NTD TCNE DAY02
1 案例1:静态NAT 配置
1.1 问题
- 将内部地址10.1.1.11/24、10.1.1.12/24静态转换为公网地址200.1.1.11/28、200.1.1.12/28 ,以便访问外网(Server1)或被外网(Server1)访问,并抓包分析
- 验证静态NAT是双向转换
1.2 方案
搭建实验环境,如图-1所示。
图-11.3 步骤
实现此案例需要按照如下步骤进行。
1)配置内网设备 – 终端
Server2:
10.1.1.11
255.255.255.0
10.1.1.254
Server3:
10.1.1.12
255.255.255.0
10.1.1.254
2)配置内网设备 – SW1
[Huawei]sysname SW1
[SW1]vlan 10 //创建 VLAN 10
[SW1-vlan10]quit
[SW1]interface gi0/0/3 //连接内网 R1的接口
[SW1-GigabitEthernet0/0/3]port link access
[SW1-GigabitEthernet0/0/3]port default vlan 10
[SW1-GigabitEthernet0/0/3]quit
[SW1]interface gi0/0/12 //连接内网 Server2的接口
[SW1-GigabitEthernet0/0/12]port link access
[SW1-GigabitEthernet0/0/12]port default vlan 10
[SW1-GigabitEthernet0/0/12]quit
[SW1]interface gi0/0/13 //连接内网 Server3的接口
[SW1-GigabitEthernet0/0/13]port link access
[SW1-GigabitEthernet0/0/13]port default vlan 10
[SW1-GigabitEthernet0/0/13]quit
3)配置内网设备 – R1
[Huawei]sysname R1
[R1]interface gi0/0/0 //连接内网的接口
[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 24
[R1-GigabitEthernet0/0/0]quit
[R1]interface gi0/0/1 //连接外网的接口
[R1-GigabitEthernet0/0/1]ip address 200.1.1.13 28
[R1-GigabitEthernet0/0/1]quit
[R1]ip route-static 0.0.0.0 0 200.1.1.14 //去往外网的默认路由
4)配置外网设备 – 终端
Server1:
210.1.1.1
255.255.255.0
210.1.1.254
5)配置外网设备 – R2
[Huawei]sysname R2
[R2]interface gi0/0/0 //连接Server1的接口
[R2-GigabitEthernet0/0/0]ip address 210.1.1.254 24
[R2-GigabitEthernet0/0/0]quit
[R2]interface gi0/0/1 //连接外网的接口
[R2-GigabitEthernet0/0/1]ip address 200.1.1.14 28
[R2-GigabitEthernet0/0/1]quit
6)在路由器 R1 上配置静态NAT
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat static global 200.1.1.11 inside 10.1.1.11
[R1-GigabitEthernet0/0/1]nat static global 200.1.1.12 inside 10.1.1.12
7)查看NAT配置,如图-2所示
图-2
8)分别在Server2和Server3上ping Server1可以通。在路由器G0/0/1口抓包,源地址已做转换,如图-3所示
图-3
9)Server1 ping Server2(200.1.1.11)能通,说明静态NAT是双向的。在R1 Gi0/0/0 口抓包,目的地址已做转换,如图-4所示
图-4
2 案例2:动态NAT配置
2.1 问题
将内部网络 10.1.1.0/24 转换为公网地址 200.1.1.1 ~ 200.1.1.11/28 上网(访问Server-1)
2.2 方案
2.3 步骤
实现此案例需要按照如下步骤进行。
1)配置公司内网终端设备 - PC1
PC1:
地址:10.1.1.1
掩码:255.255.255.0
网关:10.1.1.254
2)配置公司内网终端设备 - PC2
PC2:
地址:10.1.1.2
掩码:255.255.255.0
网关:10.1.1.254
3)配置公司内网网络设备 - SW1
[Huawei]sysname SW1
[SW1] vlan 10 //创建vlan10
[SW1-vlan10]quit
[SW1]interface GigabitEthernet0/0/1 //连接PC1的接口
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1-GigabitEthernet0/0/1] quit
[SW1]interface GigabitEthernet0/0/2 //连接PC2的接口
[SW1-GigabitEthernet0/0/2] port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 10
[SW1-GigabitEthernet0/0/2] quit
[SW1]interface GigabitEthernet0/0/3 //连接R1的接口
[SW1-GigabitEthernet0/0/3] port link-type access
[SW1-GigabitEthernet0/0/3] port default vlan 10
[SW1-GigabitEthernet0/0/3] quit
4)配置公司内网网络设备 - R1
[Huawei]sysname R1
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 255.255.255.0 //连接内网的接口
[R1-GigabitEthernet0/0/0]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ip address 200.1.1.13 255.255.255.240//连接外网的接口
[R1-GigabitEthernet0/0/1]quit
[R1] ip route-static 0.0.0.0 0.0.0.0 200.1.1.14 //去往外网的默认路由
5)在边界设备R1配置感兴趣数据流
[R1]acl 2000
[R1-acl-basic-2000] rule 10 permit source 10.1.1.0 0.0.0.255
[R1-acl-basic-2000] quit
6)在边界设R1配置NAT地址池
[R1] nat address-group 1 200.1.1.1 200.1.1.10
7)在边界设备R1配置NAT 转换命令
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1] nat outbound 2000 address-group 1 no-pat
//在该接口上发送数据时,将ACL 2000 允许的数据包的源IP地址转化为 group 1 中
的公网IP地址,并且不进行端口的转换
[R1-GigabitEthernet0/0/1] quit
8)配置 “运营商”设备的路由器和服务器
[Huawei]sysname ISP
[ISP]interface GigabitEthernet0/0/0 //连接Server1的接口
[ISP-GigabitEthernet0/0/0] ip address 210.1.1.254 255.255.255.0
[ISP-GigabitEthernet0/0/0] quit
[ISP]interface GigabitEthernet0/0/1 //连接R1的接口
[ISP-GigabitEthernet0/0/1] ip address 200.1.1.14 255.255.255.240
[ISP-GigabitEthernet0/0/1] quit
9)配置Server1
Server1:
地址:210.1.1.1
掩码:255.255.255.0
网关:210.1.1.254
10)验证 NAT 配置
[R1]display nat outbound //查看设备上配置的出向NAT
NAT Outbound Information:
—————————————————————————————————————
Interface Acl Address-group/IP/Interface Type
—————————————————————————————————————
GigabitEthernet0/0/2 2000 1 no-pat
—————————————————————————————————————
Total : 1
11)PC1 ping Server1测试,内网能够访问外网,查看NAT转换表
[R1]dis nat session all
NAT Session Table Information:
Protocol : ICMP(1)
SrcAddr Vpn : 10.1.1.1
DestAddr Vpn : 210.1.1.1
Type Code IcmpId : 0 8 43982
NAT-Info
New SrcAddr : 200.1.1.5
New DestAddr : ——
New IcmpId : ——
Total : 1
12)在路由器R1 的 Gi0/0/1口抓包,源地址已做转换,如图-6所示
图-6
13)Server1 ping PC1不通,说明动态NAT是单向的,如图-7所示
图-7
3 案例3:动态PNAT 配置
3.1 问题
公司要求将内部网络10.1.1.0/24转换为一个公网地址200.1.1.10/28上网(访问Server1)
3.2 方案
3.3 步骤
实现此案例需要按照如下步骤进行。
1)配置公司内网终端设备 - PC1
PC1:
地址:10.1.1.1
掩码:255.255.255.0
网关:10.1.1.254
2)配置公司内网终端设备 - PC2
PC2:
地址:10.1.1.2
掩码:255.255.255.0
网关:10.1.1.254
3)配置公司内网网络设备 - SW1
[Huawei]sysname SW1
[SW1] vlan 10 //创建VLAN 10
[SW1-vlan10]quit
[SW1]interface GigabitEthernet0/0/1 //连接PC1的接口
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1-GigabitEthernet0/0/1] quit
[SW1]interface GigabitEthernet0/0/2 //连接PC2的接口
[SW1-GigabitEthernet0/0/2] port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 10
[SW1-GigabitEthernet0/0/2] quit
[SW1]interface GigabitEthernet0/0/3 //连接R1的接口
[SW1-GigabitEthernet0/0/3] port link-type access
[SW1-GigabitEthernet0/0/3] port default vlan 10
[SW1-GigabitEthernet0/0/3] quit
4)配置公司内网网络设备 - R1
[Huawei]sysname R1
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0] ip address 10.1.1.254 255.255.255.0
[R1-GigabitEthernet0/0/0] quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1] ip address 200.1.1.13 255.255.255.240
[R1-GigabitEthernet0/0/1] quit
[R1] ip route-static 0.0.0.0 0.0.0.0 200.1.1.14
5)在边界设备 R1配置 感兴趣数据流
[R1]acl 2000
[R1-acl-basic-2000] rule 10 permit source 10.1.1.0 0.0.0.255
[R1-acl-basic-2000] quit
6)在边界设备 R1配置 NAT地址池
[R1] nat address-group 1 200.1.1.10 200.1.1.10
7)在边界设备 R1配置 NAT 转换命令
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1] nat outbound 2000 address-group 1
[R1-GigabitEthernet0/0/1] quit
8)配置运营商的路由器和服务器
[Huawei]sysname ISP
[ISP]interface GigabitEthernet0/0/0 //连接 Server1 的接口
[ISP-GigabitEthernet0/0/0] ip address 210.1.1.254 255.255.255.0
[ISP-GigabitEthernet0/0/0] quit
[ISP]interface GigabitEthernet0/0/1 //连接 R1 的接口
[ISP-GigabitEthernet0/0/1] ip address 200.1.1.14 255.255.255.240
[ISP-GigabitEthernet0/0/1] quit
9)配置Server1
Server1:
地址 - 210.1.1.1
掩码 - 255.255.255.0
网关 – 210.1.1.254
10)查看NAT配置
[R1]display nat address-group //查看 NAT 地址池
NAT Address-Group Information:
———————————————————
Index Start-address End-address
———————————————————
1 200.1.1.10 200.1.1.10
———————————————————
Total : 1
[R1]display nat outbound //查看设备上配置的出向NAT
NAT Outbound Information:
—————————————————————————————————————
Interface Acl Address-group/IP/Interface Type
—————————————————————————————————————
GigabitEthernet0/0/1 2000 1 pat
—————————————————————————————————————
Total : 1
11)Server1搭建HttpServer,PC-1访问HttpServer。在路由器Gi0/0/1口抓包,可以看到源地址已经转换,如图-9所示
图-9
4 案例4:Easy IP 配置
4.1 问题
- 允许 vlan 10内的所有主机访问外网
- 仅允许 vlan 20 内的所有主机位为奇数的主机访问外网
- 允许 vlan 30 内除 PC-3 以外的其他所有主机访问外网
4.2 方案
搭建实验环境,如图-10所示。
图-104.3 步骤
实现此案例需要按照如下步骤进行。
1)配置内网设备 – 终端
PC1:
10.1.1.1
255.255.255.0
10.1.1.254
PC2:
10.1.2.1
255.255.255.0
10.1.2.254
PC3:
10.1.3.78
255.255.255.0
10.1.3.254
2)配置内网设备 – SW
[Huawei]sysname SW
[SW]vlan batch 10 20 30 6 //批量创建 VLAN
[SW]interface gi0/0/1 //连接 PC1 的接口
[SW-GigabitEthernet0/0/1]port link access
[SW-GigabitEthernet0/0/1]port default vlan 10
[SW-GigabitEthernet0/0/1]quit
[SW]interface GigabitEthernet 0/0/2 //连接 PC3 的接口
[SW-GigabitEthernet0/0/2]port link access
[SW-GigabitEthernet0/0/2]port default vlan 30
[SW-GigabitEthernet0/0/2]quit
[SW]interface GigabitEthernet 0/0/3 //连接 R1 的接口
[SW-GigabitEthernet0/0/3]port default vlan 6
[SW-GigabitEthernet0/0/3]quit
[SW]interface GigabitEthernet 0/0/4 //连接 PC2 的接口
[SW-GigabitEthernet0/0/4]port default vlan 20
[SW-GigabitEthernet0/0/4]quit
[SW]interface Vlanif 10 //配置 vlan 10 的网关接口
[SW-Vlanif10]ip address 10.1.1.254 24
[SW-Vlanif10]quit
[SW]interface Vlanif 20 //配置 vlan 20 的网关接口
[SW-Vlanif20]ip address 10.1.2.254 24
[SW-Vlanif20]quit
[SW]interface Vlanif 30 //配置 vlan 30 的网关接口
[SW-Vlanif30]ip address 10.1.3.254 24
[SW-Vlanif30]quit
[SW]interface Vlanif 6 //配置 vlan 6 的网关接口
[SW-Vlanif6]ip address 10.1.6.1 24
[SW-Vlanif6]quit
[SW]ip route-static 0.0.0.0 0 10.1.6.254 //配置去往外网的默认路由
3)配置内网设备 – R1
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0 //连接 SW1 的接口
[R1-GigabitEthernet0/0/0]ip address 10.1.6.254 24
[R1-GigabitEthernet0/0/0]quit
[R1]interface GigabitEthernet 0/0/1 //连接外网的接口
[R1-GigabitEthernet0/0/1]ip address 100.1.1.1 24
[R1-GigabitEthernet0/0/1]quit
[R1]ip route-static 0.0.0.0 0 100.1.1.2 //去往外网的路由
[R1]ip route-static 10.1.1.0 24 10.1.6.1 //去往 vlan10 的路由
[R1]ip route-static 10.1.2.0 24 10.1.6.1 //去往 vlan20 的路由
[R1]ip route-static 10.1.3.0 24 10.1.6.1 //去往 vlan30 的路由
4)配置外网设备 – R2
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/0 //连接 Server1的接口
[R2-GigabitEthernet0/0/0]ip address 200.1.1.254 24
[R2-GigabitEthernet0/0/0]quit
[R2]interface GigabitEthernet 0/0/1 //连接 R1 的接口
[R2-GigabitEthernet0/0/1]ip address 100.1.1.2 24
[R2-GigabitEthernet0/0/1]quit
5)配置外网设备 – Server1
Server1:
200.1.1.1
255.255.255.0
200.1.1.254
6)在路由器 R1 上配置Easy IP
[R1]acl 2000
[R1-acl-basic-2000]rule 10 permit source 10.1.1.0 0.0.0.255
[R1-acl-basic-2000]rule 20 permit source 10.1.2.1 0.0.0.254
[R1-acl-basic-2000]rule 30 deny source 10.1.3.78 0.0.0.0
[R1-acl-basic-2000]rule 40 permit source 10.1.3.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 //配置出向的 NAT,对ACL允许的数据进行地址转换,将源IP地址转换为该接口的IP地址
7)查看NAT配置
[R1]display nat outbound //查看设备上配置和调用的出向 NAT
NAT Outbound Information:
—————————————————————————————————————
Interface Acl Address-group/IP/Interface Type
—————————————————————————————————————
GigabitEthernet0/0/1 2000 100.1.1.1 easyip
—————————————————————————————————————
Total : 1
8)PC1/2/3测试与Server-1的互通性,如图-11所示
图-11
5 案例5:配置NAT Server
5.1 问题
- 将内部地址10.1.1.11/24的80端口静态转换为公网地址200.1.1.11的80端口,以便被外网(Client1)访问
- 将内部地址10.1.1.12/24的21端口静态转换为公网地址200.1.1.11的21端口,以便被外网(Client1)访问
5.2 方案
搭建实验环境,如图-12所示。
图-125.3 步骤
实现此案例需要按照如下步骤进行。
1)配置内网设备 – 终端
Server2:
10.1.1.11
255.255.255.0
10.1.1.254
Server3:
10.1.1.12
255.255.255.0
10.1.1.254
2)配置内网设备 – SW
[Huawei]sysname SW
[SW]vlan 10 //创建 VLAN 10
[SW-vlan10]quit
[SW]interface gi0/0/3 //连接内网 R1的接口
[SW-GigabitEthernet0/0/3]port link access
[SW-GigabitEthernet0/0/3]port default vlan 10
[SW-GigabitEthernet0/0/3]quit
[SW]interface gi0/0/12 //连接内网 Server-2的接口
[SW-GigabitEthernet0/0/12]port link access
[SW-GigabitEthernet0/0/12]port default vlan 10
[SW-GigabitEthernet0/0/12]quit
[SW]interface gi0/0/13 //连接内网 Server-3的接口
[SW-GigabitEthernet0/0/13]port link access
[SW-GigabitEthernet0/0/13]port default vlan 10
[SW-GigabitEthernet0/0/13]quit
3)配置内网设备 – R1
[Huawei]sysname R1
[R1]interface gi0/0/0 //连接内网的接口
[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 24
[R1-GigabitEthernet0/0/0]quit
[R1]interface gi0/0/1 //连接外网的接口
[R1-GigabitEthernet0/0/1]ip address 200.1.1.13 28
[R1-GigabitEthernet0/0/1]quit
[R1]ip route-static 0.0.0.0 0 200.1.1.14 //去往外网的默认路由
4)配置外网设备 – 终端
Client1:
1000.1.1.1
255.255.255.0
100.1.1.254
5)配置外网设备 – R2
[Huawei]sysname R2
[R2]interface gi0/0/0 //连接Client-1的接口
[R2-GigabitEthernet0/0/0]ip address 100.1.1.254 24
[R2-GigabitEthernet0/0/0]quit
[R2]interface gi0/0/1 //连接外网的接口
[R2-GigabitEthernet0/0/1]ip address 200.1.1.14 28
[R2-GigabitEthernet0/0/1]quit
6)配置路由器 R1 上的NAT Server
interfac gi0/0/1
nat server protocol tcp global 200.1.1.11 80 inside 10.1.1.11 80
//外部访问 200.1.1.11 的 TCP 80时,映射到内网 10.1.1.11 所表示的设备上的 80 端口
nat server protocol tcp global 200.1.1.11 21 inside 10.1.1.12 21
//外部访问 200.1.1.11 的 TCP 21时,映射到内网 10.1.1.12 所表示的设备上的 21 端口
7)查看NAT配置
Nat Server Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 200.1.1.11/80(www)
Inside IP/Port : 10.1.1.11/80(www)
Protocol : 6(tcp)
(……)
Global IP/Port : 200.1.1.11/21(ftp)
Inside IP/Port : 10.1.1.12/21(ftp)
Protocol : 6(tcp)
(……)
8)测试:Server2搭建Http Server,Client1访问Http Server
9)测试:Server3搭建FTP Server,Client1访问FTP Server