该实验详细介绍了如何配置NAT以实现不同内网主机访问Internet及内网服务。内容包括:1) 静态NAT使pc1通过123.1.1.1访问Internet;2) NO-PAT为192.168.1.0网段分配地址池pool1访问Internet;3) PAT方式用于192.168.2.0网段;4) NAT-server配置使得内网2的client4能访问server3的http服务。通过配置地址池、ACL、静态路由等实现NAT转换。
需求:
*内网1的pc1,在边界网关上对其使用静态NAT,公网地址为123.1.1.1,使其可以访问Internet(2.2.2.2)
*内网1的192.168.1.0网段其他主机,使用NO-PAT方式为其分配地址池pool1:202.103.10。0/24,使其可以访问Internet(2.2.2.2)
*内网1的192.168.2.0网段主机使用PAT,为其分配地址池pool2:202.103.20.0/24,使其可以访问Internet
*内网1的内部server3配置NAT-server,是内网2的client4可以访问server3的http服务
实验前提:
一:底层配好让同一内网的设备能够互通,两个路由器能通
二、在r2上配置一个环回口地址为2.2.2.2
实验:
一:内网1的pc1,在边界网关上对其使用静态NAT,公网地址为123.1.1.1,使其可以访问Internet(2.2.2.2)
先配置静态NAT,然后配置静态路由,让r1有通往2.2.2.0网段的路
现在从192.168.1.2访问过去的IP就成了123.1.1.1了,但是现在还没通,因为123.1.1.1过去了但是r2没有123.1.1.0网段回来的路由,所以需要配置
现在就可以通了
二、
内网1的192.168.1.0网段其他主机,使用NO-PAT方式为其分配地址池pool1:202.103.10.0/24,使其可以访问Internet(2.2.2.2)
命令:
[r1]nat address-group 1 202.103.10.1 202.103.10.255 ///创建一个地址池
[r1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 ///创建一个acl用来匹配能够转换的源地址
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat ///关联一个acl与NAT地址池,acl用来匹配能过转换的源地址
检验:
因为pc1绑定了静态路由,所以就算有NAT地址池,他还是走的123.1.1.1的公网
三、三跟二的原理一样,照葫芦画瓢就好了,此处省略
四:内网1的内部server3配置NAT-server,是内网2的client3可以访问server3的http服务
首先要在r1上配置NAT-server,让内网2的client3通过公网地址访问过来,然后r1的NAT-server再通过这个公网地址转换为sever3的私网地址
这条命令就是通过tcp协议访问公网20.1.1.1的http服务器的,转换为私网192.168.2.3地址的http服务
器
现在要在r2上用静态nat给client3分配一个公网IP,17.1.1.1
记住配静态一定要在出接口做,现在13.1.1.3从r2出去就是17.1.1.1的公网IP了
最后要做的就是静态路由了,交换机路由器都要有这两个网段的静态路由表
命令:
[sw1]ip route-static 17.1.1.0 24 192.168.100.1
[r1]ip route-static 17.1.1.0 24 11.1.1.2
[r2]ip route-static 20.1.1.0 24 11.1.1.1
[sw2]ip route-static 20.1.1.0 24 12.1.1.1
测试:
但是别的I访问20.1.1.1只能访问他的http服务,因为我们只允许20.1.1.1的http服务通过tcp可以过,别的端口不能过
扫一扫
870
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
