一、实验目的
利用之前做的DHCP-VLAN间通信-OSPF综合实验,增加服务器作为外网端,进行NAT地址转换,掌握NAT地址转化的NAPT方法。
二、实验拓扑
在该实验拓扑中,蓝色区域部分为内网部分,R3为ISP,R2为内外网的边界路由器。
三、配置思路
① 原综合实验(即内网原始部分)部分配置,请见DHCP-VLAN间通信-OSPF综合实验。
② 按照拓扑信息,给新增的设备及端口配置IP地址。
③ 在R1以及三层交换机S2上配置一条默认路由指向网关。
④ 在网关上使用NAPT进行内外网IP地址转换,实现由内网到外网的访问。
四、实验步骤
对R1:
[R1]ip route-static 0.0.0.0 0 12.1.1.2 //在R1上配置一条指向网关的路由对S2:
[S2]ip route-static 0.0.0.0 0 23.1.1.2 //在S2上配置一条指向网关的路由对R2:
[R2]int g0/0/2
[R2-GigabitEthernet0/0/2]ip address 100.1.1.2 24 //配置该接口的IP地址
[R2]ip route-static 0.0.0.0 0 100.1.1.3 //在R2上配置一条指向网关的路由
[R2]nat address-group 1 100.1.1.200 100.1.1.230 //利用动态NAT配置分配的公网地址范围
[R2]acl number 2000 //创建ACL
[R2-acl-basic-2000]rule 5 permit source 192.168.10.0 0.0.0.255
[R2-acl-basic-2000]rule 10 permit source 192.168.20.0 0.0.0.255
[R2-acl-basic-2000]rule 15 permit source 192.168.30.0 0.0.0.255
[R2-acl-basic-2000]rule 20 permit source 192.168.40.0 0.0.0.255 //在ACL中设置需要进行转换的内网地址
[R2]int g0/0/2
[R2-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 //在接口的出口处设置ACL进行流量匹配对R3:
[R3]int g0/0/1
[R3-GigabitEthernet0/0/1]ip address 200.1.1.3 24 //配置接口的IP地址
[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]ip address 100.1.1.3 24 //配置接口的IP地址对Server 4:
五、实验效果
如图:
内网的主机可以Ping通服务器的IP,实验成功。
六、几点注意及说明
① 缺省路由的意义、作用建议多去看一下,理解一下为什么需要配一条到网关的缺省路由。
② 在进行流量匹配时,一定要注意流量的出入口方向,在正确的方向上进行ACL配置。
③ ACL做访问控制(控制能否ping通),默认允许;ACL做流量匹配(在NAT中)默认拒绝。
④ 内外网访问时,哪种NAT对应哪种访问形式,以及其特点需要弄清楚。