【网络-案例】巧用NAT解决未填写网关的问题

本次实验的用到的拓补及配置文件已上传，下载链接：【https://www.lanzous.com/i64pach】

案例简述

某天你是X公司的网络运维人员，公司的网络拓补图如上图所示。突然，坐在总部运维中心的你接到了领导的指示，说：分部的一台Web服务器Server2无法访问，但是和它同网段的Web服务器Server1访问正常。要求你在一个小时之内恢复网络状况。已知分部地方遥远，赶过去要2个小时，且分部没有运维人员。

案例分析

细心的你仔细分析了以下目前已知的情况：
1.总部的PC１无法访问分部的Web服务器Server2，但是可以访问跟他同一网段的Server1
2.你拨打了分部同事的电话，同事告诉你，它使用分部的Server1去访问Server2时，发现一切正常。
3.分部的Web服务器Server1和Server2的网关处于总部的路由器AR1的G0/0/1.100端口上。使用的是子接口技术，vid是100
4.领导要求你在一小时之内解决问题，但是去往现场要两小时，所以只能在总部先临时解决这个问题，让业务先跑起来，后面在去分部慢慢排查
5.做为网络运维人员的你知道，分部的LSW1配置了Telnet功能，用户名密码皆为admin，远程地址为192.168.2.100

解决步骤

1.我们在使用192.168.1.254作为源地址测试不同网段的ip到Server2的联通性
命令：【ping -a 192.168.1.254 192.168.2.2】

<AR1>ping -a 192.168.1.254 192.168.2.2
  PING 192.168.2.2: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out

  --- 192.168.2.2 ping statistics ---
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss

<AR1>

2.我们在使用192.168.2.254作为源地址测试同网段的ip到Server2的联通性
命令：【ping -a 192.168.2.254 192.168.2.2】

<AR1>ping -a 192.168.2.254 192.168.2.2
  PING 192.168.2.2: 56  data bytes, press CTRL_C to break
    Reply from 192.168.2.2: bytes=56 Sequence=1 ttl=255 time=40 ms
    Reply from 192.168.2.2: bytes=56 Sequence=2 ttl=255 time=20 ms
    Reply from 192.168.2.2: bytes=56 Sequence=3 ttl=255 time=20 ms
    Reply from 192.168.2.2: bytes=56 Sequence=4 ttl=255 time=20 ms
    Reply from 192.168.2.2: bytes=56 Sequence=5 ttl=255 time=30 ms

  --- 192.168.2.2 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 20/26/40 ms

<AR1>

3.通过1和2的测试我们发现Server2的问题在于只能和同一网段的设备通信，但是和不同网段的设备之间无法通信。
初步判断为网关或路由问题，但是网关是落在总部路由器上的，所以不可能有路由问题。
既然说是网关问题，我们想像个办法讲总部的PC１的IP切换到和分部的分部的IP同一个网段不就行了嘛！
博主第一时间想到的是类似于代理的办法，让总部的AR1代理我们的请求，百度上一搜没找到。
仔细一想实际上我们只是需要替换掉PC１访问Server2时的源IP。对了，easy nat不就是替换源ip的嘛！
我们在总部的AR1的G0/0/1.100端口上做一个esay nat,看看问题能否修复。

4.配置easy nat
首先我们在AR1的上面按【ctrl】+【z】返回用户视图
配置过程如下：

<AR1>system-view                                                         #这里我们是进入系统视图
[AR1]acl number  2000                                                   #创建了一个基本ACL2000，用于匹配源地址
[AR1-acl-basic-2000]rule 5 permit  source  any              #创建规则5是匹配任意原地址
[AR1]interface GigabitEthernet  0/0/1.100                      #进入子接口G0/0/1.100
[AR1-GigabitEthernet0/0/1.100]nat outbound 2000        #配置easy nat ，匹配的源地址是acl2000所匹配的所有ip

5.我们在使用总部的PC1上测试到分部的Server2的联通性
查看能否访问Web服务器
成功了。
看来问题原因为Server2的网关填写错误。

后期验证

1.业务恢复后，你慢悠悠的开着运维车前方了分部，打开服务器网络配置界面，发现是网关没有填写。
2.将网关添加上
3.网关添加好之后，你在分部的LSW1交换机上telnet远程登陆总部的AR1，删去之前我们加的NAT配置。
配置步骤如下：

<LSW1>telnet 192.168.2.254                                                            #登陆总部的路由器 
Trying 192.168.2.254 ...
Press CTRL+K to abort
Connected to 192.168.2.254 ...

Login authentication


Username:admin
Password:
  ----------------------------------------------------------------------------- 
    
  User last login information:     
  -----------------------------------------------------------------------------
  Access Type: Telnet      
  IP-Address : 192.168.2.100     
  Time       : 2019-09-12 10:37:05-08:00     
  -----------------------------------------------------------------------------
<AR1>system-view                                                                          #进入系统视图
Enter system view, return user view with Ctrl+Z. 
[AR1]interface  GigabitEthernet  0/0/1.100                                      #进入G0/0/1.100子接口
[AR1-GigabitEthernet0/0/1.100]dis this                                            #查看端口当前的配置
[V200R003C00]
#
interface GigabitEthernet0/0/1.100
 dot1q termination vid 100
 ip address 192.168.2.254 255.255.255.0 
 arp broadcast enable
 nat outbound 2000
#
return
[AR1-GigabitEthernet0/0/1.100]undo nat outbound  2000                #删除匹配acl2000的easy nat配置
[AR1-GigabitEthernet0/0/1.100]quit                                                  #退出G0/0/1.100子接口
[AR1]undo acl number 2000                                                             #删除acl2000
[AR1]