本文详细描述了一次网络地址转换实验,涉及动态NAT配置、EasyIP设置以及NATServer的应用,通过实际操作演示了如何在企业内部网络环境中实现公网访问和路由配置。
目录
目录
10.2.2 假设该公司获得了1.2.3.10至1.2.3.20这段公网IP,现需要配置动态NAT
10.2.3 假设R2的GigabitEthernet0/0/4的地址不是固定IP地址(DHCP动态获取或PPPoE拨号获取),此时需要配置Easy IP
10.2.4 假设R3要向公网提供网络服务(用telnet模拟),由于R3没有公网IP地址,故需要在R2的出接口上配置NAT Server
10 网络地址转换配置实验
10.1 实验组网拓扑
1. R1和R2之间的网络属于企业内部网络,使用私网IPv4地址。
2. R1模拟客户端,R2作为R1的网关,同时也是连接公网的出口路由器。
3. R3模拟公网。
10.2 实验任务配置
10.2.1 实验环境搭建
1. 路由器选择AR3260,连接对应接口
R1 GE0/0/1 —— R2 GE0/0/1
R2 GE0/0/2 —— R3 GE0/0/1
2.配置接口IP地址和路由配置
R1 GE0/0/1 ip address 192.168.1.1 24;ip route-static 0.0.0.0 192.168.1.254
R2 GE0/0/1 ip address 192.168.1.254 24
R2 GE0/0/2 ip address 1.2.3.4 24;ip route-static 0.0.0.0 1.2.3.254
R3 GE0/0/1 ip address 1.2.3.254 24
3.配置R1和R3的telnet功能(用于后续实验验证)
[R1]user-interface vty 0 4 //进入用户界面视图
[R1-ui-vty0-4]authentication-mode aaa //设置登录用户界面的验证方式为AAA
[R1-ui-vty0-4]quit
[R1]aaa //进入AAA视图
[R1-aaa]local-user test password irreversible-cipher Huawei@123 //创建本地用户密码
Info: Add a new user.
[R1-aaa]local-user test service-type telnet //配置用户接入类型为telnet
[R1-aaa]local-user test privilege level 15 //设置用户权限等级[R3]user-interface vty 0 4
[R3-ui-vty0-4]authentication-mode aaa
[R3-ui-vty0-4]quit
[R3]aaa
[R3-aaa]local-user test password irreversible-cipher Huawei@123
Info: Add a new user.
[R3-aaa]local-user test service-type telnet
[R3-aaa]local-user test privilege level 15
[R3-aaa]quit4.测试当前联通性
[R1] ping 1.2.3.254 ;[R2]ping 1.2.3.254
因为当前R3没有配置到192.168.1.0/24网段的路由,R1无法访问R3
实际情况下,R3也禁止配置到私网IP网段的路由
10.2.2 假设该公司获得了1.2.3.10至1.2.3.20这段公网IP,现需要配置动态NAT
1.配置NAT地址池 [R2]nat address-group 1 1.2.3.10 1.2.3.20
nat address-group:配置NAT地址池。1代表地址池的编号,地址池必须是一段连续的IP地址集合,当内部数据报文通过地址转换到达外部网络时,其源地址将被地址池转换为其他地址。
2.配置ACL
①进入ACL视图 [R2]acl 2000
②设置规则 [R2-acl-basic-2000]rule 5 permit source any
3.在R2的GE0/0/2接口配置动态NAT
[R2-GigabitEthernet0/0/4]nat outbound 2000 address-group 1
nat outbound:将一个访问控制列表ACL和一个地址池关联起来,符合ACL中规定的地址可以使用地址池进行地址转换。当地址池中地址的数量足够时,可以添加no-pat参数,表示使用一对一的地址转换,只转换数据报文的地址而不转换端口信息
4.测试联通性 [R1] ping 1.2.3.254
5.R1通过telnet远程登录到R3(模拟TCP流量) <R1>telnet 1.2.3.254
6.查看R2上的NAT会话表 [R2]display nat session all
尽管此时R3没有到R1的路由条目,但是由于转换后的源地址为1.2.3.11,R3会将数据回复给该地址,R2收到后会根据NAT会话表中的数据重新转换为R1的地址并转发。所以此时R1可以主动发起到R3的访问。
10.2.3 假设R2的GigabitEthernet0/0/4的地址不是固定IP地址(DHCP动态获取或PPPoE拨号获取),此时需要配置Easy IP
1.删除上一步骤的配置,删除R2 GE0/0/2接口上的配置
[R2-GigabitEthernet0/0/4]undo nat outbound 2000 address-group 1
2.配置Easy IP [R2-GigabitEthernet0/0/4]nat outbound 2000
3.测试联通性 [R1]ping 1.2.3.254
4.R1通过telnet远程登录到R3(模拟TCP流量)[R2]display nat session all
10.2.4 假设R3要向公网提供网络服务(用telnet模拟),由于R3没有公网IP地址,故需要在R2的出接口上配置NAT Server
1.在R2上配置NAT Server
[R2-GigabitEthernet0/0/4] nat server protocol tcp global current-interface 2323 inside 192.168.1.1 telnet
nat server:定义一个内部服务器的映射表,外部用户可以通过地址和端口转换来访问内部服务器的某项服务。配置内部服务器可以使外部网络主动访问私网中的服务器。当外部网络向内部服务器的外部地址(global-address)发起连接请求时,NAT将该请求的目的地址替换为私网地址(inside-address)后,转发给私网内的服务器。
2. R3通过telnet远程登录到R1 <R3>telnet 1.2.3.4 2323
3.查看R2上的NAT会话表 [R2]display nat session all
10.3 知识补充
1.查看接口IP信息 display ip interface brief
2.查看IP路由表 display ip routing-table
3.查看接口Mac地址 display interface GigabitEthernet0/0/x
4.查看接口信息 display interface brief
972
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
