Учебное пособие для студентов радиотехнического факультета специальности 10. 05. 03 Информационная безопасность автоматизированных систем

41 редаѐт соседним маршрутизаторам всю свою таблицу маршрутизации. Та- кие простые протоколы как RIP и IGRP просто распространяют информа- цию о таблицах маршрутов через все интерфейсы маршрутизатора в широ- ковещательном режиме без уточнения точного адреса конкретного сосед- него маршрутизатора.
Соседний маршрутизатор, получая широковещание, сравнивает ин- формацию со своей текущей таблицей маршрутов. В неѐ добавляются маршруты к новым сетям или маршруты к известным сетям с лучшей мет- рикой. Происходит удаление несуществующих маршрутов. Маршрутиза- тор добавляет свои собственные значения к метрикам полученных марш- рутов. Новая таблица маршрутизации снова распространяется по соседним маршрутизаторам
14.2. Ход работы
Создайте схему, представленную на рис. 14.1.
Рис. 14.1. Схема сети
На схеме представлены следующие три сети:
Switch1 – сеть 10.11.0.0/16.
Switch2 – сеть 10.12.0.0/16.
Сеть для роутеров – 10.10.0.0/16.
Введите на устройствах следующую адресацию:
Маршрутизаторы имеют по два интерфейса:
Router1 – 10.11.0.1/16 и 10.10.0.1/16.
Router2 – 10.10.0.2/16 и 10.12.0.1/16.
ПК11 – 10.11.0.11/16.
ПК12 – 10.12.0.12/16.

42
Проведем настройку протокола RIP на маршрутизаторе Router1.
Войдите в конфигурации в консоль роутера и выполните следующие настройки (при вводе команд маску подсети можно не указывать, так как она будет браться автоматически из настроек интерфейса роутера):
Войдите в привилегированный режим:
Router1>en
Войдите в режим конфигурации:
Router1>#conf t
Войдите в режим конфигурирования протокола RIP:
Router1(config)#router rip
Подключите клиентскую сеть к роутеру:
Router1(config-router)#network 10.11.0.0
Подключите вторую сеть к роутеру:
Router1(config-router)#network 10.10.0.0
Задайте использование второй версии протокол RIP:
Router1(config-router)#version 2
Выйдите из режима конфигурирования протокола RIP:
Router1(config-router)#exit
Выйдите из консоли настроек:
Router1(config)#exit
Сохраните настройки в память маршрутизатора:
Router1>#write memory
Аналогично проведите настройку протокола RIP на маршрутизаторе
Router2.
Проверьте связь между компьютерами ПК11 и ПК12 командой ping.
Если связь есть – все настройки сделаны верно.
Содержание отчѐта
1. Назначение и цель лабораторной работы.
2. Схема сети.
3. Ответы на контрольные вопросы.
4. Выводы по работе.

43
ЛАБОРАТОРНАЯ РАБОТА № 15
Настройка протокола RIP в корпоративной сети
Цель работы
Научиться проводить настройку динамической маршрутизации с по- мощью графических мастеров интерфейса Cisco Packet Tracer.
15.1. Ход работы
Создайте схему, представленную на рис. 15.1.
Рис. 15.1. Схема сети
2 1
3 3
3 3
2 2
1 1
2 1
1 2

44
В четырех сетях: 11.0.0.0/8, 12.0.0.0/8, 13.0.0.0/8 и 14.0.0.0/8 установ- лены компьютеры с адресами:
Comp1 – 11.0.0.11, маска 255.0.0.0
Comp2 – 12.0.0.12, маска 255.0.0.0
Comp3 – 13.0.0.13, маска 255.0.0.0
Comp4 – 14.0.0.14, маска 255.0.0.0
Между ними находится корпоративная сеть с шестью маршрутизато- рами.
На маршрутизаторах заданы следующие интерфейсы, табл. 15.1.
Таблица 15.1
Номера интерфейсов маршрутизаторов сети
Маршрутизатор
Интерфейс 1
Интерфейс 2
Интерфейс 3
Router1 11.0.0.1/8 21.0.0.1/8 31.0.0.1/8
Router2 21.0.0.2/8 51.0.0.2/8
Router3 12.0.0.3/8 61.0.0.3/8 51.0.0.3/8
Router4 31.0.0.4/8 81.0.0.4/8 13.0.0.4/8
Router6 61.0.0.6/8 81.0.0.6/8 14.0.0.6/8
Настройте маршрутизацию по протоколу RIP на каждом из роутеров.
Для этого:
1) настройте все маршрутизаторы, как это было показано в лабора- торной работе № 14;
2) проверьте настройку маршрутизаторов по таблице маршрутизации.
Чтобы убедиться в том, что маршрутизатор действительно правиль- но сконфигурирован и работает корректно, просмотрите таблицу RIP ро- утера, используя команду show следующим образом:
Router#show ip route rip
Например, для шестого маршрутизатора Router6 таблица будет иметь следующий вид (рис. 15.2):
Рис. 15.2. Таблица маршрутизации RIP

45
Данная таблица показывает, что к сети 21.0.0.0 есть два пути: через
Router4 (сеть 81.0.0.0) и через Router3 (сеть 61.0.0.0).
Проведите диагностику сети:
1) проверьте правильность настройки с помощью команд ping и
tracert в консоли кождого компьютера;
2) проведите ту же диагностику сети при выключенном маршрутиза- торе Router6.
3) проверьте связь между компьютерами с адресами 12.0.0.12 и
13.0.0.13.
Количество промежуточных роутеров при прохождении пакета по сети при включенном и выключенном роутере 6 должно быть разным.
При включенном Router6 должно быть на единицу меньше, чем при вы- ключенном.
Содержание отчѐта
1. Назначение и цель лабораторной работы.
2. Схема сети.
3. Заполните таблицу маршрутизаторов на роутерах.
4. Ответы на контрольные вопросы.
5. Выводы по работе.

46
ЛАБОРАТОРНАЯ РАБОТА № 16
Настройка протокола RIP в корпоративной сети
Цель работы
Научиться проводить настройку динамической маршрутизации с по- мощью графических мастеров интерфейса Cisco Packet Tracer.
16.1. Ход работы
Создайте схему, представленную на рис. 16.1.
Задание
1. Настройте корпоративную сеть с использованием протокола RIP.
2. Проверьте связь между компьютерами Comp1 и Comp3 с помощью команд ping и tracert при включенном и выключенном пятом маршрутизаторе.
3. Проверьте связь между компьютерами ПК 0 и Comp1 с помощью ко- манд ping и tracert при включенном и выключенном втором маршрутизаторе.
Рис. 16.1. Схема сети
Содержание отчѐта
1. Назначение и цель лабораторной работы.
2. Схема сети.
3. Заполните таблицу маршрутизаторов на роутерах.
4. Ответы на контрольные вопросы.
5. Выводы по работе.

47
ЛАБОРАТОРНАЯ РАБОТА № 17
Настройка протокола OSPF
Цель работы
Научиться проводить настройку протокола OSPF с помощью графи- ческих мастеров интерфейса Cisco Packet Tracer.
17.1. Теоретические сведения
Протоколы состояния связи предлагают лучшую масштабируемость и сходимость по сравнению с дистанционно-векторными протоколами. Ра- бота протоколов базируется на алгоритме Дейкстры, который часто назы- вают алгоритмом «кратчайший путь – первым» (shortest path first SPF)).
Наиболее типичным представителем является протокол OSPF (Open
Shortest Path First).
Маршрутизатор берѐт в рассмотрение состояние связи интерфейсов других маршрутизаторов в сети. Маршрутизатор строит полную базу дан- ных всех состояний связи в своей области, т. е. имеет достаточно инфор- мации для создания своего отображения сети. Каждый маршрутизатор за- тем самостоятельно выполняет SPF-алгоритм на своѐм собственном отоб- ражении сети или базе данных состояний связи для определения лучшего пути, который заносится в таблицу маршрутов. Эти пути к другим сетям формируют дерево с вершиной в виде локального маршрутизатора.
Маршрутизаторы извещают о состоянии своих связей всем маршрути- заторам в области. Такое извещение называют LSA (link-state advertisements).
В отличие от дистанционно-векторных маршрутизаторов, маршрути- заторы состояния связи могут формировать специальные отношения со своими соседями.
Имеет место начальный наплыв LSA пакетов для построения базы данных состояний связи. Далее обновление маршрутов производится толь- ко при смене состояний связи или, если состояние не изменилось в течение определѐнного интервала времени. Если состояние связи изменилось, то частичное обновление пересылается немедленно. Оно содержит только со- стояния связей, которые изменились, а не всю таблицу маршрутов.
Администратор, заботящийся об использовании линий связи, нахо- дит эти частичные и редкие обновления эффективной альтернативой ди- станционно-векторной маршрутизации, которая передаѐт всю таблицу маршрутов через регулярные промежутки времени. Протоколы состояния связи имеют более быструю сходимость и лучшее использование полосы пропускания по сравнению с дистанционно-векторными протоколами. Они превосходят дистанционно-векторные протоколы для сетей любых размеров, однако, имеют два главных недостатка: повышенные требования к вычисли- тельной мощности маршрутизаторов и сложное администрирование.

48
17.2. Ход работы
Создайте схему, представленную на рис. 17.1.
Рис. 17.1. Схема сети
Проведем настройку протокола OSPF на маршрутизаторе Router 1.
Войдите в конфигурации в консоль роутера и выполните следующие настройки (при вводе команд маску подсети можно не указывать, так как она будет браться автоматически из настроек интерфейса роутера):
Войдите в привилегированный режим:
Switch>en
Войдите в режим конфигурации:
Switch1#conf t
Войдите в режим конфигурирования протокола OSPF:
Router1(config)#router ospf 1
В команде router ospf <идентификатор_процесса> под идентифика- тором процесса понимается уникальное числовое значение для каждого процесса роутинга на маршрутизаторе. Данное значение должно быть больше в интервале от 1 до 65535. В OSPF процессам на роутерах одной зоны принято присваивать один и тот же идентификатор.
Подключите клиентскую сеть к роутеру:
Router1(config-router)#network 10.11.0.0
Подключите вторую сеть к роутеру:
Router1(config-router)#network 10.10.0.0
Задайте использование второй версии протокол OSPF:
Router1(config-router)#version 2
Выйдите из режима конфигурирования протокола OSPF:
Router1(config-router)#exit
Выйдите из консоли настроек:
Router1(config)#exit

49
Сохраните настройки в память маршрутизатора:
Switch1#write memory
Аналогично проведите настройку протокола OSPF на маршрутизато- ре Router2.
Содержание отчѐта
1. Назначение и цель лабораторной работы.
2. Схема сети.
3. Заполните таблицу маршрутизаторов на роутерах.
4. Ответы на контрольные вопросы.
5. Выводы по работе.
Контрольные вопросы
1. В чем различие между топологической и дистанционно-векторной маршрутизацией?
2. Опишите схему работы протокола RIP.
3. Опишите схему работы протокола OSPF.
4. Перечислите основные этапы установки маршрутизатора.
5. Опишите четыре этапа загрузки маршрутизатора.
6. Какие из указанных ниже протоколов работают по дистанционно- векторному алгоритму и каковы их основные различия?
– RIP;
– IGRP;
– EIGRP;
– OSPF.
7. Дайте характеристику классам протоколов маршрутизации.
8. Приведите классификацию протоколов маршрутизации на основе алгоритмов их работы.
9. Сделайте сравнение классовых и бесклассовых протоколов марш- рутизации.
10. Сделайте сравнение протоколов маршрутизации внутреннего шлюза.
11. Опишите этапы настройки протокола маршрутизации RIP-2.

50
РАЗДЕЛ 8. СЛУЖБА NAT
ЛАБОРАТОРНАЯ РАБОТА № 18
Настройка статической и динамической трансляции NAT
Цель работы
Научиться проводить настройку статической и динамической транс- ляции NAT с помощью графических мастеров интерфейса Cisco Packet
Tracer.
18.1. Теоретические сведения
NAT (Network address translation) – технология трансляции сетевых адресов.
Трансляция сетевых адресов NAT позволяет хосту, не имеющего
«белого IP», осуществлять связь с другими хостами через Интернет. Белый
IP-адрес представляет из себя зарегистрированный, уникальный, глобаль- ный IP-адрес в сети Интернет. Есть также «серые IP-адреса», которые ис- пользуются в частной сети и не маршрутизируются в сети Интернет. По- этому необходима технология NAT, которая будет подменять серый IP- адрес на белый. Диапазон «серых IP-адресов» представлен в табл. 18.1.
Таблица 18.1
Диапазон «серых IP-адресов»
Трансляция NAT заменяет частные IP-адреса открытыми зареги- стрированными IP-адресами в каждом пакете протокола IP, рис 18.1.
Рис. 18.1. Трансляция NAT

51
Осуществляя трансляцию NAT, маршрутизатор изменяет IP-адрес отправителя в тот момент, когда пакет покидает частную сеть. Маршрути- затор также изменяет адрес получателя каждого пакета, который возвра- щается в частную сеть. Программное обеспечение Cisco IOS поддерживает несколько разновидностей трансляции NAT:
1. Статическая трансляция NAT – каждому частному IP-адресу соот- ветствует один публичный IP. При использовании статической трансляции маршрутизатор NAT просто устанавливает взаимно однозначное соответ- ствие между частным и зарегистрированным IP-адресом, от имени которо- го он выступает.
2. Динамическая трансляция NAT – преобразование внутренних
IP-адресов во внешние происходит динамически. Создается пул возмож- ных публичных IP-адресов и из этого пула динамически выбираются
IP-адреса для преобразования.
3. Трансляция адресов портов PAT – позволяет выполнить масшта- бирование для поддержки многих клиентов с использованием всего лишь нескольких открытых IP-адресов. PAT транслирует сетевой адрес в зави- симости от TCP/UDP-порта получателя.
Рассмотрим более подробно каждый из видов трансляции.
Статическая трансляция NAT делает точное соответствие между частным и публичным IP-адресом. Рассмотрим на примере, рис. 18.2.
Рис. 18.2. Статическая трансляция NAT
Провайдер ISP компании назначает ей зарегистрированный номер сети 200.1.1.0. Соответственно маршрутизатор NAT должен сделать так, чтобы этот частный адрес выглядел таким образом, как если бы находился в сети 200.1.1.0. Для этого маршрутизатор изменяет IP-адрес отправителя в пакетах, которые как на рисунке пересылаются слева направо. В данном

52 примере маршрутизатор изменяет частный IP-адрес 10.1.1.1 на открытый
200.1.1.1. Другому частному адресу 10.1.1.2 соответствует публичный
200.1.1.2. Далее рассмотрим настройку статического NAT в Cisco.
18.2. Настройка статической трансляции NAT на оборудовании
Cisco
В сравнении с другими ее вариантами требует наименьших дей- ствий. При этом нужно установить соответствие между локальными (част- ными) и глобальными (открытыми) IP-адресами. Кроме того, необходимо указать маршрутизатору, на каких интерфейсах следует использовать трансляцию NAT, поскольку она может быть включена не на всех интер- фейсах. В частности, маршрутизатору нужно указать каждый интерфейс и является ли он внутренним или внешним.
18.3. Ход работы
Создайте схему, рис. 18.3.
Рис. 18.3. Статическая трансляция NAT

53
На схеме видно, что пользователь получил от провайдера адрес
100.0.0.0 сети класса C. Вся эта сеть с маской 255.255.255.0 настроена на последовательном канале между пользователем и Интернетом. Поскольку это двухточечный канал, в данной сети используется только 2 из 254 дей- ствительных (возможных) IP-адресов.
Конфигурация для роутера NAT_GW:
NAT_GW>enable – переходим в расширенный режим;
NAT_GW#configure terminal – переходим в режим конфигурации;
NAT_GW(config)#interface fa0/0 – настройка интерфейса в сторону частной сети;
NAT_GW(config-if)#description LAN – описание интерфейса;
NAT_GW(config-if)#ip address 192.168.1.1 255.255.255.0 – задаем шлюз по-умолчанию;
NAT_GW(config-if)#no shutdown – включаем интерфейс физически;
NAT_GW(config-if)#ip nat inside – настраиваем интерфейс как внут- ренний;
NAT_GW(config-if)#exit
NAT_GW(config)#interface fa0/1 – настройки интерфейса в сторону провайдера;
NAT_GW(config-if)#description ISP – описание интерфейса;
NAT_GW(config-if)#ip address 100.0.0.253 255.255.255.0 – задаем IP и маску;
NAT_GW(config-if)#no shutdown – включаем интерфейс физически;
NAT_GW(config-if)#ip nat outside – настраиваем интерфейс как внешний;
NAT_GW(config-if)#exit
NAT_GW(config)#ip nat inside source static 192.168.1.2 100.0.0.1 – ста- тическое сопоставление адресов;
NAT_GW(config)#ip nat inside source static 192.168.1.3 100.0.0.2 – ста- тическое сопоставление адресов;
NAT_GW(config)#ip nat inside source static 192.168.1.4 100.0.0.3 – ста- тическое сопоставление адресов;
NAT_GW(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.254 – статический маршрут в сторону провайдера.
Статические соответствия создаются с помощью команды ip nat inside
source static. Ключевое слово inside означает, что NAT транслирует адреса для хостов, находящихся во внутренней части сети. Ключевое сло- во source означает, что NAT транслирует IP-адреса в пакетах, поступающих на ее внутренние интерфейсы. Ключевое слово static означает, что эти пара- метры определяют статическую запись, которая никогда не удалится из таб- лицы NAT в связи с истечением периода времени. При создании запи- сей статической трансляции NAT маршрутизатору необходимо знать, какие интерфейсы являются внутренними (inside), а какие внешними (outside).

54
Подкоманды интерфейса ip nat inside и ip nat outside соответствующим обра- зом идентифицируют каждый интерфейс.
Для просмотра важной информации о NAT существует две коман- ды show ip nat translations, show ip nat statistics.
Первая команда выводит три записи статической трансляции NAT, созданной в конфигурации. Вторая команда выводит статистическую ин- формацию, такую, как количество активных в данный момент записей в таблице трансляции. Эта статистика также включает в себя количество по- вторных попаданий (hit), которое увеличивается на единицу с каждым па- кетом, для которого NAT должна транслировать адреса.
18.4. Настройка динамической трансляции NAT на оборудовании
Cisco
Перейдем далее к динамической трансляции сетевых адресов
NAT.Динамическая трансляция создает пул возможных глобальных внут- ренних адресов и определяет критерий соответствия для определения того, какие внутренние глобальные IP-адреса должны транслироваться с помо- щью NAT. Например, в схеме ниже был установлен пул из пяти глобаль- ных IP-адресов в диапазоне 200.1.1.1 – 200.1.1.5. Трансляция NAT также настроена для преобразования всех внутренних локальных адресов, кото- рые начинаются с октетов 10.1.1, см. рис. 18.4.

55
Рис. 18.4. Динамическая трансляция NAT
Принастройке динамической трансляции NAT на оборудовании
Cisco по-прежнему требуется идентификация каждого интерфейса как внутреннего, так и внешнего, но уже не нужно задавать статическое соот- ветствие. Для указания частных IP-адресов, подлежащих трансляции, ди- намическая трансляция NAT использует списки управления досту- пом ACL, а также определяет пул зарегистрированных открытых IP- адресов, которые будут выделяться из этого. Итак, алгоритм настройки динамической трансляции:
1. Настроить интерфейсы, которые будут находиться во внутренней подсети, с помощью команды ip nat inside.
2. Настроить интерфейсы, которые будут находиться во внеш- ней подсети, с помощью команды ip nat outside.
3. Настроить список ACL, соответствующий пакетам, поступающим на внутренние интерфейсы, для которых должна быть применена трансля- ция NAT.
4. Настроить пул открытых зарегистрированных IP-адресов с помо- щью команды режима глобального конфигурирования ip nat pool имя пер-
вый-адрес последний-адрес netmask маска-подсети.
5. Включить динамическую трансляцию NAT, указав в команде гло- бального конфигурирования ip nat inside source list номер-acl pool имя-
пула.
Схема на рис. 18.4. Новая конфигурация для роутера NAT_GW:
NAT_GW>enable – переходим в расширенный режим;
NAT_GW#configure terminal – переходим в режим конфигурации;

56
NAT_GW(config)#interface fa0/0 – настройка интерфейса в сторону частной сети;
NAT_GW(config-if)#description LAN – описание интерфейса;
NAT_GW(config-if)#ip address 192.168.1.1 255.255.255.0 – задаем шлюз по-умолчанию;
NAT_GW(config-if)#no shutdown – включаем интерфейс физически;
NAT_GW(config-if)#ip nat inside – настраиваем интерфейс как внут- ренний;
NAT_GW(config-if)#exit
NAT_GW(config)#interface fa0/1 – настройки интерфейса в сторону провайдера;
NAT_GW(config-if)#description ISP – описание интерфейса;
NAT_GW(config-if)#ip address 100.0.0.253 255.255.255.0 – задаем Ip и маску;
NAT_GW(config-if)#no shutdown – включаем интерфейс физически;
NAT_GW(config-if)#ip nat outside – настраиваем интерфейс как внешний;
NAT_GW(config-if)#exit
NAT_GW(config)#ip nat pool testPool 100.0.0.1 100.0.0.252 netmask
255.255.255.0 – создаем динамический пул;
NAT_GW(config)#access-list 1 permit 192.168.1.1 0.0.0.255 – создаем список доступа 1, в котором разрешаем транслировать IP-адреса из подсе- ти 192.168.1.1/24;
NAT_GW(config)#ip nat inside source list 1 pool test Pool – включаем динамическую трансляцию;
NAT_GW(config)#ip route 0.0.0.0 0.0.0.0 100.0.0.254 – статический маршрут в сторону провайдера.
Содержание отчѐта
1. Назначение и цель лабораторной работы.
2. Схема сети.
3. Ответы на контрольные вопросы.
4. Выводы по работе.

57
ЛАБОРАТОРНАЯ РАБОТА № 19
Преобразование сетевых адресов NAT
Цель работы
Научиться проводить преобразование сетевых адресов NAT с помо- щью графических мастеров интерфейса Cisco Packet Tracer.
19.1. Ход работы
В данной работе необходимо решить задачу вывода компьютеров локальной сети организации в интернет. Локальная сеть настроена в част- ной адресации – в сети 10.0.0.0, адреса которой не имеют выхода в интер- нет. Для решения этой задачи необходимо настроить службу NAT. Схема сети представлена на рис. 19.1.
Рис. 19.1. Схема сети
Создайте сеть, представленную на рис. 19.1. Задайте имена устройств и адресацию, как показано на рис. 19.1.
В данный момент NAT на роутере не настроен, мы можем убедиться в этом, используя режим симуляции.
Перейдите в этот режим и посмотрите состав пакета при прохожде- нии через оба роутера (рис. 19.2).

58
Рис. 19.2. Параметры пакета при прохождении Router2
При прохождении пакета через второй маршрутизатор IP-адрес от- правителя не изменился (10.0.0.11).
Сконфигурируем NAT на маршрутизаторе Router1.
Для настройки NAT на роутере нам необходимо будет выполнить следующие шаги:
1. Зайти в настройки Router1, во вкладку CLI.
2. Для входа в режим администратора ввести команду enable (en):
Router>en
Для входа в режим настройки вводим команду config t:
Router#config t
3. Интерфейс FastEthernet 0/0 наш внутренний интерфейс, к которо- му подключены рабочие станции. Для настройки NAT на роутере необхо- димо это обозначить в настройках. Это можно сделать при помощи следу- ющих команд:
– входим в настройки интерфейса:
Router(config)#int FastEthernet 0/0
– объявляем интерфейс внутренним интерфейсом:
Router(config-if)#ip nat inside
– выходим из настроек интерфейса:
Router(config-if)#exit
4. Аналогично настраиваем интерфейс FastEthernet 0/1, который под- ключен к сети провайдера, лишь с тем различием, что он будет являться внешним интерфейсом NAT:

59
– входим в настройки интерфейса:
Router(config)#int FastEthernet 0/1
– объявляем интерфейс внешним интерфейсом NAT:
Router(config-if)#ip nat outside
– выходим из настроек интерфейса:
Router(config-if)#exit
5. Задаем пул внешних адресов, в которые будут транслироваться внутренние адреса. Для задания пула, содержащего только один адрес – адрес внешнего интерфейса роутера – необходимо ввести команду:
Router(config)#ip nat pool natpool 11.0.0.0 11.0.0.1 netmask 255.0.0.0
При задании пула адресов необходимо указать первый и последний адреса из входящей в пул последовательности адресов. Если в пуле 1 адрес
(как в нашем случае) необходимо указать его 2 раза.
6. Задаем список доступа:
Router(config)#access-list 34 permit any
Важно! 34 – число от 1 до 99 обозначает № списка доступа и задает- ся администратором. Any – ключевое слово, означает, что список доступа будет разрешать пакеты с любым адресом отправителя.
7. Наконец, вводим последнюю команду, которая, собственно, и включает NAT на Router 0. Команда, бесспорно, является основной, но без задания всех предыдущих параметров она работать не будет.
Router(config)#ip nat inside source list 34 pool natpool overload
Данная команда говорит роутеру, что у всех пакетов, полученных на внутренний интерфейс и разрешенных списком доступа номер 34, адрес отправителя будет транслирован в адрес из NAT пула “natpool”. Ключ overload указывает, что трансляции будут перегружены, позволяя не- скольким внутренним узлам транслироваться на один IP-адрес.
Теперь NAT настроен. Можем убедиться в этом послав пакет из лю- бой рабочей станции в подсети на сервер yandex.ru (пакет пройдет). Если мы рассмотрим прохождение пакета подробнее, перейдя в режим симуля- ции, то увидим, что при прохождении пакета через Router1 адрес отправи- теля изменился (NAT настроен).
Содержание отчѐта
1. Назначение и цель лабораторной работы.
2. Схема сети.
3. Ответы на контрольные вопросы.
4. Выводы по работе.

60
ЛАБОРАТОРНАЯ РАБОТА № 20
Преобразование сетевых адресов NAT
Цель работы
Научиться проводить преобразование сетевых адресов NAT с помо- щью графических мастеров интерфейса Cisco Packet Tracer.
20.1. Настройка NAT Cisco
Схема маленького офиса (рис. 20.1):
– 3 компьютера в vlan 2;
– сервер в отдельном vlan 3;
– коммутатор второго уровня cisco 2660;
– роутер Cisco 1841, который маршрутизирует локальный трафик между vlan 2 и vlan 3.
Рис. 20.1. Схема офиса
1. Настройка Cisco 2960
– создадим vlan 2 и vlan 3, зададим им имена и настроим нужные порты на эти vlan: enable conf t
– создаем vlan 2: vlan 2

61 name VLAN 2 exit
– создаем vlan 3: vlan 3 name VLAN 3 exit
– помещаем порты в vlan 2: int range fa0/1-3 switchport mode access switchport access vlan 2 exit
– помещаем порт в vlan 3: int fa 0/4 switchport mode access switchport access vlan 3 exit
– теперь настроим fa 0/5 как trunk порт: int fa 0/5 switchport mode trunk switchport trunk allowed vlan 2,3 do wr mem

62
2. Настройка Cisco 1841
– создадим sub интерфейсы и поднимем порт: enable conf t int fa0/0 no shutdown exit int fa0/0.2 encapsulation dot1Q 2 ip address 192.168.2.251 255.255.255.0 no shutdown exit int fa0/0.3 encapsulation dot1Q 3 ip address 192.168.3.251 255.255.255.0 no shutdown exit ip routing
В итоге порт загорелся зеленым, см. рис 20.2.
Рис. 20.2. Схема офиса

63
20.2. Настройка PAT
В нашей виртуальной инфраструктуре нашу схему нельзя выпустить в интернет. Мы его сэмулируем, у нас будет роутер с белым IP-адресом и сервер тоже с белым IP-адресом. Схематично это выглядит следующим образом. На роутере провайдера на определенном порту присвоен белый
IP-адрес 213.235.1.1 и маска сети 255.255.255.252, см. рис. 20.3.
Рис. 20.3. Схема офиса
– настроим на нашем тестовом провайдерском роутере этот IP: en conf t int fa0/0 ip address 213.235.1.1 255.255.255.252 no shutdown exit
– настройка белого IP;
– настроим порт fa0/1, который смотрим на сервере, и зададим ему другой белый ip 213.235.1.25 255.255.255.252:

64 int fa0/1 ip address 213.235.1.25 255.255.255.252 no shutdown exit
Рис. 20.4. Схема сети офиса
– подняли порты у провайдера.
Сервер будет иметь IP-адрес 213.235.1.26 и шлюзом будет 213.235.1.25, интерфейс роутера провайдера смотрящего на сервер, см. рис. 20.5.
Рис. 20.5. IP-конфигурация сервера

65
Теперь произведем настройку нашего локального роутера Router0, настроим на нем выделенный нам провайдером белый IP-адрес 213.235.1.2 255.255.255.252, шлюзом будет 213.235.1.1. enable conf t int fa0/1 ip address 213.235.1.2 255.255.255.252 no shutdown exit ip route 0.0.0.0 0.0.0.0 213.235.1.1 exit wr mem
Пропингуем с офисного роутера IP-адреса провайдера и сервера.
Router#ping 213.235.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 213.235.1.1, timeout is 2 seconds: .!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 0/0/0 ms
Router#ping 213.235.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 213.235.1.1, timeout is 2 seconds: !!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/1 ms
Router#ping 213.235.1.2

66
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 213.235.1.2, timeout is 2 seconds:!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/9/17 ms
Router#ping 213.235.1.25
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 213.235.1.25, timeout is 2 seconds:!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/0 ms
Router#ping 213.235.1.26
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 213.235.1.26, timeout is 2 seconds:!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/0 ms

67
Проведѐм натирование. На локальном роутере выполняем следую- щее. Теперь нам нужно задать, какой интерфейс NAT будет считать внеш- ним, а какой внутренним, тут все просто: внешним будет тот интерфейс, где настроен белый IP-адрес провайдера, внутренним – тот, что соединен с коммутатором второго уровня. fa0/1 будет внешним, а два sub интерфей- са внутренними. enable conf t int fa0/1 ip nat outside exit int fa0/0.2 ip nat inside int fa0/0.3 ip nat inside exit
Настройка Access List
Создадим список Access List, т. е. список, какой трафик нужно нати- ровать, а какой должен работать без NAT.
– создаем список доступа по имени NAT:
IP access-list standard NAT
– разрешаем два пула: permit 192.168.2.0 0.0.0.255 permit 192.168.3.0 0.0.0.255 exit
0.0.0.255 это Wildcard bits
– как видим, у нас в конфигурации появился список доступа и поме- чены порты, какие outside, а какие inside.

68
И вводим еще одну команду, которая говорит, что трафик пришед- ший на fa0/1 нужно натить по правилу NAT. В итоге мы настроили PAT.
IP nat inside source list NAT interface fa0/1 overload
– сохраняем все do wr mem;

69
– проверим с компьютера локальной сети доступность внешних ре- сурсов.
Посмотрим текущие конфигурации командой ipconfig, видим IP-адрес
192.168.2.1, пропингуем 213.235.1.26, как видите, NAT cisco работает, см. рис. 20.6.
Рис. 20.6. Проверка с компьютера локальной сети доступности внешних ресурсов
Посмотреть пакеты натирования можно командой: sh ip nat translations
Видно, что пакеты ping с локального серого ip по портам 12, 13, 14,
15 были отправлены с внешнего белого ip, по тем же портам.
PAT (Port Address Translation) настроен.

70
Содержание отчѐта
1. Назначение и цель лабораторной работы.
2. Схема сети.
3. Ответы на контрольные вопросы.
4. Выводы по работе.
Контрольные вопросы
1. Опишите все возможные схемы работы службы NAT.
2. Какие частные IP-адреса используются службой NAT в каждом классе адресов?
3. Перечислите преимущества и недостатки службы NAT.
4. Перечислите этапы настройки службы NAT.
5. Опишите схему проверки работы службы NAT.
6. Опишите основные проблемы в работе сервера NAT.

71