计网:端口映射
最近做学校的计网实验弄了好久才给弄完,感觉这个实验有点麻烦,就写了这个博客分享下(可能还有错,欢迎指出)
一.题目和要求
一、任务描述
本项目之目的是在学习了解OSI/RM中网络层和传输层的基础理论基础上,利用华为设备的模拟环境eNSP,利用端口映射技术实现仅配置私有地址设备与互联网的通信。
设备要求:选择一台华为的三层交换机(S5700),并将其所有端口平均划分为四个VLAN的成员,每个VLAN分配不同网段的IP地址。在每一VLAN选择一个端口连接一台PC设备,此PC设备的IP地址属于此VLAN成员所属IP网段。要求全部IP地址选用私有地址。
拓扑图要求如下:
设备要求:按照拓扑图选用相关网络设备,完成网络环境的搭建,并配置所需参数。
任务实现要求:
1、完成路由器AR1的配置及进行验证分析;
AR1:定义ACL,配置允许的内网网段,将AR1的右侧接口配置为outbound接口。
AR1上配置一条静态默认路由,下一跳为12.2.2.254。
企业内部网ping 外网的20.1.2.2:针对AR2的左侧接口和AR1的左侧接口抓包分析。
对内网和外网源IP地址和目标IP地址的变化情况,通过抓包截图进行分析。
2、利用HTTP服务验证端口映射的实现;
(1)选中Web服务器(拓扑图右上角),启动HTTP服务;
(2)AR1上配置NAPT和端口映射:
(3)右侧Client1 客户端信息,httpclient,输入地址http://20.1.2.2/default.htm(服务器的根目录),点击获取,提示信息为HTTP/ OK 的字样,证明网页获取成功。
二.实现
1.基础配置和NAT配置
1.1 基础配置
首先很抽象的是,题目中要求配置vlan划分4个vlan,通常,每个VLAN应当有自己独立的IP子网,以便通过三层交换机进行路由。但是接口对应的地址分别为192.168.0.1 192.168.0.2 192.168.0.3 192.168.0.4 他们在同一个网段(192.168.0.0/24)内,交换机无法通过IP地址来区分它们属于哪个VLAN,从而难以配置正确的SVI接口和对应的网关。因而我没有做这一步。
然后是对各个主机的配置,记得配置好IP地址,网关,以及子网掩码。
1.2NAT配置
NAT配置有多种方式:
-
静态NAT(一个内网地址对一个公网地址)
-
动态NAT–PAT(多个内网地址对多个公网地址)
-
Easyip(多个内网地址对一个接口)
-
静态PAT(一对一,但外网口ip和服务映射内网服务器的IP和服务)
在此我们使用EasyIP的方式配置NAT
首先是对AR1的配置:
[AR1]int g0/0/0 //进入接口g0/0/0
[AR1-GigabitEthernet0/0/0]undo shut //开启物理接口
[AR1-GigabitEthernet0/0/0]ip add 192.168.0.1 255.255.255.0 //配置IP地址及子网掩码长度
[AR1-GigabitEthernet0/0/0]int g0/0/1 //进入接口g0/0/1
[AR1-GigabitEthernet0/0/1]undo shut //开启物理接口
[AR1-GigabitEthernet0/0/1]ip add 12.2.2.1 255.255.255.0 //配置IP地址及子网掩码长度
[AR1]acl 2000 //创建标准访问控制列表2000
[AR1-acl-basic-2000]rule permit source 192.168.0.0 0.0.0.255 //配置ACL抓取内网地址段
[AR1-acl-basic-2000]int g0/0/1 //进入接口g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 //在外网口打下此命令
[AR1-GigabitEthernet0/0/1]display nat outbound//查看是否成
其次是对AR2的配置:
[AR2]int g0/0/0 //进入接口g0/0/0
[AR2-GigabitEthernet0/0/0]undo shut //开启物理接口
[AR2-GigabitEthernet0/0/0]ip add 12.2.2.254 255.255.255.0 //配置IP地址及子网掩码长度
[AR2-GigabitEthernet0/0/0]int g0/0/1 //进入接口g0/0/1
[AR2-GigabitEthernet0/0/1]undo shut //开启物理接口
[AR2-GigabitEthernet0/0/1]ip add 20.1.2.1 255.255.255.0 //配置IP地址及子网掩码长度
PS:别忘了AR1和AR2配置静态路由
[AR1]ip route-static 0.0.0.0 0.0.0.0 12.2.2.254 //内网中的设备(如PC2)在访问外网(如Srv1)时,数据包能够通过AR2进一步转发到外网
[AR2]ip route-static 192.168.0.0 255.255.255.0 12.2.2.1 //这条路由用于确保从外网返回的数据包能够正确地传递到内网
1.3结果抓包分析
抓包分析
- 在AR1的g0/0/0接口(192.168.0.1)进行抓包
- 源IP地址:192.168.0.3(PC2)
- 目标IP地址:20.1.2.2(Server1)
这是因为在内网,PC2直接向目标地址20.1.2.2发送ICMP请求包。
- 在AR2的g0/0/0接口(12.2.2.254)进行抓包
- 源IP地址:12.2.2.1(AR1的外部接口)
- 目标IP地址:20.1.2.2(Server1)
这是因为经过AR1的NAPT转换,内部网络的私有IP地址(192.168.0.3)被替换为AR1的外部接口IP地址(12.2.2.1)。
3.分析结果总结
3.1在内网中,源IP地址保持为私有地址(如192.168.0.3)。
3.2经过AR1的NAPT转换后,源IP地址被替换为AR1的外部接口地址(如12.2.2.1)。
3.3目标IP地址在整个通信过程中保持不变(如20.1.2.2)。
3.4回应包中的源IP地址和目标IP地址也会相应转换。
2.端口映射配置
在AR1上配置:
interface Gigabitpthernet0/0/1
nat server protocol tcp global 12.2.2.200 www inside 192.168.0.2 www //将web服务器的内网地址(192.168.0.2)映射到公网上
nat outbound 2000
此处题目应该出错了,应该是左上角的web服务器,而不是右上角。同时选择映射的地址在公网上即可,不一定非是12.2.2.200,12.2.2.210也可以😜。
配置好后在client 1上即可获取http://12.2.2.200/default.htm的内容
8436
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
