除网络故障提供了网络模拟环境.用户可以在软件的图形用户界面上直接使用拖曳方法 ...

随机推荐

  1. Guitar Pro吉他指弹入门——美式指弹

    说起指弹吉他,很多身边的琴友首先反应到的是押尾桑,岸部真明,伍伍慧等等指弹艺术家的日式指弹.笔者在初涉指弹的时候,也是如此,但是随着学习的加深,首先认识到了汤米大神(Tommy Emmanuel),然 ...

  2. request封装

    request封装 import requests class RequestsHandler: def __init__(self): self.session = requests.Session ...

  3. windows安装redis扩展

    Thread Safety enabled 打开phpinfo() 看php版本是ts还是nts,  如上是ts版本的,所以需要安装redis的ts版本, redis的扩展下载地址 https://p ...

  4. 一套标准的ASP.NET Core容器化应用日志收集分析方案

    讲故事 关注我公众号的朋友,应该知道我写了一些云原生应用收集和分析相关的文章,其中内容大多聚焦某个具体的组件: 超级有用的TraceId,快点用起来吧! 如何利用NLog输出结构化日志,并在Kiban ...

  5. 【对不起】我并不是真的会用spring

    19年12月4日,为了测试另外一个部门的服务在注册到这边zk后能否拿到dubbo代理,在controller草草写了一个http服务请求之,发现所有的dubbo接口都没有被注入代理,排查许久之后,发现 ...

  6. 用Python爬取英雄联盟(lol)全部皮肤

    小三:"怎么了小二?一副无精打采的样子!" 小二:"唉!别提了,还不是最近又接触了一个叫英雄联盟的游戏,游戏中很多皮肤都需要花钱买,但是我钱不够呀..." 小三 ...

  7. HBase中Memstore存在的意义以及多列族引起的问题和设计

    Memstore存在的意义 HBase在WAL机制开启的情况下,不考虑块缓存,数据日志会先写入HLog,然后进入Memstore,最后持久化到HFile中.HFile是存储在hdfs上的,WAL预写日 ...

  8. [整理]qbxt集训10场考试 大 杂 烩 (前篇)

    Contest 1 A 计算 \(n!\mod 2^{32}\) .发现数一大答案就为 \(0\) ,直接输出即可. B 一个 \(n\times m\) 的网格,网格中的数都在 \([1,nm]\) ...

  9. rest-framework 响应器(渲染器)

    一 作用: 根据 用户请求URL 或 用户可接受的类型,筛选出合适的 渲染组件. 用户请求URL:    http://127.0.0.1:8000/test/?format=json    http ...

  10. 自动化运维工具之Puppet变量、正则表达式、流程控制、类和模板

    前文我们了解了puppet的file.exec.cron.notify这四种核心资源类型的使用以及资源见定义通知/订阅关系,回顾请参考https://www.cnblogs.com/qiuhom-18 ...