HCIA-datacom 4.3 實驗三:網路地址轉換配置實驗

前言:為什麼我要單獨開部落格講HCIA這種可能在某些人看來 屬於沒什麼可講的實驗配置呢?因為我在工作中遇到過考了HCIP,甚至HCIE的人,結果真到要擼起膀子幹活的時候,就不行了。

paper畢竟需要實踐的,除非你是我當年的老師 -邦哥 那種猛男。

別問邦哥是誰,問就是猛,猛就完事了!

 

實驗介紹:

網路地址轉換NAT(Network Address Translation)是將IP數據報文頭中的IP地址轉換為另一個IP地址的過程。作為減緩IP地址枯竭的一種過渡方案,NAT通過地址重用的方法來滿足IP地址的需要,可以在一定程度上緩解IP地址空間枯竭的壓力。NAT除了解決IP地址短缺的問題,還帶來了兩個好處:
• 有效避免來自外網的攻擊,可以很大程度上提高網路安全性。
• 控制內網主機訪問外網,同時也可以控制外網主機訪問內網,解決了內網和外網不能互通的問題。

 

實驗目的
 掌握動態NAT的配置方法
 掌握Easy IP的配置方法
 掌握NAT Server的配置方法

 

實驗組網介紹

 

 

 

1. R1和R2之間的網路屬於企業內部網路,使用私網IPv4地址。
2. R1模擬客戶端,R2作為R1的網關,同時也是連接公網的出口路由器。
3. R3模擬公網。

 

實現需求:

1. 配置動態NAT              
2. 配置Easy IP
3. 配置NAT Server

 

#配置nat轉換 有3種 靜態nat 動態nat patp(Port NAT) 

Easy ip (Easy IP是一種特殊方式的NAPT,比較節省地址用的)

工作中這三種大家都會遇到 最好都熟悉,當然HCIA的課程裡面的實驗室要求動態nat和Easy IP 實現

 

配置實驗:

(先配置介面地址和設備命名),然後分別在R1和R3配置telnet 方便測試(如果不會的,可以參考此前的文章)

1. 配置動態NAT  

假設該公司獲得了2.3.4.5至2.3.4.10這段公網IP,現需要配置動態NAT

1.1 我們首先要配置NAT地址池

 

 

 我們可以看到 他裡面的可選項很多的,但是我們這裡要配的是動態NAT 所以選第一個

 

 

 

 

 

 

 

 

 

1.2 配置ACL  此處根據實驗要求 我們選擇基本acl  

 

 

 1.3 在R2的GigabitEthernet0/0/2介面配置動態NAT  (注意 這裡是outbound 出站)

 

 

 分別在R1和R2上面配置預設路由

 

R1:

 

 R2:

 

 

 

 

 

 

那麼我們如何測試能不能NAT做成功了沒有呢,可以用telnet 測試嘛,看下能不能遠程過去R1-R3

 

 

 

測試成功!

 

2. 配置Easy IP

假設R2的GigabitEthernet0/0/2的地址不是固定IP地址(DHCP動態獲取或PPPoE撥號獲取),此時需要配置Easy IP (這種我就不演示了 因為命令就兩條 比較簡單 )

大家可以參考實驗手冊裡面的 自己配置一下。下面的截圖是華為的實驗手冊中的Easy ip的配置。

 

 

#運營商一般情況下只有專線才會給你固定的公網IP,個人用戶也是能申請的(某些地區,但是特別麻煩)。我們這裡重點要講第三種,配置NAT Server  把公司內網的埠映射出去,讓外部的實現訪問,這個是最常見的。

常見的是配置內部伺服器可以使外部網路主動訪問私網中的伺服器IP或者某個埠(埠映射是現實中大家見的最多的)

 

 3. 配置NAT Server   (使R3能訪問R1 我們之前開啟了telnet服務,所以就用它)

#實驗手冊寫的是R3提供公網服務,書寫錯了,不要在意,我們理解的是原理。正確是寫法是R1通過映射,向公網提供網路服務。

我們需要在R2的G0/0/2埠上配置

 #此處大家會發現我的源目埠是一樣的,都是telnet 也是就port 23 。

然而在現實中,第一,telnet埠可能會禁用(屬於高危埠)

第二比如我某台windows伺服器的RPD埠是3389?那麼我映射出去也是3389?這顯然是不可能的。

我們一般會修改埠號,關於埠號的修改,此處就不講了。有機會在linux中我們單獨開講。這段話的解答是為了告訴大家 轉換前的目的埠和轉換後的目的埠是不一定要相同。

 nat server命令用來定義一個內部伺服器的映射表,外部用戶可以通過地址和埠轉換來訪問內部伺服器的某項服務。配置內部伺服器可以使外部網路主動訪問私網中的伺服器。當外部網路向內部伺服器的外部地址(global-address)發起連接請求時,NAT將該請求的目的地址替換為私網地址(inside-address)後,轉發給私網內的伺服器。

配置好了後 我們也可以測試一下 看下能不能成功?

 

 #大家可以看到 我測試了兩個IP 為什麼我要測試第一個呢?因為我工作中確實見過這種人,然後問我為什麼不通,我只能說建議看ip地址和子網劃分 100遍(針對ipv4)

測試成功!

 

實驗拓撲圖和配置:

鏈接://pan.baidu.com/s/1rnUQ1qHMmSVZ2vTVb9u9tQ?pwd=HCIA
提取碼:HCIA

 

Tags:

VirMach 便宜 VPS

QNews

QNews