一、实验拓扑
二、实验需求
1.按照图示配置IP地址,公网地址100.1.1.1/24
2.私网A通过NAPT,使R1接入到互联网,私网B通过EASY IP,使R3接入到互联网
3.私网A配置NAT SERVER把Telnet的Telnet服务发布到公网,使PC2可以访问
三、实验思路
1、配置IP地址部分
2、并配置telnet服务
3、R1和R3作为连接公私网的网络出口设备,在其上配置默认路由指向公网,实现公网互通。
4、私网A通过NAPT,需要配置地址池,但地址池中的地址数量可自行配置,可配置1个地址或者多个,能够使用 R1 的公网地址访问互联网。
5、私网B通过在R3上配置EASY IP访问互联网。
6、私网A配置NAT SERVER把Telnet的Telnet服务发布到公网,使PC2可以访问
四、实验步骤
1、配置IP地址(截各设备配置图片)
2、配置telnet服务(截各设备配置图片)
3、配置公网互通,在 PC1 上 Ping R3 的公网地址,测试是否可以访问互联网。(截各设备配置图片)
公网互通,但是私网是不能ping公网
测试(截公网通测试截图):
4、私网 A 通过NAPT,使 R1 接入到互联网,并测试(截各设备配置图片)
(1)r1上创建acl
(2)r1上创建NAT池塘设置公网地址
(3)公网接口配置NAPT
测试(截私网PC能访问公网地址的测试截图):
5、私网B通过在R3上配置EASY IP 访问互联网,并测试(截各设备配置图片)
(1)创建ACL
(2)接口配置EASY IP
测试(截私网PC能访问公网地址的测试截图):
6、私网A配置 NAT SERVER把Telnet的Telnet服务发布到公网,使PC2可以访问,并测试(截各设备配置图片)
测试(截PC2 telnet R1公网地址,是否能成功访问内网远程登录服务器的测试截图):
五、实验总结
NAT:网络地址转换
在两个独立间通信时,需要一台边界路由器,同时处于两个网络,该路由器被成为边界路由器; 该边界路由器可以进行通讯过程中的ip地址转换,来实现两个网络的互通;
nat最常使用场景:
内网(区域网、企业网、校园网)私有地址 访问 外网(internet互联网)公有地址时,两网之间存在边界路由器,在内部访问外部时,修改源ip地址,外部回应内部时修改目标ip地址;
分类:
动态 静态
一对一(静态) 一对多(动态) 多对多(静态、动态均可) 端口映射(静态)
配置: 所有的nat配置均在边界路由器,连接外部的接口上配置;
(1)一对一(静态):固定将一个ip地址和另一个ip地址映射,绑定
[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.126
外部地址 内部地址
- 一对多(动态):将多个私有ip地址,转换为同一个公有ip地址,且可以直接转换为外网接口上配置的ip地址
多个私有ip地址同时转换为一个公有地址,只能基于端口号来进行区分;
故一对多的nat又被成为pat-端口地址转换
Easy-nat -最简单的一种一对多:
[r2]acl 2000 先使用标准ACL,将可以被转换的私有ip地址的范围定义为感兴趣流量
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[r2-acl-basic-2000]q
[r2]interface g0/0/2 再在边界路由器,连接外部网络的接口上配置nat,调用该acl
[r2-GigabitEthernet0/0/2]nat outbound 2000 将acl表格2000中提到的私有地址,向外部通讯时,修改其源ip地址,为本地接口(g0/0/2)的ip地址
此方案最大的优势在于,g0/0/2的公有ip地址,可以变化,特别适用于没有固定公有ip地址的场所(家庭宽带、小型企业宽带)
(3)端口映射 --- 仅针对某一个ip地址的特点端口进行地址转换
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.126 80
当外网访问R2的G0/0/2口的公有ip地址时,且同时目标端口为80,那么就将目标ip修改为192.168.1.126,端口80
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8888 inside 192.168.1.2 80
当外网访问R2的G0/0/2口的公有ip地址时,且同时目标端口为8888,那么就将目标ip修改为192.168.1.2,端口80
- 多对多
[r2]nat address-group 1 12.1.1.3 12.1.1.10 先定义公有地址范围池塘
再使用acl定义私有ip地址范围
[r2]acl 2001
[r2-acl-basic-2001]rule permit source 192.168.0.0 0.0.255.255
[r2]interface g0/0/2 最后在边界路由器上,连接外部的接口上配置关联
[r2-GigabitEthernet0/0/2]nat outbound 2001 address-group 1
此时,相当于同时执行多个一对多;(NAPT网络地址端口转换)
切记:一旦在默认添加no-pat指令,那么不再执行端口转换,最先来的边界的几个ip地址,将公有地址池中的公有ip占用;相当于同时执行了多个一对一;
[r2-GigabitEthernet0/0/2]nat outbound 2001 address-group 1 no-pat