目录
目录
10.2.2 假设该公司获得了1.2.3.10至1.2.3.20这段公网IP,现需要配置动态NAT
10.2.3 假设R2的GigabitEthernet0/0/4的地址不是固定IP地址(DHCP动态获取或PPPoE拨号获取),此时需要配置Easy IP
10.2.4 假设R3要向公网提供网络服务(用telnet模拟),由于R3没有公网IP地址,故需要在R2的出接口上配置NAT Server
10 网络地址转换配置实验
10.1 实验组网拓扑
1. R1和R2之间的网络属于企业内部网络,使用私网IPv4地址。
2. R1模拟客户端,R2作为R1的网关,同时也是连接公网的出口路由器。
3. R3模拟公网。
10.2 实验任务配置
10.2.1 实验环境搭建
1. 路由器选择AR3260,连接对应接口
R1 GE0/0/1 —— R2 GE0/0/1
R2 GE0/0/2 —— R3 GE0/0/1
2.配置接口IP地址和路由配置
R1 GE0/0/1 ip address 192.168.1.1 24;ip route-static 0.0.0.0 192.168.1.254
R2 GE0/0/1 ip address 192.168.1.254 24
R2 GE0/0/2 ip address 1.2.3.4 24;ip route-static 0.0.0.0 1.2.3.254
R3 GE0/0/1 ip address 1.2.3.254 24
3.配置R1和R3的telnet功能(用于后续实验验证)
[R1]user-interface vty 0 4 //进入用户界面视图
[R1-ui-vty0-4]authentication-mode aaa //设置登录用户界面的验证方式为AAA
[R1-ui-vty0-4]quit
[R1]aaa //进入AAA视图
[R1-aaa]local-user test password irreversible-cipher Huawei@123 //创建本地用户密码
Info: Add a new user.
[R1-aaa]local-user test service-type telnet //配置用户接入类型为telnet
[R1-aaa]local-user test privilege level 15 //设置用户权限等级
[R3]user-interface vty 0 4
[R3-ui-vty0-4]authentication-mode aaa
[R3-ui-vty0-4]quit
[R3]aaa
[R3-aaa]local-user test password irreversible-cipher Huawei@123
Info: Add a new user.
[R3-aaa]local-user test service-type telnet
[R3-aaa]local-user test privilege level 15
[R3-aaa]quit
4.测试当前联通性
[R1] ping 1.2.3.254 ;[R2]ping 1.2.3.254
因为当前R3没有配置到192.168.1.0/24网段的路由,R1无法访问R3
实际情况下,R3也禁止配置到私网IP网段的路由
10.2.2 假设该公司获得了1.2.3.10至1.2.3.20这段公网IP,现需要配置动态NAT
1.配置NAT地址池 [R2]nat address-group 1 1.2.3.10 1.2.3.20
nat address-group:配置NAT地址池。1代表地址池的编号,地址池必须是一段连续的IP地址集合,当内部数据报文通过地址转换到达外部网络时,其源地址将被地址池转换为其他地址。
2.配置ACL
①进入ACL视图 [R2]acl 2000
②设置规则 [R2-acl-basic-2000]rule 5 permit source any
3.在R2的GE0/0/2接口配置动态NAT
[R2-GigabitEthernet0/0/4]nat outbound 2000 address-group 1
nat outbound:将一个访问控制列表ACL和一个地址池关联起来,符合ACL中规定的地址可以使用地址池进行地址转换。当地址池中地址的数量足够时,可以添加no-pat参数,表示使用一对一的地址转换,只转换数据报文的地址而不转换端口信息
4.测试联通性 [R1] ping 1.2.3.254
5.R1通过telnet远程登录到R3(模拟TCP流量) <R1>telnet 1.2.3.254
6.查看R2上的NAT会话表 [R2]display nat session all
尽管此时R3没有到R1的路由条目,但是由于转换后的源地址为1.2.3.11,R3会将数据回复给该地址,R2收到后会根据NAT会话表中的数据重新转换为R1的地址并转发。所以此时R1可以主动发起到R3的访问。
10.2.3 假设R2的GigabitEthernet0/0/4的地址不是固定IP地址(DHCP动态获取或PPPoE拨号获取),此时需要配置Easy IP
1.删除上一步骤的配置,删除R2 GE0/0/2接口上的配置
[R2-GigabitEthernet0/0/4]undo nat outbound 2000 address-group 1
2.配置Easy IP [R2-GigabitEthernet0/0/4]nat outbound 2000
3.测试联通性 [R1]ping 1.2.3.254
4.R1通过telnet远程登录到R3(模拟TCP流量)[R2]display nat session all
10.2.4 假设R3要向公网提供网络服务(用telnet模拟),由于R3没有公网IP地址,故需要在R2的出接口上配置NAT Server
1.在R2上配置NAT Server
[R2-GigabitEthernet0/0/4] nat server protocol tcp global current-interface 2323 inside 192.168.1.1 telnet
nat server:定义一个内部服务器的映射表,外部用户可以通过地址和端口转换来访问内部服务器的某项服务。配置内部服务器可以使外部网络主动访问私网中的服务器。当外部网络向内部服务器的外部地址(global-address)发起连接请求时,NAT将该请求的目的地址替换为私网地址(inside-address)后,转发给私网内的服务器。
2. R3通过telnet远程登录到R1 <R3>telnet 1.2.3.4 2323
3.查看R2上的NAT会话表 [R2]display nat session all
10.3 知识补充
1.查看接口IP信息 display ip interface brief
2.查看IP路由表 display ip routing-table
3.查看接口Mac地址 display interface GigabitEthernet0/0/x
4.查看接口信息 display interface brief