项目5NAT、PPP及ACL配置与管理课件.ppt

项目项目 5学习目标学习目标NAT、PPP 及及 ACL 配置与管配置与管理理（1）掌握路由器的标准访问列表的配置）掌握路由器的标准访问列表的配置（2）掌握路由器的扩展访问列表的配置）掌握路由器的扩展访问列表的配置（3）掌握路由器的）掌握路由器的 NAT 配置配置（4）掌握路由器的）掌握路由器的 PPP 认证配置认证配置5.1 任务任务 1 访问控制列表的配置访问控制列表的配置5.1.1 任务分析任务分析网络应用与互联网的普及在大幅提高企业的生产网络应用与互联网的普及在大幅提高企业的生产经营效率的同时，也带来了诸如数据的安全性，员工经营效率的同时，也带来了诸如数据的安全性，员工利用互联网做与工作不相干事等负面影响。如何将一利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来，尽可能的降低网络所带来的个网络有效的管理起来，尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课负面影响就成了摆在网络管理员面前的一个重要课题。还有就是数据流量的控制都离不开题。还有就是数据流量的控制都离不开 ACL 访问控访问控制列表，如：只允许端口下的用户只能访问特定的服制列表，如：只允许端口下的用户只能访问特定的服务器网段，只允许用户访问单个网页服务器，禁止务器网段，只允许用户访问单个网页服务器，禁止VLAN 之间的互相访问，对于两台计算机主机之间实之间的互相访问，对于两台计算机主机之间实现单向访问控制等。还有就是现在电信，联通实现的现单向访问控制等。还有就是现在电信，联通实现的80 端口用户出口关闭，这些都需要在路由器上实施端口用户出口关闭，这些都需要在路由器上实施ACL，因此，我们本任务将介绍，因此，我们本任务将介绍 ACL 的访问控制列的访问控制列表，介绍表，介绍 ACL 的基本配置和扩展配置。的基本配置和扩展配置。5.1.2 相关知识相关知识1、访问列表简介、访问列表简介ACL 通常被看作是一种过滤工具，过滤进入或离通常被看作是一种过滤工具，过滤进入或离开路由器的流量。开路由器的流量。ACL 支持下列所有类型的操作：支持下列所有类型的操作：2、ACL 和过滤和过滤当当 ACL 用作过滤流量时，通常称为过滤器用作过滤流量时，通常称为过滤器（FILTER）。基于在路由器上定义的条件（规则），）。基于在路由器上定义的条件（规则），可以应用道这些流量的决定包括允许或者丢弃流量。可以应用道这些流量的决定包括允许或者丢弃流量。条件可以在数据包的内容中查找匹配信息，包括：条件可以在数据包的内容中查找匹配信息，包括：3、ACL 类型类型ACL 类型有如下几种：类型有如下几种：4、处理、处理 ACLACL 语句有两个组件：一个是条件，一个是操作。语句有两个组件：一个是条件，一个是操作。条件用于匹配数据包内容。当为条件找到匹配时，则条件用于匹配数据包内容。当为条件找到匹配时，则会采取一个操作：允许或者拒绝数据包。会采取一个操作：允许或者拒绝数据包。6、标准访问控制列表格式、标准访问控制列表格式访问控制列表访问控制列表 ACL 分很多种，不同场合应用不同种类分很多种，不同场合应用不同种类的的 ACL。其中最简单的就是标准访问控制列表，他是。其中最简单的就是标准访问控制列表，他是通过使用通过使用 IP 包中的源包中的源 IP 地址进行过滤，使用的访问地址进行过滤，使用的访问控制列表号控制列表号 1 到到 99 来创建相应的来创建相应的 ACL。标准访问控制列表是最简单的标准访问控制列表是最简单的 ACL。它的具体格式如下：它的具体格式如下：access-list ACL 号号permit|deny host ip 地址地址例如：例如：access-list 10 deny host192.168.1.1 这句命令是将所有来自这句命令是将所有来自 192.168.1.1 地地址的数据包丢弃。址的数据包丢弃。当然我们也可以用网段来表示，对某个网段当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：进行过滤。命令如下：access-list 10 deny通过上面的配置将来自通过上面的配置将来自 的所的所有计算机数据包进行过滤丢弃。为什么后头的子网掩有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是码表示的是 0.0.0.255 呢？这是因为呢？这是因为 CISCO 规定在规定在ACL 中用反向掩玛表示子网掩码，反向掩码为中用反向掩玛表示子网掩码，反向掩码为0.0.0.255 的代表他的子网掩码为的代表他的子网掩码为 。注意：对于标准访问控制列表来说，默认的注意：对于标准访问控制列表来说，默认的命令是命令是 HOST，也就是说，也就是说 access-list 10 deny192.168.1.1 表示的是拒绝表示的是拒绝 192.168.1.1 这台主机数这台主机数据包通讯，可以省去我们输入据包通讯，可以省去我们输入 host 命令。命令。7、标准访问控制列表实例、标准访问控制列表实例实例实例 1：网络环境介绍：网络环境介绍：图图 5-1 简单简单 ACL 的拓扑图的拓扑图我们采用如图我们采用如图 5-1 所示的网络结构。路由器连接了所示的网络结构。路由器连接了二个网段，分别为二个网段，分别为 ，。，。在在 网段中有一台服务器提供网段中有一台服务器提供 WWW 服服务，务，IP 地址为地址为 。实例实例 1：禁止：禁止 网段中除网段中除 这台计算机访问这台计算机访问 的计算机。的计算机。172.16.4.13 可以正常访问可以正常访问 。实例实例 2：配置任务：禁止配置任务：禁止 172.16.4.13 这个计算机对这个计算机对网段的访问，而网段的访问，而 中的中的其他计算机可以正常访问。我们还是以图其他计算机可以正常访问。我们还是以图 5-23 所示所示为例。为例。路由器配置命令：路由器配置命令：access-list 1 deny host数据包通过数据包通过access-list 1 permit any容许其他地址的计算机进行通讯容许其他地址的计算机进行通讯int e 1进入进入 E1 端口端口将将 ACL1 宣告，宣告，ip access-group 1 in来完成宣告。来完成宣告。配置完毕后除了配置完毕后除了 172.16.4.13 其他其他 IP 地址都地址都可以通过路由器正常通讯，传输数据包。可以通过路由器正常通讯，传输数据包。说明：标准说明：标准 ACL 占用路由器资源很少，是一占用路由器资源很少，是一种最基本最简单的访问控制列表格式。应用比较广种最基本最简单的访问控制列表格式。应用比较广泛，经常在要求控制级别较低的情况下使用。如果要泛，经常在要求控制级别较低的情况下使用。如果要更加复杂的控制数据包的传输就需要使用扩展访问更加复杂的控制数据包的传输就需要使用扩展访问控制列表了，他可以满足我们到端口级的要求。控制列表了，他可以满足我们到端口级的要求。8、扩展访问控制列表的格式、扩展访问控制列表的格式前面我们提到了标准访问控制列表，它是基于前面我们提到了标准访问控制列表，它是基于IP 地址进行过滤的，是最简单的地址进行过滤的，是最简单的 ACL。那么如果我们。那么如果我们希望将过滤细到端口怎么办呢？或者希望对数据包希望将过滤细到端口怎么办呢？或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控的目的地址进行过滤。这时候就需要使用扩展访问控设置设置 ACL，设置设置 ACL，禁止，禁止 172.16.4.13 的的同理可以进入同理可以进入 E0 端口后使用端口后使用 ip access-group 1 out制列表了。使用扩展制列表了。使用扩展 IP 访问列表可以有效的容许用访问列表可以有效的容许用户访问物理户访问物理 LAN 而并不容许他使用某个特定服务（例而并不容许他使用某个特定服务（例如如 WWW，FTP 等）。扩展访问控制列表使用的等）。扩展访问控制列表使用的 ACL 号号为为 100 到到 199。9、扩展访问控制列表实例、扩展访问控制列表实例网络环境介绍：网络环境介绍：我们任然采用如图我们任然采用如图 5-2 所示的网络结构。路所示的网络结构。路由器连接了二个网段，分别为由器连接了二个网段，分别为。在。在 网段中有一台服务器提供网段中有一台服务器提供 WWW 服务，服务，IP 地址地址为为。配置任务：禁止配置任务：禁止 172.16.3.0 的计算机访问的计算机访问172.16.4.0 的计算机，包括那台服务器，不过惟独可的计算机，包括那台服务器，不过惟独可以访问以访问 172.16.4.13 上的上的 WWW 服务，而其他服务不能服务，而其他服务不能访问。访问。路由器配置命令：路由器配置命令：access-list 101 permit tcp any172.16.4.13 0.0.0.0 eq www设置设置 ACL101，容许源地址为任意容许源地址为任意 IP，目的地址为，目的地址为 172.16.4.13 主机主机的的 80 端口即端口即 WWW 服务。由于服务。由于 CISCO 默认添加默认添加 DENY ANY的命令，所以的命令，所以 ACL 只写此一句即可。只写此一句即可。int e 0进入进入 E1 端口端口ip access-group 101 out宣告出去宣告出去将将 ACL101设置完毕后设置完毕后 172.16.3.0 的计算机就无法访问的计算机就无法访问172.16.4.0 的计算机了，就算是服务器的计算机了，就算是服务器 开启了开启了 FTP 服务也无法访问，惟独可以访问的就是服务也无法访问，惟独可以访问的就是172.16.4.13 的的 WWW 服务了。服务了。 172.16.4.0 的计算机而的计算机而访问访问 172.16.3.0 的计算机没有任何问题。的计算机没有任何问题。10、基于名称的访问控制列表、基于名称的访问控制列表不管是标准访问控制列表还是扩展访问不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好控制列表都有一个弊端，那就是当设置好 ACL 的规则的规则后发现其中的某条有问题，希望进行修改或删除的话后发现其中的某条有问题，希望进行修改或删除的话只能将全部只能将全部 ACL 信息都删除。也就是说修改一条或删信息都删除。也就是说修改一条或删除一条都会影响到整个除一条都会影响到整个 ACL 列表。这一个缺点影响了列表。这一个缺点影响了我们的工作，为我们带来了繁重的负担。不过我们可我们的工作，为我们带来了繁重的负担。不过我们可以用基于名称的访问控制列表来解决这个问题。以用基于名称的访问控制列表来解决这个问题。（1）、基于名称的访问控制列表的格式：）、基于名称的访问控制列表的格式：ip access-list standard|extended ACL名称名称（2）、基于名称的访问控制列表的使用方法：）、基于名称的访问控制列表的使用方法：当我们建立了一个基于名称的访问列表后就当我们建立了一个基于名称的访问列表后就可以进入到这个可以进入到这个 ACL 中进行配置了。中进行配置了。例如我们添加三条例如我们添加三条 ACL 规则规则配置命令如图配置命令如图 5-2 所示。所示。如果我们发现第二条命令应该是如果我们发现第二条命令应该是 2.2.2.1 而而不是不是 ，如果使用不是基于名称的访问控制列，如果使用不是基于名称的访问控制列表的话，使用表的话，使用 no permit 2.2.2.2 0.0.0.0 后整个后整个 ACL信息都会被删除掉。正是因为使用了基于名称的访问信息都会被删除掉。正是因为使用了基于名称的访问控制列表，我们使用控制列表，我们使用 no permit 2.2.2.2 0.0.0.0 后后第一条和第三条指令依然存在。第一条和第三条指令依然存在。说明：如果设置说明：如果设置 ACL 的规则比较多的话，的规则比较多的话，应该使用基于名称的访问控制列表进行管理，这样可应该使用基于名称的访问控制列表进行管理，这样可以减轻很多后期维护的工作，方便我们随时进行调整以减轻很多后期维护的工作，方便我们随时进行调整ACL 规则。规则。5.1.3 任务实施任务实施1、实验拓扑图、实验拓扑图实验拓扑如图实验拓扑如图 5-3 所示。所示。图图 5-3 实验拓扑实验拓扑2、实验要求、实验要求标准访问控制列表：标准访问控制列表：只允许网段只允许网段 1 和网段和网段 2 之间互相访问之间互相访问扩展访问控制列表：扩展访问控制列表：只允许网段只允许网段 1(10.10.1.0/24)访问访问 R2 路由器内部的路由器内部的WWW 服务和服务和 PING 服务，拒绝访问该服务器上的其他服务，拒绝访问该服务器上的其他服服务；务；只允许网段只允许网段 2(10.10.2.0/24)访问访问 R3 路由器内部的路由器内部的TFTP 服务和服务和 PING 服务，拒绝访问该服务器上的其他服务，拒绝访问该服务器上的其他服务。服务。做访问控制列表实验之前我已经在各个路由器上配做访问控制列表实验之前我已经在各个路由器上配置了动态路由协议，使整个网置了动态路由协议，使整个网络拓扑是连通的。所以，大家在做访问控制列表实验络拓扑是连通的。所以，大家在做访问控制列表实验之前，先配置好路由之前，先配置好路由(动态动态/静态静态)，网络运行正常后再配置访问控制列表，网络运行正常后再配置访问控制列表3、访问控制列表的配置、访问控制列表的配置（1）标准访问控制列表配置：）标准访问控制列表配置：只允许网段只允许网段 1 和网段和网段 2 之间互相访问之间互相访问R1 配置：配置：R1#conf tR1(config)#access-list 1 permit anyR1(config)#int f0/0R1(config-if)#ip access-group 1 out测试：测试：在在 PC1 上上 ping PC2(10.10.2.1)Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.10.2.1,timeout is 2 seconds:!Success rate is 100 percent (5/5), round-tripmin/avg/max = 108/227/312ms测试结果为可以访问测试结果为可以访问在在 PC1 上上 PING R2 路由器的内部网络路由器的内部网络(172.16.1.1)Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.1.1,timeout is 2 seconds:Success rate is 0 percent (0/5)测试结果是不能访问测试结果是不能访问在在 PC2 上上 PING PC1(10.10.1.1)Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.10.1.1,timeout is 2 seconds:!Success rate is 100 percent (5/5), round-tripmin/avg/max = 72/176/216ms测试结果为可以访问测试结果为可以访问在在 PC2 上上 PING R3 路由器的内部网络路由器的内部网络(172.16.5.1)Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.5.1,timeout is 2 seconds:Success rate is 0 percent (0/5)测试结果为不能访问测试结果为不能访问（2）扩展访问控制列表配置：）扩展访问控制列表配置：只允许网段只允许网段 1(10.10.1.0/24)访问访问 R2 路由器内部的路由器内部的WWW 服务和服务和 PING 服务，拒绝访问该服务器上的其他服务，拒绝访问该服务器上的其他服服务；务；只允许网段只允许网段 2(10.10.2.0/24)访问访问 R3 路由器内部的路由器内部的TFTP 服务和服务和 PING 服务，拒绝访问该服务器上的其他服务，拒绝访问该服务器上的其他服务。服务。因为先前我们已经配置了一个标准访问控制列表，为因为先前我们已经配置了一个标准访问控制列表，为了不影响下一步的实验，现在我们先将其删除了不影响下一步的实验，现在我们先将其删除R1#show access-listsStandard IP access list 110 deny20 deny10.10.1.0, wildcard bits10.10.2.0, wildcard bits0.0.0.255 (8 matches)0.0.0.255 (16 matches)30 permit anyR1#conf tR1(config)#int f0/0R1(config-if)#no ip access-group 1 outR1(config-if)#exitR1(config)#no access-list 1R1(config)#endR1#show access-listsR1#好了，现在我们开始配置扩展的访问控制列表了，根好了，现在我们开始配置扩展的访问控制列表了，根据上面的要求来做。据上面的要求来做。R1 配置：配置：R1#conf t0.0.0.255 host172.16.1.1 eq80R1(config)#access-list 101 permit icmp10.10.1.0 0.0.0.255 host0.0.0.255 host172.16.5.1 eq 69R1(config)#access-list 101 permit icmp10.10.2.0 0.0.0.255 host172.16.5.1 echoR1(config)#access-list 101 permit icmp10.10.2.0 0.0.0.255 host172.16.5.1 echo-replyR1(config)#int f0/0R1(config-if)#ip access-group 101 outR1(config-if)#endR1#show access-listsExtended IP access list 10110 permit tcp 10.10.1.0 0.0.0.255 host172.16.1.1 eq www20 permit icmp 10.10.1.0 0.0.0.255 host30 permit udp 10.10.2.0 0.0.0.255 host172.16.5.1 eq tftp40 permit icmp 10.10.2.0 0.0.0.255 host172.16.5.1 echo50 permit icmp 10.10.2.0 0.0.0.255 host172.16.5.1 echo-reply测试：测试：PC1:在在 PC1 上上 PING R2 路由器内部网段的路由器内部网段的 WEB 服务服务器器(172.16.1.1)Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.1.1,timeout is 2 seconds:!Success rate is 100 percent (5/5), round-tripmin/avg/max = 148/268/420ms测试结果为可以测试结果为可以 PING在在 PC1 上上 PING R3 路由器内部网段的路由器内部网段的 TFTP 服务服务器器(172.16.5.1)Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.5.1,timeout is 2 seconds:Success rate is 0 percent (0/5)测试结果为不可以测试结果为不可以 PINGPC2：在在 PC2 上上 PING R2 路由器内部网段的路由器内部网段的 WEB 服务服务器器(172.16.1.1)Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.1.1,timeout is 2 seconds:Success rate is 0 percent (0/5)测试结果为不可以测试结果为不可以 PING在在 PC2 上上 PING R3 路由器内部网段的路由器内部网段的 TFTP 服务服务器器(172.16.5.1)Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.5.1,timeout is 2 seconds:!Success rate is 100 percent (5/5), round-tripmin/avg/max = 288/317/384ms测试结果为可以测试结果为可以 PING5.1.4 任务总结与回顾任务总结与回顾本任务我们介绍了访问列表的相关知识，重点介绍本任务我们介绍了访问列表的相关知识，重点介绍了基本和扩展的访问列表，并给出了配置实例，读者了基本和扩展的访问列表，并给出了配置实例，读者需要上机操作，同时，还需要多练习相关的需要上机操作，同时，还需要多练习相关的 ACL 控控制实例，才能掌握。制实例，才能掌握。5.1.5 习题习题1.ACL 的种类的种类2.ACL 的规则有哪些？的规则有哪些？3.基本基本 ACL 的配置命令有哪些？的配置命令有哪些？4.扩展扩展 ACL 的配置命令有哪些？的配置命令有哪些？5.上机操作：上机操作：ACL 的配置实例。的配置实例。5.2 任务任务 2NAT NPAT 的配置的配置5.2.1 任务分析任务分析现在我们在一个局域网内可以接入互联网，而局现在我们在一个局域网内可以接入互联网，而局域网很有可能只有一个公网域网很有可能只有一个公网 IP 地址，其他的计算机地址，其他的计算机IP 都是使用的私有都是使用的私有 IP 地址，这些私有的地址，这些私有的 IP 要想接入要想接入互联网，则需要使用互联网，则需要使用 NAT 地址转换才能接入互联网，地址转换才能接入互联网，这就需要我们进行这就需要我们进行 NAT 的配置，本任务我们就是对的配置，本任务我们就是对 NAT进行介绍。进行介绍。5.2.2 相关知识相关知识随着随着 Internet 的迅速发展，连接的迅速发展，连接 Internet 的主的主机数量飞速增长，机数量飞速增长，IP 地址短缺与地址短缺与 Internet 发展的矛发展的矛盾日益严重。那么，如何有效解决目前盾日益严重。那么，如何有效解决目前 IP 地址短缺地址短缺的问题呢？人们提出了许多解决的方案，的问题呢？人们提出了许多解决的方案，NAT（Network Address Translation 网络地址转换）技网络地址转换）技术提供了一种完全将内部网络和术提供了一种完全将内部网络和 Internet 网隔离的网隔离的方法，让内部网络中的计算机通过少数几个甚至一个方法，让内部网络中的计算机通过少数几个甚至一个IP（已申请的一个公网（已申请的一个公网 IP）访问）访问 Internet 资源，从资源，从而节省了而节省了 IP 地址，并得到广泛的应用。地址，并得到广泛的应用。1、NAT 简介及发展的需要简介及发展的需要NAT 的功能就是指在一个网络内部根据需要，不的功能就是指在一个网络内部根据需要，不需要经过申请而可以自定义的合法的需要经过申请而可以自定义的合法的 IP 地址。在网地址。在网络内部，各计算机间通过内部的络内部，各计算机间通过内部的 IP 地址进行通讯，地址进行通讯，而当内部的计算机要与外部而当内部的计算机要与外部 Internet 网络进行通讯网络进行通讯时，具有时，具有 NAT 功能的设备负责将其内部的功能的设备负责将其内部的 IP 地址转地址转换为合法的换为合法的 IP（经过申请的（经过申请的 IP）地址进行通信。）地址进行通信。2、NAT 技术的应用技术的应用NAT 包括有静态包括有静态 NAT、动态地址、动态地址 NAT 和端口和端口多多路复用地址转换三种技术类型。静态路复用地址转换三种技术类型。静态 NAT 是把内部网是把内部网络中的每个主机地址永久映射成外部网络中的某个络中的每个主机地址永久映射成外部网络中的某个合法地址；动态地址合法地址；动态地址 NAT 是采用把外部网络中的一系是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换是把内部地址映射到外部网络口多路复用地址转换是把内部地址映射到外部网络的一个的一个 IP 地址的不同端口上。根据不同的需要，选地址的不同端口上。根据不同的需要，选择相应的择相应的 NAT 技术类型。技术类型。3、NAT 技术潜在的管理和安全的威胁技术潜在的管理和安全的威胁在在 NAT 应用中，从外网表面上看来是直接与应用中，从外网表面上看来是直接与 NAT设备通信。当内部网络的数据包被发送到设备通信。当内部网络的数据包被发送到 NAT 设备的设备的IP 地址上，地址上，NAT 设备将目的数据包头地址由自己的一设备将目的数据包头地址由自己的一个合法个合法 IP 地址变成真正的目的主机的内部网络地址。地址变成真正的目的主机的内部网络地址。理论上实现起来没有问题，但是实际中存在一些缺理论上实现起来没有问题，但是实际中存在一些缺陷。然而陷。然而 NAT 对多个专用网络的合并和组合时，对多个专用网络的合并和组合时，NAT系统不支持多层嵌套，从网络管理方面加大了难度。系统不支持多层嵌套，从网络管理方面加大了难度。5.2.3 任务实施任务实施在本任务中我们完成在本任务中我们完成 3 个实验个实验1、 静态静态 NAT 配置配置2、 动态动态 NAT 的配置的配置3、 NPAT 的配置的配置下面我们分别进行操作下面我们分别进行操作任务实施任务实施 1：静态：静态 NAT 的配置的配置配置拓扑图如图配置拓扑图如图 5-4 所示。所示。图图 5-4 配置拓扑图配置拓扑图（1）路由器）路由器 R1 配置配置RouterenableRouter#configure terminalEnter configuration commands, one perline.End with CNTL/Z.Router(config)#hostname R1R1(config)#interface fastEthernet 0/0R1(config-if)#no shutdownR1(config)#interface serial 2/0R1(config-if)#no shutdownR1(config-if)#clock rate 64000R1(config)#ip nat inside source static192.168.1.1 202.96.1.1 /配置静态映射，在内部配置静态映射，在内部地址地址 192.168.1.1 和合法地址和合法地址 202.96.1.1 之间建立之间建立静态转换静态转换R1(config)#ip nat inside source static192.168.1.2 202.96.1.2 /配置静态映射配置静态映射R1(config)#interface fastEthernet 0/0R1(config-if)#ip nat inside /配置配置 NAT 的内部的内部接口接口R1(config)#interface serial 2/0 /配置配置 NAT 的的外部接口外部接口R1(config-if)#ip nat outsideR1(config)#router ripR1(config-router)#version 2R1(config-router)#no auto-summary（2）路由器）路由器 R2 配置配置R2(config)#interface serial 3/0R2(config-if)#no shutdownR2(config)#interface loopback 0R2(config)#router ripR2(config-router)#version 2R2(config-router)#no auto-summary（3）显示结果：）显示结果：R1#show ip route2.0.0.0/24 is subnetted, 1 subnetsRC2.2.2.0 120/1 via 202.96.1.2,192.168.1.0/24 is directly connected,00:00:05, Serial2/0FastEthernet0/0C202.96.1.0/24 is directly connected,Serial2/0R1#debug ip natIP NAT debugging is onR1#NAT: s=192.168.1.1-202.96.1.1, d=2.2.2.20NAT*: s=2.2.2.2, d=202.96.1.1-192.168.1.10NAT: s=192.168.1.1-202.96.1.1, d=2.2.2.20NAT*: s=2.2.2.2, d=202.96.1.1-192.168.1.10R1#NAT: s=192.168.1.2-202.96.1.2, d=2.2.2.20NAT*: s=2.2.2.2, d=202.96.1.2-192.168.1.20NAT: s=192.168.1.2-202.96.1.2, d=2.2.2.20NAT*: s=2.2.2.2, d=202.96.1.2-192.168.1.20R1#show ip nat translationProlocallocalInside globalOutsideOutside globalInside-测试结果如图测试结果如图 5-5、5-6 所示。所示。任务实施任务实施 2 动态动态 NAT 配置配置动态动态 NAT 配置的拓扑图如图配置的拓扑图如图 5-7 所示。所示。图图 5-7 配置拓扑图配置拓扑图（1）R1 配置配置RouterenableRouter#configure terminalEnter configuration commands, one perline.End with CNTL/Z.Router(config)#hostname R1R1(config)#R1(config)#end%SYS-5-CONFIG_I: Configured from console byconsoleR1#copy running-config startup-configDestination filename startup-config?Building configuration.OKR1#configure tEnter configuration commands, one perline.End with CNTL/Z.R1(config)#interface fastEthernet 0/0R1(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0,changed state to up%LINEPROTO-5-UPDOWN: Line protocol on InterfaceFastEthernet0/0, changed state to upR1(config-if)#exitR1(config)#interface serial 2/0R1(config-if)#clock rate 64000R1(config-if)#no shutdownR1(config)#router ripR1(config-router)#version 2R1(config-router)#no auto-summary202.96.1.3202.96.1.1000,子网掩码为子网掩码为/设置合法地址池，名为设置合法地址池，名为 TIANXUAN, 地址范围为地址范围为0.0.0.255 /定义标准访问列表定义标准访问列表 1，指出，指出 的本地的本地地址进行地址进行 NAT 转换转换R1(config)#ip nat inside source list 1 poolTIANXUAN /对访问列表对访问列表 1 中设置的本地地址，应用中设置的本地地址，应用 TIANXUAN 地地址池进行动态地址转换址池进行动态地址转换R1(config)#interface fastEthernet 0/0R1(config-if)#ip nat insideR1(config-if)#exitR1(config)#interface serial 2/0R1(config-if)#ip nat outsideR1(config-if)#exitR1(config)#Z%SYS-5-CONFIG_I: Configured from console byconsoleR1#show ip routeCodes: C - connected, S - static, I - IGRP, R -RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O- OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2- OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPFexternal type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2- IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-userstatic route, o - ODRP - periodic downloaded staticrouteGateway of last resort is not set2.0.0.0/24 is subnetted, 1 subnetsRCC2.2.2.0 120/1 via 202.96.1.2,192.168.1.0/24 is directly connected,202.96.1.0/24 is directly connected,00:00:15, Serial2/0FastEthernet0/0Serial2/0R1#show ip nat statisticsTotal translations: 2 (0 static, 2 dynamic, 0extended)Outside Interfaces: Serial2/0Inside Interfaces: FastEthernet0/0Hits: 22Misses: 2Expired translations: 0Dynamic mappings:- Inside Sourceaccess-list 1 pool TIANXUAN refCount 2type generic, total addresses 98 ,allocated 2 (2%), misses 0R1#show ip nat translationsProlocallocal-Inside globalOutsi