ensp实验:网络地址转换配置实验NAT:(二)

于 2025-01-07 14:56:27 发布
阅读量330 收藏 3
点赞数 3
CC 4.0 BY-SA版权
文章标签: 网络 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xue_lun/article/details/144985514

测试当前连通性

[R1]ping 1.2.3.254
PING 1.2.3.254: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out
--- 1.2.3.254 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss

[R2]ping 1.2.3.254
PING 1.2.3.254: 56 data bytes, press CTRL_C to break
Reply from 1.2.3.254: bytes=56 Sequence=1 ttl=255 time=40 ms
Reply from 1.2.3.254: bytes=56 Sequence=2 ttl=255 time=20 ms
Reply from 1.2.3.254: bytes=56 Sequence=3 ttl=255 time=20 ms
Reply from 1.2.3.254: bytes=56 Sequence=4 ttl=255 time=20 ms
Reply from 1.2.3.254: bytes=56 Sequence=5 ttl=255 time=20 ms
--- 1.2.3.254 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 20/24/40 ms

因为当前R3没有配置到192.168.1.0/24网段的路由,R1无法访问R3。
实际情况下,R3也禁止配置到私网IP网段的路由。

【2】假设该公司获得了1.2.3.10 至 1.2.3.20 这段公网IP,现需要配置动态NAT

配置 NAT 地址池

[R2]nat address-group 1 1.2.3.10 1.2.3.20

nat address-group命令用来配置NAT地址池。1代表地址池的编号,地址池必须是一段连续的IP地址集合,当内部数据报文通过地址转换到达外部网络时,其源地址将被地址池中的地址转换为其他地址。

配置 ACL

[R2]acl 2000
[R2-acl-basic-2000]rule 5 permit source any

在 R2 的 GigabitEthernet0/0/4 接口配置动态 NAT

[R2]interface GigabitEthernet0/0/4
[R2-GigabitEthernet0/0/4]nat outbound 2000 address-group 1

nat outbound命令用来将一个访问控制列表ACL和一个地址池关联起来,符合ACL中规定的地址可以使用地址池进行地址转换。当地址池中地址的数量足够时,可以添加no-pat参数,表示使用一对一的地址转换,只转换数据报文的地址而不转换端口信息。

测试连通性
[R1]ping 1.2.3.254
PING 1.2.3.254: 56 data bytes, press CTRL_C to break
Reply from 1.2.3.254: bytes=56 Sequence=1 ttl=254 time=60 ms
Reply from 1.2.3.254: bytes=56 Sequence=2 ttl=254 time=20 ms
Reply from 1.2.3.254: bytes=56 Sequence=3 ttl=254 time=30 ms
Reply from 1.2.3.254: bytes=56 Sequence=4 ttl=254 time=30 ms
Reply from 1.2.3.254: bytes=56 Sequence=5 ttl=254 time=20 ms
--- 1.2.3.254 ping statistics ---
5 packets(s) transmitted
5 packets(s) received
0.00% packet loss
round-trip min/avg/max = 20/32/60 ms

R1 通过 telnet 远程登录到 R3(模拟 TCP 流量)

<R1>telnet 1.2.3.254
Press CTRL_] to quit telnet mode
Trying 1.2.3.254 ...
Connected to 1.2.3.254.

Login authentication

Username: test
Password:
<R3>
查看 R2 上的 NAT 会话表
[R2]display nat session all
NAT Session Table Information:
Protocol         : TCP(6)
SrcAddr Port Vpn : 192.168.1.1 62185          //转换前的源IP地址和源端口
DestAddr Port Vpn: 1.2.3.254 23
NAT Info
New SrcAddr      : 1.2.3.11                   //转换后的源IP地址
New SrcPort      : 49149                      //转换后的源端口
New DestAddr     : ---
New DestPort     : ---
Total: 1

尽管此时R3没有到R1的路由条目,但是由于转换后的源地址为1.2.3.11,R3会将数据回复给该地址,R2收到后会根据NAT会话表中的数据重新转换为R1的地址并转发。所以此时R1可以主动发起到R3的访问。

【3】步骤3:假设R2的GigabitEthernet0/0/4的地址不是固定IP地址(DHCP动态获取或PPPoE拨号获取),此时需要配置Easy IP。

删除上一步骤的配置
[R2]interface GigabitEthernet 0/0/4
[R2-GigabitEthernet0/0/4]undo nat outbound 2000 address-group 1
配置Easy IP
[R2-GigabitEthernet0/0/4]nat outbound 2000
测试连通性
[R1]ping 1.2.3.254
PING 1.2.3.254: 56 data bytes, press CTRL_C to break
Reply from 1.2.3.254: bytes=56 Sequence=1 ttl=25 time=30 ms
Reply from 1.2.3.254: bytes=56 Sequence=2 ttl=25 time=30 ms
Reply from 1.2.3.254: bytes=56 Sequence=3 ttl=25 time=30 ms
Reply from 1.2.3.254: bytes=56 Sequence=4 ttl=25 time=30 ms
Reply from 1.2.3.254: bytes=56 Sequence=5 ttl=25 time=30 ms

--- 1.2.3.254 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 30/30/30 ms
R1通过telnet远程登录到R3(模拟TCP流量)
[R2]display nat session all
NAT Session Table Information:
Protocol         : TCP(6)
SrcAddr Port Vpn : 192.168.1.1 58546            //转换前的源IP地址和源端口
DestAddr Port Vpn: 1.2.3.4 23
NAT Info
New SrcAddr     : 1.2.3.4                      //转换后的源IP地址
New SrcPort     : 49089                        //转换后的源端口
New DestAddr    : ---
New DestPort    : ---
Total: 1

【4】假设R3要向公网提供服务(用telnet模拟),由于R3没有公网IP地址,故需要在R2的出接口上配置NAT Server.

在R2上配置NAT Server
[R2]interface GigabitEthernet 0/0/4
[R2-GigabitEthernet0/0/4]nat server protocol tcp global current-interface 2323 inside 192.168.1.1 telnet

nat server命令用来定义一个内部服务器的映射表,外部用户可以通过地址和端口转换来访问内部服务器的某项服务。配置内部服务器可以使外部网络主动访问私网中的服务器。当外部网络向内部服务器的外部地址(global-address)发起连接请求时,NAT将该请求转换为内部服务器的内部地址。

目的地址转换为私网地址(inside-address)后,转发给私网内的服务器。

R3 通过 telnet 远程登录到 R1
<R3>telnet 1.2.3.4 2323
Press CTRL_] to quit telnet mode
Trying 1.2.3.4 ...
Connected to 1.2.3.4.

Login authentication

Username: test
Password:
<R1>
查看 R2 上的 NAT 会话表
[R2]display nat session all
Protocol         : TCP(6)
SrcAddr Port Vpn : 1.2.3.254 61359
DestAddr Port Vpn: 1.2.3.4 2323
NAT Info
NewSrcAddr      : ---
NewSrcPort      : ---
NewDestAddr     : 192.168.1.1   //转换后的目的IP地址,R1的地址
NewDestPort     : 23            //转换后的目的端口
Total: 1
xue_lun
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值