内外网互访--实验

已于 2023-12-25 08:47:03 修改
阅读量947 收藏 22
点赞数 24
分类专栏: 综合实验 文章标签: 网络 tcp/ip 网络协议 运维 信息与通信
于 2023-12-25 08:43:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72194028/article/details/135190760
版权

内外网互访

拓扑

需求

  1. 公司租用公网IP地址(100.1.1.0/29),通过地址池NAT和外界通信
  2. 除vlan40所在网段外,其他内网业务网段都能访问外网

    -nat地址池

    -100.1.1.3

    -100.1.1.4

    -100.1.1.5

  3. 外部主机Client1可以访问内网的web服务器
  4. 租用的公网地址为100.1.1.6,用于内网服务器的发布

    -100.1.1.6

配置步骤:

1)配置接口IP地址

2)配置acl --定义哪些内网流量可以访问互联网

3)配置nat地址池

4)在出口设备的出接口上配置nat地址池

5)在出口设备的出接口上配置nat-server

6)出口设备要配置默认路由

7) 在内网网关-核心设备(SW5/SW6) 要不要有默认路由--如何来配置呢?

配置命令:

1)在ISP设备配置接口IP地址
[R20]sys ISP-dx
[ISP-dx]int g0/0/0
[ISP-dx-GigabitEthernet0/0/0]ip add 200.1.1.254 24
[ISP-dx-GigabitEthernet0/0/0]int g0/0/1
[ISP-dx-GigabitEthernet0/0/1]ip add 100.1.1.2 29

2)在出口设备配置出口设备出接口IP地址
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip address 100.1.1.1 29

3)在出口设备配置acl 定义允许那些内网网段可以做nat转换
[R1]acl 2000
[R1-acl-basic-2000]rule 10 deny source 192.168.40.0 0.0.0.255
[R1-acl-basic-2000]rule 20 permit source any 

3)在出口设备创建公网NAT转换地址池
[R1]nat address-group 1 100.1.1.3 100.1.1.5

4)在出口设备配置默认路由
[R1]ip route-static 0.0.0.0 0.0.0.0 100.1.1.2

5) 在R1的ospf中引入默认路由,让SW5和SW6学习ospf的默认路由
[R1-ospf-1]default-route-advertise 

6)配置nat转换
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]nat outbound  2000 address-group 1  

验证:内网主机是否可以访问公网IP地址

7)配置NAT-server 
[R1]int g0/0/2
[R1-G0/0/2]nat server protocol tcp global 100.1.1.6 www inside 192.168.88.1 www
[R1-G0/0/2]nat server  protocol icmp global 100.1.1.6  inside 192.168.88.1


## 易错点解析
公网主机通过公网地址无法访问内网主机
当NAT server转换为私网地址后,查找路由表有两条去往192.168.88.0的等价路由
华为的路由器将不做nat-server 地址转换,为什么? 
因为华为的nat-server 会话表 要求 路径对称

什么是路径对称:
就是:流量出去的时候走的那条路,流量回来的时候要求路径一致

华为的路由器有这种要求,但是华为的防火墙并不要求路径对称

所以我们要确保出口设备R1 去往192.168.88.1/24 的路由只有一个唯一的下一跳

<R1>display ip routing-table 192.168.88.1
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Destination/Mask    Proto   Pre  Cost   NextHop         Interface
 192.168.88.0/24     OSPF    10   2      192.168.15.5    G0/0/0
                    OSPF    10   2      192.168.15.5    G0/0/0 

如果R1去往192.168.88.1/24 有两个下一跳,就不会做nat-server 地址转换
 
 解决方案: 
 解决方式一: 
如果在SW6的ospf中也创建了area 88 ,并且宣告了192.168.88.0/24
那么要在SW6上将interface vlanif88的接口cost值调高

[SW6]int Vlanif 88
[SW6-Vlanif88]ospf cost 10


 解决方式二: 
在sw6上不宣告vlanif88网段。
[SW6]ospf 1 
[SW6-ospf-1]area  88
[SW6-ospf-1-area-0.0.0.88]undo network 192.168.88.0 0.0.0.255
[SW6-ospf-1-area-0.0.0.88]quit
[SW6-ospf-1]undo area 88

验证:
发现外网主机可以访问内网服务器
网工—tea
关注
  • 24
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙NAT技术
pink___floyd的博客
08-09 4232
NAPT,NAT server,
目的NAT server;公用户通过NAT Server访问内部服务器
2301_77023501的博客
11-16 389
当通过global IP地址配置nat server后,再通过基于接口地址的方式配置nat server,当被借用的接口的地址与global IP地址相同时,二者冲突,基于接口方式的nat server不生效。当内部署了一台服务器,其真实IP是私地址,但是希望公用户可以通过一个公地址来访问该服务器,这时可以配置nat server,使设备将公用户访问该公地址的报文自动转发给内服务器。外部络的用户访问内部服务器时,nat将请求报文的目的地址转换成内部服务器的私有地址。转换结果,已成功转换。
实验一:通过路由器实现内外互联
jw
05-18 1190
完整的通过路由器实现内外互联配置实验
HCIA-静态nat
little_startoo的博客
12-17 543
HCIA-静态nat
NAT实验
dyslhl的博客
07-15 312
NAT实验
华为eNSP-NAT络地址转换实验
weixin_45745641的博客
12-13 5176
NAT络地址转换实验实验环境实验需求实验步骤1. 将所有设备开机并对PC进行配置2.为SW1、R1、R2设置对应的ip3.在SW1、R1上设置默认路由4.在私上配置ospf5. 使用静态NAT6.使用NAPT7.使用Easy-ip8.使用Nat-server总结 实验环境 实验需求 1.使私ip能访问公 实验步骤 1. 将所有设备开机并对PC进行配置 PC1: PC2: 2.为SW1、R1、R2设置对应的ip [SW1]vlan batch 10 20 [SW1-GigabitEthernet
基于Java的WebSocket JSON-RPC双向互访设计源码
最新发布
06-01
本源码是基于Java开发的WebSocket JSON-RPC双向互访设计,包含177个文件,其中包括166个.java文件,8个.xml文件,以及1个.gitignore文件,1个.LICENSE文件和1个.md文件。该项目实现Server端与Client之间的双向互访,...
WAN综合实验-1.pka
07-03
ISP分配给公司5个有效的公地址200.100.1.3-7,公司使用动态NAT过载来实现内与外互访,公地址池的名称为NAT。内部所有终端都可以访问外,访问列表是2。R1做一条送出接口默认路由指向ISP,ISP做一条送出...
WAN综合实验-2.pka
07-04
1、所有设备初始化 ...所有的明文需要进行再加密。...用PAT实现内到外的转换互访。边界路由器R1做一条静态路由(下一跳地址)指向ISP的WEB服务器区段,ISP用默认(送出接口)指向公司。 8、测试连通性。
Linux和Windows互访---Samba服务器配置(看图入门)[整理].pdf
10-11
Linux和Windows互访---Samba服务器配置(看图入门)[整理].pdf
WAN综合实验-4.pka
07-04
ISP给了一个地址段位200.209.10.0/29,由于内部全局地址有限,所以准备采用动态NAT实现内与外的互联。 地址池的名称为NAT,可以转换的地址范围是CWC、RSB、XSB、DNS Server和192.168.1.0/24。ACL列表的名称为2。...
2020-09-23
weixin_50855812的博客
09-23 314
标准ACL命令格 式 access-list 列表号 permit|deny 源IP 反向掩码 acl<acl-number> [match-order config|auto] rule [normal|special]{permit|deny} [source source-addr source-wildcard|any] 扩展A...
跟着实验学NAT Server配置
Yearningforwood的博客
04-19 2718
基于目的IP的NAT Server配置,通过实验学习NAT配置
出口路由或防火墙上配置ospf和内打通后配全ospf默认路由
IT技术
05-08 2565
1、关于default-route-advertise命令 Ospf是可以通过import-route命令引入外部路由的,但很少有人会注意到,在默认情况下,ospf是不会引入来自外部路由的缺省路由的。但ospf有一个变通的方法,就是通过default-route-advertise命令,将自己作为默认路由的下一跳宣告到ospf区域内,这样,ospf里的其他路由器就会将缺省流量发送给自己,然后本路由器再根据其他协议的路由表进行转发。 2、关于always选项如果没有配置always,则default-rout
NAT功能介绍及配置应用
kxg0921的博客
09-28 3568
NAT(Network Address Translation,络地址转换),用于将私地址转换为公地址,解决IPv4地址资源枯竭的问题以及企业内安全问题。NAT功能包括静态NAT、动态NAT、端口NAT以及服务映射等。
NAT络地址转换&PAT端口! ! ! ! ! !
panrenjun的博客
11-18 2122
文章目录一、NAT络地址转换1、NAT工作原理2、私有络地址和公有络地址3、NAT功能4、静态NAT二、PAT端口多路复用1、PAT有以下作用:2、PAT的类型有以下:(1).NATP(2).Easy Ip(3). NAT Server 一、NAT络地址转换 NAT(Network Address Translation)又称为络地址转换,用于实现私有络和公有络之间的互访。 1、NAT工作原理 NAT用来将内地址和端口号转换成合法的公地址和端口号,建立一个会话,与公主机进行通信。 NA
NAT技术之NAT server
thlzjfefe的博客
10-30 6708
带来的问题是什么呢?先聊聊DMZ,不知道大家在家用路由器以及软路由或者是光猫里面有没有见到过有一个DMZ的配置选项,防火墙安全区域里面也有一个DMZ,博主在介绍区域的时候讲解DMZ的作用提到过,当有对外提供服务的服务器主机的时候,可以把它放到DMZ区域,这样对内的安全多了一层保护,那么这些家用路由器、光猫、软路由上面的DMZ实际指的是DMZ主机,当你在配置后它的作用就是跟华为防火墙的一对一映射效果是一样的,所以当客户跟你说要实现DMZ主机功能或者是DMZ映射的时候,那就是说的一对一的转换。
思科路由器NAT配置详解
weixin_34356310的博客
08-27 653
一、NAT简介:   NAT(Network Address Translation)络地址转换。 最早出现在思科11.2 IOS中,定义在RFC1631和RFC3022中。 NAT最主要的作用是为了缓解IPv4地址空间的不足。 同时也带来了一些问题,如每个数据包到达路由器后都要进行包头的转换操作,所以增加了延迟;DNS区域传送,BOOTP/DHCP等协议不可穿越NAT路由器...
络地址转换-NAT-Nat-Server配置
fenghuaqingjun的博客
08-14 60
络地址转换-NAT-Nat-Server配置
计算机实验线制作与络连接
实验二探讨了跨交换机的相同VLAN互访,让学生理解VLAN间通信的机制。实验三和实验四分别涉及RIP和OSPF这两种不同的路由协议,RIP适用于小型络,而OSPF则更适合大型、复杂络。实验五涉及NAT(络地址转换),这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值