一:搭建实验环境,依照拓补图将所有接口配置如图所示的IP地址,并且在私网出口RTA路由器上配置一条静态路由,指向公网路由器RTB。
二:实验拓补
三:配置完毕后在PC上面ping外网服务器的地址198.76.29.4,并不通
四:配置BasicNAT的过程
RTA
<H3C>system-view
[H3C]undo info-center en
Information center is disabled.
[H3C]sysname RTA
[RTA]interface GigabitEthernet 0/0 //配置IP地址
[RTA-GigabitEthernet0/0]ip ad 10.0.0.254 24
[RTA-GigabitEthernet0/0]quit
[RTA]interface GigabitEthernet 0/1//配置IP地址
[RTA-GigabitEthernet0/1]ip add 198.76.28.1 24
[RTA-GigabitEthernet0/1]quit
[RTA]ip route-static 0.0.0.0 0.0.0.0 198.76.28.2 //配置一条默认路由,所有没有路由条目的数据包都向下一跳198.76.28.2转发
[RTA]
[RTA]acl basic 2000 //创建基本ACL2000
[RTA-acl-ipv4-basic-2000]rule permit source 10.0.0.0 0.0.0.255//允许源,10.0.0.0 /24的网段
[RTA-acl-ipv4-basic-2000]q
[RTA]nat address-group 1 //配置NAT地址池,其中公网地址范围是198.76.28.11~20
[RTA-address-group-1]address 198.76.28.11 198.76.28.20
[RTA-address-group-1]quit
[RTA]interface GigabitEthernet 0/1 //将地址池与ACL 2000关联,方向是出方向
[RTA-GigabitEthernet0/1]nat outbound 2000 address-group 1 no-pat//no-pat是使用一对一的地址转换,只转换数据包的地址而不转换端口信息。
RTB
<H3C>sy
System View: return to User View with Ctrl+Z.
[H3C]undo info-center enable
Information center is disabled.
[H3C]sysname RTB
[RTB]interface GigabitEthernet 0/0
[RTB-GigabitEthernet0/0]ip add 198.76.28.2 24
[RTB-GigabitEthernet0/0]quit
[RTB]interface GigabitEthernet 0/1
[RTB-GigabitEthernet0/1]ip add 198.76.29.1 24
//配置相对简单,只是配置规定的IP地址而已五:再次检查是否可以ping通服务器地址
六:检查NAT表项
试验任务二:配置NAPT
私网客户端需要访问外网服务器,但由于公网地址有限,在RTA上配置的公网地址池范围198.76.28.11-198.76.28.11,因此配置NAPT,动态为私网客户端分配公网地址和协议。
RTA
[RTA]undo nat address-group 1 //取消之前的配置
[RTA]interface GigabitEthernet 0/1//取消之前的配置
[RTA-GigabitEthernet0/1]undo nat outbound 2000
[RTA-GigabitEthernet0/1]qui
[RTA]
[RTA]acl basic 2000 //创建acl 2000
[RTA-acl-ipv4-basic-2000]display this //发现之前创建好的没有删除,故不作变动,退出
#
acl basic 2000
rule 0 permit source 10.0.0.0 0.0.0.255
#
return
[RTA-acl-ipv4-basic-2000]qui
[RTA]nat address-group 1 //配置NAT地址池1,地址池中只放入一个地址198.76.28.11
[RTA-address-group-1]address 198.76.28.11 198.76.28.11
[RTA-address-group-1]quit
[RTA]interface GigabitEthernet 0/1 //acl绑定端口此时未携带no-pat字样,意味着NAT要对数据包进行端口的转换,
[RTA-GigabitEthernet0/1]nat outbound 2000 address-group 1
测试通断和检查NAT表项
任务三:Easy IP
私网客户端需要访问外网服务器Server,使用公网接口IP地址动态为私网客户端分配公网地址和协议端口
RTA
[RTA]undo nat address-group 1//取消之前的配置
[RTA]interface GigabitEthernet 0/1
[RTA-GigabitEthernet0/1]undo nat outbound 2000
[RTA-GigabitEthernet0/1]quit
[RTA]acl basic 2000 //已经有策略,还是不改变,不做配置
[RTA-acl-ipv4-basic-2000]display this
#
acl basic 2000
rule 0 permit source 10.0.0.0 0.0.0.255
#
return
[RTA-acl-ipv4-basic-2000]quit
[RTA]interface GigabitEthernet 0/1 //在接口视图下将ACL 2000与接口关联下发NAT
[RTA-GigabitEthernet0/1]nat outbound 2000
[RTA-GigabitEthernet0/1]quit
//???excuseme???这就完了,然后也通了?从开始往下学,这特么太方便了吧!ping结果
完成了NAT配置以后,私网客户端可以ping通外网服务器,但是外网服务器却不能ping通私网客户端。
任务四:NATserver配置
