今天我要介绍的这个实验是NAT的基本配置,本人感觉很好玩的
实验前先说一个注意事项:那就是路由器的选择,本人最开始选择了Router路由器,结果什么配置毛病都没有,就是pc机和外网ping不通,郁闷好久
本实验优选AR2200路由器,不会出问题
话不多说,进行试验吧!
这个是我的实验拓扑图:
一、我们依照编码表进行一下基本的配置吧(省略)
配置完之后我们来检测一下直连线路的连通性
应该是没问题的。
二、配置静态NAT
首先在R1上配置一个访问外网的默认路由
由于内网使用的都是私有ip地址,员工无法直接访问公网。现需要在网关路由器R1上配置NAT地址转换,将私网地址转换为公网地址
分配一个公网ip地址202.169.10.5给PC1 做静态NAT地址转换。在R1的G0/0/0接口下使用nat static 命令配置内部地址到外部地址的一对一转换。
配置完成后。我们在R1上查看一下NAT静态配置信息,并测试与外网的连通性。
抓一下包,看是否转化成功,好的
我们看到私网172.16.1.1已转换成公网地址202.169.10.5,在R2上用loopback 0模拟外网用户访问,在PC1的e0/0/1抓包
显示很成功了!
三、配置NAT Outbound
市场部的员工都需要访问外网。现在需要使用一个公网地址池来进行NAT转换需要202.169.10.50-202.169.10.60
nat address-group 1 202.169.10.50 202.169.10.60设置地址池
创建基本的ACL 2000 ,匹配20.1.1.0 掩码24 位地址段
在G0/0/0接口下使用nat outbound 命令将ACL 2001 与地址池相关联,使得ACL中规定的地址可以使用地址池进行地址转换
之后查看一下NAT Outbound信息:
使用PC2测试与外网的连通性,在R1的接口g0/0/0抓包
我们看到,成功了!有兴趣可以自己抓一下包看一下。
四、配置NAT Easy-IP
当人数过大时,使用地址池难免会浪费,这时可以用多对一的Easy-IP转换方式实现员工访问需求
Easy-IP是NAPT的一种方式,直接借用路由器的出口ip地址作为公网地址,将不同内部地址映射到同一公有地址的不同端口号上,实现多对一的转换。现在在R1的E0/0/0接口为Easy-IP接口
先删除NAT Outbound 配置,用nat outbound命令配置Easy-IP 特征,直接使用接口ip地址作为NAT转换后的地址
配置好后,用pc3 和pc2发送一下数据包到202.169.20.1,配置好目的ip,UDP源、目的端口号,发送
之后我们在R1上查看NAT Session详细信息
五、配置NAT Server
公司内部Server提供FTP服务供外网用户访问,配置NATServer 并使用公网IP地址202.169.10.6对外公布服务器地址,然后开启NAT ALG 功能。因为对于封装在ip数据报文中的应用层协议报文,正常的NAT转换会导致错误,在开启某应用协议的NAT ALG 功能后,该应用协议报文可以正常NAT转换,否则协议不能正常工作。
在R1G0/0/0接口上,使用nat server 命令定义内部服务器的映射表,指定服务器协议类型为TCP,配置服务器使用的公网ip202.169.10.6.服务器内网地址172.16.1.3 ,指定端口21,此端口号可以直接使用关键字ftp代替
查看下NAT Server信息
看,成功了!
公网用户可以成功登录公司内的私网FTP服务器。
z