当前课程知识点:计算机网络工程实践 > 1 计算机网络互联基础 > 1.6 NAT技术 > 1.6-2 NAT实践
NAT实践
1、实验目的
学习掌握NAT的配置方法
2、实验内容
NAT配置示例(地址池NAT outbound配置)
采用下图所示的网络拓扑图。交换机组成的网络模拟企业内部网络,并通过AR1访问外部网络,AR1为企业内部网络的出口路由。AR2和AR3路由器组成网络模拟外部公共互联网。要求通过基于地址池NAPT配置,使内部主机都可以访问外部主机。
LSW1和AR1连接的链路采用192.168.100.0/24的私有网段地址,LSW1连接的接口VLANIF 100的IP地址为192.168.100.1/24。路由器AR1的接口G0/0/2的IP地址为192.168.100.2/24。
3、实验拓扑
4、实验步骤
0)前提条件
本示例中AR1作为内部网络的出口路由,计划在AR1中配置NAT,使内部网络所有主机通过NAT配置访问外网。注意:华为S5700系列三层交换机不支持NAT。
配置NAT之前要达到的条件是:
(1)内部网络互联网互通
(2)外部网络互联网互联
(3)配置NAT的设备外部接口为公网地址且能够访问外部网络。
(4)外部主机与内部主机之间不同互通。
下面首先进行初始配置,以满足上述配置NAT的条件。具体配置如下:
1)初始配置初始配置(在前面实践配置基础上)
(1)内部网络互联网互通
为保证内部网络互联互连,计划内部网络采用OSPF协议实现内部网络互通。在前面VLAN配置的基础,配置如下。
² LSW1配置:
[lsw1] vlan 100
[lsw1] int vlanif100
Ip address 192.168.100.1 24
[lsw1] int g0/0/3
Port link-type access
Port default vlan 100
[lsw1] ip route-static 0.0.0.0 0.0.0.0 192.168.100.2
[lsw1] ospf 100
area 0.0.0.0
network 192.168.10.0 0.0.0.255
network 192.168.20.0 0.0.0.255
network 192.168.30.0 0.0.0.255
network 192.168.100.0 0.0.0.255
² AR1配置:
[AR1] int 0/0/2
Ip address 192.168.100.2 24
[AR1] ip route-static 0.0.0.0 0.0.0.0 200.1.2.2
[AR1] ospf 100
area 0.0.0.0
network 192.168.100.0 0.0.0.255
(2)外部网络互联网互联
外部网络互联互通,在前面ISIS配置示例中外部网络采用ISIS路由协议实现了互通。
(3)配置NAT的设备外部接口为公网地址且能够访问外部网络。
AR1中的接口G0/0/0接口作为外部接口,采用的地址为200.1.2.1,是公网地址,且能够访问外部网络。
(4)外部主机与内部主机之间不同互通。
这里利用PC1和PC7为例进行测试。PC1能够访问AR1,但不能访问PC7。PC7能够访问AR1,但不能访问PC1。如图1-32所示。
图1-32 NAT配置前内外主机联通测试
2) 地址池NAT outbound配置
如果用户想通过动态NAT访问外网时,可以根据自己公网IP的规划情况选择以下其中一种方式。
(1)用户在配置了NAT设备出接口的IP和其他应用之后,还有空闲公网IP地址,可以选择带地址池的NAT(NAPT)。
(2)用户在配置了NAT设备出接口的IP和其他应用之后,已没有其他可用公网IP地址,可以选择Easy IP方式,Easy IP可以借用NAT设备出接口的IP地址完成动态NAT。
这里采用地址池NAT outbound方式,地址池NAT outbound所用地址池是用来存放动态NAT使用到的IP地址的集合,在做动态NAT时会选择地址池中的某个地址用做地址转换。
AR1中的配置与测试如下。
(1)配置地址转换的ACL规则
[AR1]acl number 2000
Rule 5 permit source 192.168.10.0 0.0.0.255
Rule 10 permit source 192.168.20.0 0.0.0.255
Rule 15 permit source 192.168.30.0 0.0.0.255
Rule 20 permit source 192.168.100.0 0.0.0.255
Rule 25 deny source any
(2)配置公网地址池
[AR1]nat address-group 1 200.1.2.10 200.1.2.19
(3)配置地址池NAT
[AR1] int G0/0/0
[AR1-Gigabitethernet0/0/0] nat outbound 2000 address-group 1 [no-pat]
注意:加上no-pat表示一对一的动态NAT,去掉no-pat表示基于地址池的动态NAPT。因此实际配置中不加上no-pat参数。
(4)测试
利用PC1和PC7进行测试。PC1能够访问AR1,也能够访问PC7了,如图1-33(左)测试所示。图示中分前后两次执行PING命令,第一次PING命令是在配置NAT outbound之前,第二次PING命令是在配置NAT outbound之后。配置成功。图1-33(右)是在地址转换设备AR1中利用display nat session all命令显示的网络地址转换的情况。
-1.1 计算机网络基础
-1.3 网络路由技术
-1.4 局域网技术
-1.5 ACL技术
-1.6 NAT技术
-第1章作业:计算机网络互联基础
-2.1 高级VLAN技术
-第2章作业:局域网高级技术
-(3.4-3.8) 各类网络互联实践-拓扑图及初始配置
--(3.4-3.8)-1 各类网络互联配置实践-拓扑图构建
--(3.4-3.8)-2 各类网络互联配置实践--初始配置
-3.4 X.25 网络
-3.6 FR网络
-3.7 ATM网络
-3.8 SDH网络
-第3章作业:城域网和广域网技术
-4.4 OSPF 路由协议
-4.5 ISIS路由协议
-第4章作业:内部路由技术
-5.4 BGP路由配置实践
-第5章作业:外部路由协议
-6.6 路由控制实践
-第6章作业:路由控制技术
-7.3 出口选路控制实践
-第7章作业:出口选路控制
-8.3 VRRP技术及其实践
-第8章作业:网络可靠性技术
-9.4 防火墙配置示例
-第9章作业:防火墙技术
-期末考试题01