NAT（网络地址转换）小实验

实验环境如图，需求如下：
1.要求192.168.10.0/24能够访问Server2，192.168.20.0不能访问Server2
2.SW设备配置网关，其中10网段属于vlan 10,20网段属于vlan 20，30网段属于vlan 30
3.有地址池：100.20.20.10–100.20.20.19对应10网段做地址转换访问Server1
地址池100.20.20.20–100.20.20.29分别对应20网段做地址转换访问Server1，在AR1上执行配置

---

需求1：要求192.168.10.0/24能够访问Server2，192.168.20.0不能访问Server2

需求2：SW设备配置网关，其中10网段属于vlan 10,20网段属于vlan 20，30网段属于vlan 30

我们先给设备配置IP地址，根据需求1和2，我们可以了解到需要新划分3个VLAN，为10,20,30，要实现VLAN 10可以访问VLAN 30的话，需要通过VLAN间路由。而192.168.20.0不能访问server2的话，需要通过使用策略路由来实现。
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10

interface GigabitEthernet0/0/3
port link-type access
port default vlan 20

interface GigabitEthernet0/0/4
port link-type access
port default vlan 10

interface GigabitEthernet0/0/5
port link-type access
port default vlan 20

interface GigabitEthernet0/0/6
port link-type access
port default vlan 30
划分VLAN后，使用dis vlan来查看交换机上vlan配置情况：

接下来再配置vlanif接口的ip地址：
interface Vlanif10
ip address 192.168.10.254 255.255.255.0

interface Vlanif20
ip address 192.168.20.254 255.255.255.0

interface Vlanif30
ip address 192.168.30.254 255.255.255.0
此时PC1、PC2 都是可以PING通VLAN内任何一台设备的：


接下来，我们可以通过在交换机的G0/0/6口配置策略路由（策略工具traffic-filter）来阻断192.168.20.0的数据。
acl number 2000
rule 5 deny source 192.168.20.0 0.0.0.255
rule 10 permit
[sw1-GigabitEthernet0/0/6]traffic-filter outbound acl 2000
此时我们再使用PC2发送ping包：

再使用PC1发送ping包：

PC1仍然可以ping通，PC2数据已不可达，需求1&2完成。

---

需求3：有地址池：100.20.20.10–100.20.20.19对应10网段做地址转换访问Server1 地址池100.20.20.20–100.20.20.29分别对应20网段做地址转换访问Server1，在AR1上执行配置

根据需求三，数据发送到公网需要进行NAT地址转换，交换机1的G 0/0/1口将数据发送到AR1，再由AR1进行NAT地址的转换，所以在G0/0/1口上也需要配置IP地址，那么先创建一个新的VLAN 100，再给vlanif100分配一个ip地址。
[sw1]v b 100
Info: This operation may take a few seconds. Please wait for a moment…done.
[sw1]interface GigabitEthernet0/0/1
port link-type access
port default vlan 100
[sw1]int v
[sw1]int Vlanif 100
[sw1-Vlanif100]ip add 192.168.100.254 24

再给AR1和Server1分配IP地址：

AR1：
interface GigabitEthernet0/0/0
ip address 192.168.100.253 255.255.255.0

interface GigabitEthernet0/0/1
ip address 100.20.10.253 255.255.255.0

Server1：
interface GigabitEthernet0/0/0
ip address 100.20.10.100 255.255.255.0

此时回头看交换机1的路由表项：

如上图，交换机1的路由表上只有自身的路由条目，所以收到PC的数据后无法进行下一步的转发，同理，路由器1的路由表里也没有PC的路由条目，此时我们需要配置两条静态路由：
[sw1]ip route-static 0.0.0.0 0 192.168.100.253
[r1]ip route-static 0.0.0.0 0 192.168.100.254

完成静态路由配置后，接下来再在路由器1上配置NAT，先根据需求创建两个地址池：
nat address-group 1 100.20.20.10 100.20.20.19
nat address-group 2 100.20.20.20 100.20.20.29
然后再创建ACL来进行配置：
acl number 2000
rule 5 permit source 192.168.10.0 0.0.0.255
acl number 2001
rule 5 permit source 192.168.20.0 0.0.0.255
最后在路由器1的G0/0/1口进行调用就可以了：
interface GigabitEthernet0/0/1
ip address 100.20.10.253 255.255.255.0
nat outbound 2000 address-group 1
nat outbound 2001 address-group 2
（加上no-pat的话就是只转换地址而不转换端口信息）
我们先尝试用随机一台PC去ping server1：

发现是ping不通的，因为Server1没有返回的路由，此时我们在Server1配置静态路由后再看看效果：
[server1]ip route-static 100.20.20.0 24 100.20.10.253

已经可以ping通啦，此时再检查PC3，PC2、PC4也同样可以ping成功，此时再在路由器的G0/0/1口抓包进行观察：
PC1/PC3发送PING包时：

PC2/PC4发送PING包时：

可以看到，源IP地址都进行了转换，而且VLAN 10的网段正好对应的是地址池100.20.20.10-100.20.20.19的地址，VLAN 20的网段正好对应的是地址池100.20.20.20-100.20.20.29的地址。

以上本次小实验结束~