NAT实验（HCIA）

一、实验拓扑

二、实验需求

1.按照图示配置IP地址，公网地址100.1.1.1/24

2.私网A通过NAPT，使R1接入到互联网，私网B通过EASY IP，使R3接入到互联网

3.私网A配置NAT SERVER把Telnet的Telnet服务发布到公网，使PC2可以访问

三、实验思路和步骤

1.IP地址规划

根据题目给出的网段进行合理规划

100.1.1.0/24

100.1.1.1

100.1.1.2

100.2.2.0/24

100.2.2.1

100.2.2.2

192.168.1.0/24

192.168.1.1

192.168.1.2

192.168.1.3

192.168.1.0/24

192.168.1.1

192.168.1.2

2.配置IP地址

R1和R3就是两台边界路由器（R1的左边是用户，R3的右也是用户）

R1设备

<Huawei>system-view

[Huawei]sysname r1

[r1]interface g0/0/1

[r1-GigabitEthernet0/0/1]ip address 100.1.1.1 24

 [r1-GigabitEthernet0/0/1]interface g0/0/0

[r1-GigabitEthernet0/0/0]ip address 192.168.1.1 24

R2设备

<Huawei>system-view

[Huawei]sysname r2

[r2]interface g0/0/0

[r2-GigabitEthernet0/0/0]ip address 100.1.1.2 24

 [r2-GigabitEthernet0/0/0]interface g0/0/1

[r2-GigabitEthernet0/0/1]ip address 100.2.2.1 24

R3设备

<Huawei>system-view

[Huawei]sysname r3

[r3]interface g0/0/1

[r3-GigabitEthernet0/0/1]ip address 192.168.1.1 24

 [r3-GigabitEthernet0/0/1]interface g0/0/0

[r3-GigabitEthernet0/0/0]ip address 100.2.2.2 24

PC2设备

<Huawei>system-view

[Huawei]sysname pc2

[pc2]interface g0/0/0

[pc2-GigabitEthernet0/0/0]ip address 192.168.1.2 24

写网关

[pc2]ip route-static 0.0.0.0 0 192.168.1.1

此处的缺省路由模拟网关

Telnet服务器

<Huawei>system-view

[Huawei]sysname telnet

[telnet]interface g0/0/0

[telnet-GigabitEthernet0/0/0]ip address 192.168.1.2 24

 [telnet-GigabitEthernet0/0/0]q

[telnet]ip route-static 0.0.0.0 0 192.168.1.1

PC1

目前为止，IP地址已经全部填写完毕

3.配缺省路由

（公网）R1到不了100.2.2.0/24的网段；R3到不了100.1.1.0/24的网段；R2可以到两边。

给R1写一条缺省：[r1]ip route-static 0.0.0.0 0 100.1.1.2

给R3写一条缺省：[r3]ip route-static 0.0.0.0 0 100.2.2.1

查看路由表：[r3]display ip routing-table

[r1]display ip routing-table

测试

[r1]ping 100.2.2.2

R1和R3网络已经连通

现在去解决的是左右两边上网的问题

4.NAT（上网）

右边：

R3可以正常上网，因为它拥有一个公有IP（100.2.2.2/24）

解决流量返回的问题

R3设备

[r3]acl 2000

[r3-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

内部一个段的IP全部可以被转换

[r3-acl-basic-2000]q

[r3]interface g0/0/0

[r3-GigabitEthernet0/0/0]nat outbound 2000

所有表里面提到的IP，从规定的接口往外面走，NAT就把源IP换成100.2.2.2/24

测试

<pc2>ping 100.1.1.1

<pc2>ping 100.1.1.2

<pc2>ping 100.2.2.1

<pc2>ping 100.2.2.1

结果证实：IP地址转换成功

左边：

（实验要求采用多对多的方法）

现在除了有100.1.1.1/24以外还有其他的公有IP（在100.1.1.0/24范围内）

R1设备

[r1]nat address-group 1 100.1.1.3 100.1.1.4

[r1]acl 2000

[r1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

（公有IP范围地址和私有IP范围地址）私有IP可以转换成公有IP，多个私有IP转换成多个公有IP

[r1-acl-basic-2000]interface g0/0/1

[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

（绑定私有IP和公有IP）

测试

用内部的telnet服务器去上网：

<telnet>ping 100.2.2.1

<telnet>ping 100.2.2.2

上网成功，现在再使用PC1去上网：

PC>ping 100.2.2.2

（左右两边都可以上网）

注意：PC1无法ping通PC2，逻辑上存在着问题，用私有IP和私有IP直接通是不可能实现的

5.开启Telnet服务

[telnet]aaa  

[telnet-aaa]local-user jian privilege level 15 password cipher 123

[telnet-aaa]local-user jian service-type telnet

[telnet-aaa]q

[telnet]user-interface vty 0 4

[telnet-ui-vty0-4]authentication-mode aaa

R1设备

(公网接口把100.1.1.1/24的23端口映射到192.168.1.2/24)，外部人员在登录100.1.1.1/24的时候，可以进入telnet服务器

[r1]interface g0/0/1

[r1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 23 inside 192.168.1.2 23

如果有人访问100.1.1.1/24接口（GE0/0/1）23端口，就把目标IP转化成192.168.1.2（23端口）

检查

<r2>telnet 100.1.1.1

<r3>telnet 100.1.1.1

6.最终需求测试

<pc2>telnet 100.1.1.1

实验要求完成，实验配置结束

四、实验总结

       通过本次实验，学会了IP地址转换，了解到怎么在内网与外网上建立联系，这样一来也更好理解在生活中我们体验的网络服务是怎样去实现的。除此以外，还应该掌握（一对一、一对多、多对多）的配置原理。