02： NAT场景与原理、静态NAT、动态NAT 、 PAT原理与配置、动态PAT之EasyIP、静态PAT之NAT Server - CASE - 《网络运维与安全》

1 静态 NAT 配置
2 动态 NAT 配置
3 动态 PAT 配置
4 动态 PAT 之 Easy IP
5 静态 PAT 之 NAT Server

Top

静态 NAT 配置
动态 NAT 配置
动态 PAT 配置
动态 PAT 之 Easy IP
静态 PAT 之 NAT Server

1 静态 NAT 配置

1.1 需求

1）企业内网的 PC 需要访问 “公网服务器”

2）企业购买了 2 个公网 IP 地址：2001.1.1/24 和 200.1.1.2/24

1.2 方案

搭建实验环境，如图 - 1 所示。

CASE - 图1

图 - 1

1.3 步骤

实现此案例需要按照如下步骤进行。

1）配置内网设备 – 终端

PC-1:

192.168.1.1

255.255.255.0

192.168.1.254

PC-2:

192.168.1.2

255.255.255.0

192.168.1.254

2）配置内网设备 – R1

1.  <Huawei>undo terminal 
2.  <Huawei>system-view
3.  \[Huawei\]sysname R1
5.  \[R1\]interface gi0/0/0                                 
6.  \[R1-GigabitEthernet0/0/0\]ip address 192.168.1.254  24 
7.  \[R1-GigabitEthernet0/0/0\]quit
9.  \[R1\]interface gi0/0/1                                  
10.  \[R1-GigabitEthernet0/0/1\]ip address 200.1.1.1  24 
11.  \[R1-GigabitEthernet0/0/1\]quit
13.  \[R1\]ip route-static  0.0.0.0 0 200.1.1.9

3）配置外网设备 – 终端

公网服务器:

210.1.1.1

255.255.255.0

210.1.1.254

4）配置外网设备 – R2


1.  <Huawei>undo terminal 
2.  <Huawei>system-view
3.  \[Huawei\]sysname R2
5.  \[R2\]interface gi0/0/2                                 
6.  \[R2-GigabitEthernet0/0/2\]ip address 210.1.1.254  24 
7.  \[R2-GigabitEthernet0/0/2\]quit
9.  \[R2\]interface gi0/0/1                                  
10.  \[R2-GigabitEthernet0/0/1\]ip address 200.1.1.9  24 
11.  \[R2-GigabitEthernet0/0/1\]quit

5）在路由器 R1 上配置静态 NAT

1.  \[R1\]interface GigabitEthernet 0/0/1
2.  \[R1-GigabitEthernet0/0/1\]nat static global  200.1.1.2 inside  192.168.1.1

2 动态 NAT 配置

2.1 需求

1）企业内网的 PC 需要访问 “公网服务器”

2）企业仅购买 5 个公网 IP 地址，供 192.168.1.0/24 的主机使用（200.1.1.2~200.1.1.6）

2.2 方案

搭建实验环境，如图 - 2 所示。

CASE - 图2

图 - 2

2.3 步骤

实现此案例需要按照如下步骤进行。

1）配置内网设备 – 终端

PC-1:

192.168.1.1

255.255.255.0

192.168.1.254

PC-2:

192.168.1.2

255.255.255.0

192.168.1.254

2）配置内网设备 – R1


1.  <Huawei>undo terminal 
2.  <Huawei>system-view
3.  \[Huawei\]sysname R1
5.  \[R1\]interface gi0/0/0                                 
6.  \[R1-GigabitEthernet0/0/0\]ip address 192.168.1.254  24 
7.  \[R1-GigabitEthernet0/0/0\]quit
9.  \[R1\]interface gi0/0/1                                  
10.  \[R1-GigabitEthernet0/0/1\]ip address 200.1.1.1  24 
11.  \[R1-GigabitEthernet0/0/1\]quit
13.  \[R1\]ip route-static  0.0.0.0 0 200.1.1.9

3）配置外网设备 – 终端

公网服务器:

210.1.1.1

255.255.255.0

210.1.1.254

4）配置外网设备 – R2


1.  <Huawei>undo terminal 
2.  <Huawei>system-view
3.  \[Huawei\]sysname R2
5.  \[R2\]interface gi0/0/2                                 
6.  \[R2-GigabitEthernet0/0/2\]ip address 210.1.1.254  24 
7.  \[R2-GigabitEthernet0/0/2\]quit
9.  \[R2\]interface gi0/0/1                                  
10.  \[R2-GigabitEthernet0/0/1\]ip address 200.1.1.9  24 
11.  \[R2-GigabitEthernet0/0/1\]quit

5）在路由器 R1 上配置动态 NAT


1.  \[R1\]nat address-group 5 200.1.1.2 200.1.1.6     
3.  \[R1\]acl 2000     
4.  \[R1-acl-basic-2000\]rule 10 permit source  192.168.1.0 0.0.0.255
5.  \[R1-acl-basic-2000\]quit
7.  \[R1\]interface GigabitEthernet 0/0/1    
8.  \[R1-GigabitEthernet0/0/1\]nat outbound  2000  address-group 5 no-pat 
9.  \[R1-GigabitEthernet0/0/1\]quit

3 动态 PAT 配置

3.1 需求

1）企业内网的 PC 需要访问 “公网服务器”

2）企业仅购买 5 个公网 IP 地址，供 192.168.1.0/24 的主机使用（200.1.1.2~200.1.1.6）

3）尽量减少公网 IP 地址的成本，满足更多的内网主机访问外网

3.2 方案

搭建实验环境，如图 - 3 所示。

CASE - 图3

图 - 3

3.3 步骤

实现此案例需要按照如下步骤进行。

1）配置内网设备 – 终端

PC-1:

192.168.1.1

255.255.255.0

192.168.1.254

PC-2:

192.168.1.2

255.255.255.0

192.168.1.254

2）配置内网设备 – R1


1.  <Huawei>undo terminal 
2.  <Huawei>system-view
3.  \[Huawei\]sysname R1
5.  \[R1\]interface gi0/0/0                                 
6.  \[R1-GigabitEthernet0/0/0\]ip address 192.168.1.254  24 
7.  \[R1-GigabitEthernet0/0/0\]quit
9.  \[R1\]interface gi0/0/1                                  
10.  \[R1-GigabitEthernet0/0/1\]ip address 200.1.1.1  24 
11.  \[R1-GigabitEthernet0/0/1\]quit
13.  \[R1\]ip route-static  0.0.0.0 0 200.1.1.9

3）配置外网设备 – 终端

公网服务器:

210.1.1.1

255.255.255.0

210.1.1.254

4）配置外网设备 – R2


1.  <Huawei>undo terminal 
2.  <Huawei>system-view
3.  \[Huawei\]sysname R2
5.  \[R2\]interface gi0/0/2                                 
6.  \[R2-GigabitEthernet0/0/2\]ip address 210.1.1.254  24 
7.  \[R2-GigabitEthernet0/0/2\]quit
9.  \[R2\]interface gi0/0/1                                  
10.  \[R2-GigabitEthernet0/0/1\]ip address 200.1.1.9  24 
11.  \[R2-GigabitEthernet0/0/1\]quit

5）在路由器 R1 上配置动态 NAT


1.  \[R1\]nat address-group 5 200.1.1.2 200.1.1.6     
3.  \[R1\]acl 2000     
4.  \[R1-acl-basic-2000\]rule 10 permit source  192.168.1.0 0.0.0.255
5.  \[R1-acl-basic-2000\]quit
7.  \[R1\]interface GigabitEthernet 0/0/1    
8.  \[R1-GigabitEthernet0/0/1\]nat outbound  2000  address-group 5 
9.  \[R1-GigabitEthernet0/0/1\]quit

4 动态 PAT 之 Easy IP

4.1 需求

1）企业的 3 个部门存在不同的上网需求，如图连接并配置设备地址

2）R1 的外网接口通过动态的方式获取公网地址：200.1.1.1/24

3）使用最节省公网 IP 地址的方案，实现内网到外网的访问

4）三个部门划分为不同的 vlan，分别是 vlan 10/20/30

5）为不同的 VLAN 配置不同的 IP 地址网段: 192.168.x.0/24（x 为 vlan 号）

6）允许 vlan 10 内的所有主机访问外网

7）允许 vlan 30 内除 PC3 以外的其他所有主机访问外网

8）仅仅允许 vlan 20 内的所有主机位为奇数的主机访问外网

4.2 方案

搭建实验环境，如图 - 4 所示。

CASE - 图4

图 - 4

4.3 步骤

实现此案例需要按照如下步骤进行。

1）配置内网设备 – 终端

销售部：

192.168.1.1

255.255.255.0

192.168.1.254

财务部：

192.168.2.1

255.255.255.0

192.168.2.254

设计部：

192.168.3.78

255.255.255.0

192.168.3.254

2）配置内网设备 – SW1


1.  <Huawei>undo terminal monitor 
2.  <Huawei>system-view 
3.  \[Huawei\]sysname SW
4.  \[SW\]vlan batch 10 20 30 40
6.  \[SW\]interface gi0/0/1
7.  \[SW-GigabitEthernet0/0/1\]port link access 
8.  \[SW-GigabitEthernet0/0/1\]port default vlan  10
9.  \[SW-GigabitEthernet0/0/1\]quit
11.  \[SW\]interface GigabitEthernet 0/0/2
12.  \[SW-GigabitEthernet0/0/2\]port link access
13.  \[SW-GigabitEthernet0/0/2\]port default vlan  20 
14.  \[SW-GigabitEthernet0/0/2\]quit
16.  \[SW\]interface GigabitEthernet 0/0/3
17.  \[SW-GigabitEthernet0/0/3\]port default vlan  30
18.  \[SW-GigabitEthernet0/0/3\]quit
20.  \[SW\]interface GigabitEthernet 0/0/4
21.  \[SW-GigabitEthernet0/0/4\]port default vlan  40
22.  \[SW-GigabitEthernet0/0/4\]quit
24.  \[SW\]interface Vlanif  10
25.  \[SW-Vlanif10\]ip address 192.168.1.254 24
26.  \[SW-Vlanif10\]quit
28.  \[SW\]interface Vlanif  20
29.  \[SW-Vlanif20\]ip address 192.168.2.254 24
30.  \[SW-Vlanif20\]quit
32.  \[SW\]interface Vlanif  30
33.  \[SW-Vlanif30\]ip address 192.168.3.254 24
34.  \[SW-Vlanif30\]quit
36.  \[SW\]interface Vlanif  40
37.  \[SW-Vlanif6\]ip address 192.168.4.254 24
38.  \[SW-Vlanif6\]quit
40.  \[SW\]ip route-static 0.0.0.0  0 192.168.4.1

3）配置内网设备 – R1

1.  <Huawei>undo terminal monitor 
2.  <Huawei>system-view 
3.  \[Huawei\]sysname R1
5.  \[R1\]interface GigabitEthernet 0/0/0
6.  \[R1-GigabitEthernet0/0/0\]ip address 192.168.4.1 24
7.  \[R1-GigabitEthernet0/0/0\]quit
9.  \[R1\]interface GigabitEthernet 0/0/1
10.  \[R1-GigabitEthernet0/0/1\]ip address  200.1.1.1 24
11.  \[R1-GigabitEthernet0/0/1\]quit
13.  \[R1\]ip route-static  0.0.0.0 0   200.1.1.9
14.  \[R1\]ip route-static  192.168.1.0 24 192.168.4.254
15.  \[R1\]ip route-static  192.168.2.0 24 192.168.4.254
16.  \[R1\]ip route-static  192.168.3.0 24 192.168.4.254

4）配置外网设备 – R2

1.  <Huawei>undo terminal monitor 
2.  <Huawei>system-view 
3.  \[Huawei\]sysname R2
5.  \[R2\]interface GigabitEthernet 0/0/1
6.  \[R2-GigabitEthernet0/0/1\]ip address 200.1.1.9 24
7.  \[R2-GigabitEthernet0/0/1\]quit
9.  \[R2\]interface GigabitEthernet 0/0/0
10.  \[R2-GigabitEthernet0/0/0\]ip address  210.1.1.254 24
11.  \[R2-GigabitEthernet0/0/0\]quit

5）配置外网设备 – 公网服务器

公网服务器：

210.1.1.1

255.255.255.0

210.1.1.254

6）在路由器 R1 上配置 Easy IP


1.  \[R1\]acl 2000
2.  \[R1-acl-basic-2000\]rule 10 permit  source  192.168.1.0 0.0.0.255
3.  \[R1-acl-basic-2000\]rule 20 permit  source  192.168.2.1 0.0.0.254
4.  \[R1-acl-basic-2000\]rule 30 deny    source  192.168.3.78 0.0.0.0
5.  \[R1-acl-basic-2000\]rule 40 permit  source  192.168.3.0 0.0.0.255
6.  \[R1-acl-basic-2000\]quit
8.  \[R1\]interface GigabitEthernet 0/0/1
9.  \[R1-GigabitEthernet0/0/1\]nat outbound 2000

5 静态 PAT 之 NAT Server

5.1 需求

1）企业内网的两个服务器对外提供服务，专门购买了公网 IP：200.1.1.2

2）希望外网的 “测试客户端” 可以访问内网的两个业务服务器（Web 和 FTP）

5.2 方案

搭建实验环境，如图 - 5 所示。

CASE - 图5

图 - 5

5.3 步骤

实现此案例需要按照如下步骤进行。

1）配置内网设备 – 终端

Web 服务器:
192.168.1.1
255.255.255.0
192.168.1.254
FTP 服务器:
192.168.1.2
255.255.255.0
192.168.1.254
2）配置内网设备 – SW

1.  <Huawei>undo terminal 
2.  <Huawei>system-view
3.  \[Huawei\]sysname SW
5.  \[SW\]vlan 10                             
6.  \[SW-vlan10\]quit
8.  \[SW\]interface gi0/0/1                             
9.  \[SW-GigabitEthernet0/0/1\]port link access 
10.  \[SW-GigabitEthernet0/0/1\]port default vlan 10
11.  \[SW-GigabitEthernet0/0/1\]quit
13.  \[SW\]interface gi0/0/2                             
14.  \[SW-GigabitEthernet0/0/2\]port link access 
15.  \[SW-GigabitEthernet0/0/2\]port default vlan 10
16.  \[SW-GigabitEthernet0/0/2\]quit
18.  \[SW\]interface gi0/0/3                             
19.  \[SW-GigabitEthernet0/0/3\]port link access 
20.  \[SW-GigabitEthernet0/0/3\]port default vlan 10
21.  \[SW-GigabitEthernet0/0/3\]quit

3）配置内网设备 – R1


1.  <Huawei>undo terminal 
2.  <Huawei>system-view
3.  \[Huawei\]sysname R1
5.  \[R1\]interface gi0/0/0                                 
6.  \[R1-GigabitEthernet0/0/0\]ip address 192.168.1.254  24 
7.  \[R1-GigabitEthernet0/0/0\]quit
9.  \[R1\]interface gi0/0/1                                  
10.  \[R1-GigabitEthernet0/0/1\]ip address 200.1.1.1  24 
11.  \[R1-GigabitEthernet0/0/1\]quit
13.  \[R1\]ip route-static  0.0.0.0 0 200.1.1.9

4）配置外网设备 – 测试客户端

测试客户端:

210.1.1.1

255.255.255.0

210.1.1.254

5）配置外网设备 – R2


1.  <Huawei>undo terminal 
2.  <Huawei>system-view
3.  \[Huawei\]sysname R2
5.  \[R2\]interface gi0/0/0                                 
6.  \[R2-GigabitEthernet0/0/0\]ip address 210.1.1.254  24 
7.  \[R2-GigabitEthernet0/0/0\]quit
9.  \[R2\]interface gi0/0/1                                  
10.  \[R2-GigabitEthernet0/0/1\]ip address 200.1.1.9  24 
11.  \[R2-GigabitEthernet0/0/1\]quit

6）配置路由器 R1 上的 NAT Server


1.  interfac gi0/0/1 
2.    nat server protocol tcp global 200.1.1.2 80 inside 192.168.1.1 80
3.    nat server protocol tcp global 200.1.1.2 21 inside 192.168.1.2 21

https://tts.tmooc.cn/ttsPage/NTD/NTDTN202109/TCNE/DAY02/CASE/01/index.html