一、HCL（私网访问公网：NAPT 与 EASY IP 实战）6.1—6.2

最新推荐文章于 2025-10-30 23:35:54 发布

原创最新推荐文章于 2025-10-30 23:35:54 发布 · 1.1k 阅读

19 ·

CC 4.0 BY-SA版权

文章标签：

#网络 #智能路由器 #NAPT #EASY IP #网络地址转换 #企业组网 #配置教程

一、这里使用的软件是 HCL_v5.10.3-Setup.exe。

二、实验名称：私网 A 双 VLAN（VLAN10/20）通过 NAPT、私网 B 通过 EASY IP 访问公网实验。

三、实验设备：交换机：1 台 S6850（SW1）、路由器：3 台 MSR36-20（R1、R2、R3）、
PC 终端：3 台（PC1、PC2、PC3）

路由器型号：MSR36-20(注意：不同型号路由器的功能稍有区别，注意查看接口。)

查看接口的命令：display ip interface brief （用户视图和系统视图均可使用查看）

四、实验要求：

1、按照图示配置IP地址。

2、私网A通过NAPT使VLAN10和20都能够使用R1的公网地址访问互联网。

3、私网B通过EASY IP访问互联网。

端口连接的概况：

PC1的GE0/1接口与SW1的GE1/0/1接口相连；
PC2的GE0/1接口与SW1的GE1/0/2接口相连；
SW1的GE1/0/3接口与R1的GE0/0接口相连；
R1的GE_0/1接口与R2的GE0/0接口相连；
R2的GE_0/1接口与R3的GE0/0接口相连；
R3的GE_0/1接口与PC3的GE0/1接口相连。

实验拓扑图：（拓扑图含私网 A 双 VLAN、私网 B 及公网中转节点，各设备接口连接见“ 端口连接概况 ” ）

五、实验配置

(注意: 进入用户视图 Ctrl + c 或 Ctrl + d)

如何进入PC的可视化界面，鼠标右击拓扑中的PC设备，在显示的选项中点击配置选项。

注意：启用接口管理，启用IPv4的静态，再点击上方的刷新！

PC1:

IP地址: 192.168.1.1
掩码：255.255.255.0
网关 : 192.168.1.254

PC2:

IP地址：192.168.2.1
掩码：255.255.255.0
网关: 192.168.2.254

PC3:

IP地址：192.168.1.1
掩码：255.255.255.0
网关：192.168.1.254

SW1:

<H3C>system-view ---- 进入系统视图
[H3C]sysname SW1 ---- 更改设备名为SW1
[SW1]vlan 10 ---- 创建VLAN10,对应PC1网段
[SW1-vlan10]quit ---- 退出
[SW1]vlan 20 ---- 创建VLAN20,对应PC2网段
[SW1-vlan20]quit ---- 退出
[SW1]interface ge1/0/1 ---- 进入SW1的ge1/0/1接口
[SW1-GigabitEthernet1/0/1]port access vlan 10 ---- ge1/0/1接口划入vlan10
[SW1-GigabitEthernet1/0/1]quit ---- 退出
[SW1]interface ge1/0/2 ---- 进入SW1的ge1/0/2接口
[SW1-GigabitEthernet1/0/2]port access vlan 20 ---- ge1/0/2接口划入vlan20
[SW1-GigabitEthernet1/0/2]quit ---- 退出

[SW1]interface Vlan-interface 10 ---- 进入Vlan-interface 10
[SW1-Vlan-interface10]ip address 192.168.1.254 24 ---- 配置PC1的网关
[SW1-Vlan-interface10]quit ---- 退出

[SW1]interface Vlan-interface 20 ---- 进入Vlan-interface 20
[SW1-Vlan-interface20]ip address 192.168.2.254 24 ---- 配置PC2的网关
[SW1-Vlan-interface20]quit ---- 退出

[SW1]interface ge1/0/3 ---- 进入SW1的ge1/0/3接口
[SW1-GigabitEthernet1/0/3]port link-type trunk ---- 设置端口类型为trunk
[SW1-GigabitEthernet1/0/3]port trunk permit vlan 10 20 ---- 配置trunk,允许VLAN10/20通过
[SW1-GigabitEthernet1/0/3]quit ---- 退出

（这里选用的交换机可以使用静态路由）
[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.253 ---- 静态路由指向R1
[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.2.253 ---- 静态路由指向R1

R1:

<H3C>system-view ---- 进入系统视图
[H3C]sysname R1 ---- 更改设备名为R1

[R1]interface ge0/0.10 ---- 配置子接口，对应VLAN10
[R1-GigabitEthernet0/0.10]vlan-type dot1q vid 10 ---- 配置子接口的VLAN封装协议为dot1q(802.1Q) , 绑定VLAN 10
[R1-GigabitEthernet0/0.10]ip address 192.168.1.253 24 ---- 配置子接口IP
[R1-GigabitEthernet0/0.10]quit ---- 退出

[R1]interface ge0/0.20 ---- 配置子接口，对应VLAN20
[R1-GigabitEthernet0/0.20]vlan-type dot1q vid 20 ---- 配置子接口的VLAN封装协议为dot1q(802.1Q) , 绑定VLAN 20
[R1-GigabitEthernet0/0.20]ip address 192.168.2.253 24 ---- 配置子接口IP
[R1-GigabitEthernet0/0.20]quit ---- 退出

[R1]interface ge0/1 ---- 进入R1的ge0/1接口(公网接口)
[R1-GigabitEthernet0/1]ip address 100.1.1.1 24 ---- 配置公网IP
[R1-GigabitEthernet0/1]quit ---- 退出

[R1]nat address-group 1 ---- 创建NAPT的公网地址池，命名为：1
[R1-address-group-1]address 100.1.1.10 100.1.1.10 ---- 地址池只包含一个公网IP(100.1.1.10)；配置连续的公网IP可以这样：address 100.1.1.10 100.1.1.13,这个包含4个公网IP(100.1.1.10、100.1.1.11、100.1.1.12、100.1.1.13)
[R1-address-group-1]quit ---- 退出

[R1]acl number 2000 ---- 创建基础ACL 2000，用于匹配需要转换的私网流量
[R1-acl-ipv4-basic-2000]rule 0 permit source 192.168.1.0 0.0.0.255 ---- 规则0：允许来源为192.168.1.0/24（PC1网段）的流量
[R1-acl-ipv4-basic-2000]rule 5 permit source 192.168.2.0 0.0.0.255 ---- 规则5：允许来源为192.168.2.0/24（PC2网段）的流量
[R1-acl-ipv4-basic-2000]quit ---- 退出

[R1]interface ge0/1 ---- 进入R1的公网接口ge0/1
[R1-GigabitEthernet0/1]nat outbound 2000 address-group 1 ---- 启用NAPT：让 acl 2000匹配的流量，通过地址池1转换后从该接口出去
[R1-GigabitEthernet0/1]quit ---- 退出

R2:

<H3C>system-view ---- 进入系统视图
[H3C]sysname R2 ---- 更改设备名为R2

[R2]interface ge0/0 ---- 进入R2的GE0/0接口
[R2-GigabitEthernet0/0]ip address 100.1.1.2 24 ---- 配置IP
[R2-GigabitEthernet0/0]quit ---- 退出

[R2]interface ge0/1 ---- 进入R2的GE0/1接口
[R2-GigabitEthernet0/1]ip address 100.2.2.1 24 ---- 配置IP
[R2-GigabitEthernet0/1]quit ---- 退出

[R2]ip route-static 0.0.0.0 0.0.0.0 100.1.1.1 ---- 配置默认路由
[R2]ip route-static 192.168.1.1 32 100.2.2.2 ---- 配置主机路由

R3:

<H3C>system-view ---- 进入系统视图
[H3C]sysname R3 ---- 更改设备名为R3

[R3]interface ge0/0 ---- 进入R3的GE0/0接口
[R3-GigabitEthernet0/0]ip address 100.2.2.2 24 ---- 配置IP，R3在公网的“身份标识”，EASY IP会直接用这个IP转换
[R3-GigabitEthernet0/0]quit ---- 退出

[R3]interface ge0/1 ---- 进入R3的GE0/1接口
[R3-GigabitEthernet0/1]ip address 192.168.1.254 24 ---- 配置IP，作为PC3的网关
[R3-GigabitEthernet0/1]quit ---- 退出

[R3]acl number 2001 ---- 创建ACL 2001，匹配私网B的流量
[R3-acl-ipv4-basic-2001]rule 0 permit source 192.168.1.0 0.0.0.255 ---- 允许PC3所在网段（192.168.1.0/24）的流量
[R3-acl-ipv4-basic-2001]quit ---- 退出
[R3]interface ge0/0 ---- 进入R3的GE0/0接口
[R3-GigabitEthernet0/0]nat outbound 2001 ---- 启用EASY IP：让ACL 2001匹配的流量，直接用该接口的公网IP转换
[R3-GigabitEthernet0/0]quit

六、实验结果：

1. 验证 NAPT 会话（核心命令：display nat session）

验证步骤，先在PC1上 ping R2的公网ge0/0端口(100.1.1.2) ,再在R1上运行这个核心命令。

PC1没有ping公网ge0/0端口(100.1.1.2)的情况：

PC1第一次 ping R2公网ge0/0端口(100.1.1.2)的情况：

源端（PC1）：Source IP/port: 192.168.1.1/161 → PC1 的私网 IP 是192.168.1.1，端口161是系统随机分配的临时端口。

目的端（公网 R2）：Destination IP/port: 100.1.1.2/2048 → 目标是 R2 的公网接口100.1.1.2，端口2048是 ICMP（ping）的临时端口。

协议与接口：Protocol: ICMP(1) → 确认是 ping 操作；Inbound interface: GigabitEthernet0/0.20 → 流量从 R1 的子接口GE0/0.20（对应 VLAN20 的子接口）进入，说明流量转发路径已打通。

这意味着PC1 的第一次 ping 请求成功触发了 NAPT 转换，私网流量正在被 R1 转换为公网地址并向 R2 转发，NAPT 配置在第一次访问时就正常生效了。

2. 验证EASY IP 会话（核心命令：display nat session）

验证步骤，先在PC3上 ping R2的公网ge0/1端口(100.2.2.1) ,再在R3上运行这个核心命令。

PC3第一次 ping R2公网ge0/0端口(100.2.2.1)的情况：

源端（PC3）：Source IP/port: 192.168.1.1/157 → PC3的私网IP是192.168.1.1，端口157是系统随机分配的临时端口。

目的端（公网R2）：Destination IP/port: 100.2.2.1/2048 → 目标是R2的公网接口100.2.2.1，端口2048是ICMP（ping）的临时端口。

协议与接口：Protocol: ICMP(1) → 确认是ping操作；Inbound interface: GigabitEthernet0/1 → 流量从R3的私网接口GE0/1进入，说明PC3的流量已被R3捕获并触发EASY IP转换。

EASY IP的核心逻辑是直接复用公网接口的IP作为转换地址，R3的公网接口（GE0/0）IP是100.2.2.2，因此PC3的私网流量会被转换为100.2.2.2 + 动态端口的形式访问公网，当前会话已验证EASY IP配置正常生效。