四、NAT简介
1、网络地址转换技术NAT(Network Address Translation)主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地址,并且多个私网地址用户可以共用一个公网地址,这样既可以保证网络互通,又节省了公网地址。NAT一般部署在连接内网和外网的网关设备上。
2、静态NAT
私有地址和公有地址的一对一映射,一个公网IP只会分配给唯一且固定的内网主机。
3、动态NAT
基于地址池来实现私有地址和公有地址的转换
4、NAPT
网络地址端口NAPT允许多个内部地址映射到同一个公有地址的不同端口
5、Easy IP
Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口。
6、NAT服务器映射
通过配置NAT服务器,可以使外网用户访问内网服务器。
五、NAT配置
拓扑图
1、静态NAT配置
(1)网络基本配置
AR1:
int g0/0/0
ip address 192.168.1.254 24
int g0/0/1
ip address 10.1.1.2 29
ip route-static 0.0.0.0 0 10.1.1.1
AR2:
int g0/0/0
ip address 100.100.100.254 24
int g0/0/1
ip address 10.1.1.1 29
(2)静态NAT配置
AR1:
int g0/0/1 配置出接口
nat static global 10.1.1.3 inside 192.168.1.1
nat static global 10.1.1.4 inside 192.168.1.2
dis nat static
在AR2的g0/0/1上抓包,可以看到已经成功转换:
2、动态NAT配置
AR1:
nat addres-group 1 10.1.1.3 10.1.1.4 定义地址池
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255 被permit的可以被地址转换
int g0/0/1
nat outbound 2000 address-group 1 添加no-pat参数可以定义动态一对一模式
3、Easy IP配置
AR1:
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255 被permit的可以被地址转换
int g0/0/1
nat outbound 2000 绑定acl即可生效
4、NAT服务器配置
int g0/0/1
nat server protocol tcp global 10.1.1.3 www inside 192.168.1.3 80 将内网192.168.1.3的80端口映射到公网10.1.1.3的80端口
六、综合实验
拓扑图:
业务需求:
(1)企业内网共计3个VLAN,分别是Gruop1 Group2 和Guest,使用vlan 10 20 30,网关路由器和5700直接运行RIP协议;配置生成树,且让5700成为根交换机。
1.1 Guest使用vlan30,可以访问互联网,但不能访问内网服务器(Server1),该网段自动分配地址,地址范围:192.168.1.100~192.168.1.199,网关192.168.1.1 DNS 8.8.8.8租期4个小时,该地址分配在5700上完成;
1.2 Gruop1 可以访问公网,也可以访问内部服务器(Server 1),使用vlan 10;
1.3 Gruop2 可以访问内部服务器(Server1),不可以访问公网,使用vlan 20;
1.4 内部服务器Server-1对内部提供FTP服务器,不提供 http服务器;对公网用户提供http服务器,不提供ftp服务;公网用户访问server-1时,使用公网地址200.1.1.3;
(2)Internet-user可以访问企业内部服务器的HTTP业务,不能访问FTP服务;Internet-server对所有人提供FTP和HTTP服务;
(3)分支机构使用PPPOE拨号上网,得到某个自动分配的公网IP。分支内用户Part-user可以访问公网和企业内网服务器HTTP业务,公网用户可以访问分支内网的Part-server的HTTP业务。
基本配置
1、配置所有PC以及网络设备接口的IP地址
交换机接口地址配置
Gateway:
int g0/0/0
ip address 200.1.1.2 29
int g0/0/1
ip address 192.168.255.1 24
int g0/0/2
ip address 192.168.200.1 24
ISP:
int g0/0/0
ip address 200.1.1.1 29
int g2/0/0
ip address 100.100.100.1 24
int g2/0/1
ip address 8.8.8.1 24
PART-1:
int g0/0/1
ip address 192.168.1.1 24
2、配置企业内网的VLAN以及相关配置
3700-1:
vlan batch 10 20 30
int e0/0/1
port link-type access
port default vlan 30
int e0/0/2
port link-type access
port default vlan 10
int e0/0/10
port link-type trunk
port trunk allow-pass vlan 10 20 30
int e0/0/20
port link-type trunk
port trunk allow-pass vlan 10 20 30
3700-2:
vlan batch 10 20 30
int e0/0/1
port link-type access
port default vlan 30
int e0/0/2
port link-type access
port default vlan 10
int e0/0/3
port link-type access
port default vlan 20
int e0/0/10
port link-type trunk
port trunk allow-pass vlan 10 20 30
int e0/0/20
port link-type trunk
port trunk allow-pass vlan 10 20 30
5700:
vlan batch 10 20 30
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 20 30
int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 20 30
3、配置STP
3700-1 3700-2 5700开启stp ,设置为标准 stp模式,5700 stp优先级设置为4096:
stp en
stp mode stp
stp priority 4096
4、5700互访配置
int vlan 10
ip address 192.168.10.1 24
int vlan 20
ip address 192.168.20.1 24
int vlan 30
ip address 192.168.1.1 24
dhcp enable
ip pool guest
network 192.168.1.0 mask 24
gateway-list 192.168.1.1
excluded-ip-address 192.168.1.2 192.168.1.99
excluded-ip-address 192.168.1.200 192.168.1.254
lease day 0 hour 4
dns-list 8.8.8.8
int vlan 30
dhcp select global
vlan 100
int vlan 100
ip address 192.168.255.2 24
int g0/0/10
port link-type access
port default vlan 100
rip 1
undo summary
version 2
network 192.168.1.0
network 192.168.10.0
network 192.168.20.0
network 192.168.255.0
ip route-static 0.0.0.0 0 192.168.255.1
5、 Gateway互访配置
int g0/0/1
ip address 192.168.255.1 24
int g0/0/2
ip address 192.168.200.1 24
int g0/0/0
ip address 200.1.1.2 29
rip 1
undo summary
version 2
network 192.168.255.0
network 192.168.200.0
network 200.1.1.0
ip route-static 0.0.0.0 0 200.1.1.1
配置到这一步,企业内网已经完成互通,内部各个节点都能互相ping通
6、ISP互访配置
ip route-static 200.1.1.0 255.255.255.248 200.1.1.2
interface Virtual-Template1
ppp authentication-mode pap
remote address 200.2.2.200
ip address 200.2.2.1 255.255.255.0
int g0/0/2
pppoe-server bind virtual-template 1
aaa
local-user part password cipher 123456
local-user part service-type ppp
7、PART-1互访配置
dialer-rule
dialer-rule 1 ip permit
quit
interface dialer 1
dialer user ISP
dialer-group 1
dialer bundle 1
ppp pap local-user part password simple 123456
ip address ppp-negotiate
int g0/0/0
pppoe-client dial-bundle-number 1
ip route-static 0.0.0.0 0 dialer 1
此时,Gateway、ISP、PART-1三个路由器已经实现互通
8、NAT配置
Gateway:
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
rule 10 permit source 192.168.10.0 0.0.0.255
int g0/0/0
nat outbound 2000 address-group 1
nat server protocol tcp global 200.1.1.3 www inside 192.168.200.200 www
PART-1:
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
int dialer 1
nat outbound 2000
nat server protocol tcp global current-interface 80 inside 192.168.1.200 80
配置完成NAT后,网络互联配置全部完成。Guest、Group1可以 ping通PART-1的公网地址200.2.2.200,可以访问PART1-server的http服务;PART1-user可以ping通公网地址200.1.1.3等等。这时候可以进行各个节点的连通性测试,检查配置是否正确
9、ACL配置
Gateway:
g0/0/2出方向上:
acl 3000
rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.200.200 0
rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.200.200 0
rule 15 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.200.200 0
rule 20 permit tcp destination 192.168.200.200 0 destination-port eq www
rule 25 deny ip
g0/0/0出方向上:
acl 3001
rule 5 permit ip source 192.168.1.0 0.0.0.255
rule 10 permit ip source 192.168.10.0 0.0.0.255
rule 15 deny ip source 192.168.20.0 0.0.0.255
rule 20 permit tcp source 192.168.1.200 0 source-port eq www
rule 25 deny ip
PART-1:
interface dialer 1出方向上:
acl 3000
rule 5 permit tcp source 192.168.1.200 0 source-port eq www
rule 10 deny ip source 192.168.1.200 0
rule 15 permit ip source 192.168.1.0 0.0.0.255
rule 20 deny ip
配置完成ALC,最后检查配置是否满足全部需求。