Top

NTD TCNE DAY02

  1. 案例1:静态NAT 配置
  2. 案例2:动态NAT配置
  3. 案例3:动态PNAT 配置
  4. 案例4:Easy IP 配置
  5. 案例5:配置NAT Server

1 案例1:静态NAT 配置

1.1 问题

  1. 将内部地址10.1.1.11/24、10.1.1.12/24静态转换为公网地址200.1.1.11/28、200.1.1.12/28 ,以便访问外网(Server1)或被外网(Server1)访问,并抓包分析
  2. 验证静态NAT是双向转换

    1.2 方案

    搭建实验环境,如图-1所示。
    TCNE DAY02 - 图1
    图-1

    1.3 步骤

    实现此案例需要按照如下步骤进行。
    1)配置内网设备 – 终端
    Server2:
    10.1.1.11
    255.255.255.0
    10.1.1.254
    Server3:
    10.1.1.12
    255.255.255.0
    10.1.1.254

2)配置内网设备 – SW1
undo terminal
system-view
[Huawei]sysname SW1
[SW1]vlan 10 //创建 VLAN 10
[SW1-vlan10]quit

[SW1]interface gi0/0/3 //连接内网 R1的接口
[SW1-GigabitEthernet0/0/3]port link access
[SW1-GigabitEthernet0/0/3]port default vlan 10
[SW1-GigabitEthernet0/0/3]quit

[SW1]interface gi0/0/12 //连接内网 Server2的接口
[SW1-GigabitEthernet0/0/12]port link access
[SW1-GigabitEthernet0/0/12]port default vlan 10
[SW1-GigabitEthernet0/0/12]quit

[SW1]interface gi0/0/13 //连接内网 Server3的接口
[SW1-GigabitEthernet0/0/13]port link access
[SW1-GigabitEthernet0/0/13]port default vlan 10
[SW1-GigabitEthernet0/0/13]quit

3)配置内网设备 – R1
undo terminal
system-view
[Huawei]sysname R1

[R1]interface gi0/0/0 //连接内网的接口
[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 24
[R1-GigabitEthernet0/0/0]quit

[R1]interface gi0/0/1 //连接外网的接口
[R1-GigabitEthernet0/0/1]ip address 200.1.1.13 28
[R1-GigabitEthernet0/0/1]quit

[R1]ip route-static 0.0.0.0 0 200.1.1.14 //去往外网的默认路由

4)配置外网设备 – 终端
Server1:
210.1.1.1
255.255.255.0
210.1.1.254

5)配置外网设备 – R2
undo terminal
system-view
[Huawei]sysname R2

[R2]interface gi0/0/0 //连接Server1的接口
[R2-GigabitEthernet0/0/0]ip address 210.1.1.254 24
[R2-GigabitEthernet0/0/0]quit

[R2]interface gi0/0/1 //连接外网的接口
[R2-GigabitEthernet0/0/1]ip address 200.1.1.14 28
[R2-GigabitEthernet0/0/1]quit

6)在路由器 R1 上配置静态NAT
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat static global 200.1.1.11 inside 10.1.1.11
[R1-GigabitEthernet0/0/1]nat static global 200.1.1.12 inside 10.1.1.12

7)查看NAT配置,如图-2所示
TCNE DAY02 - 图2
图-2
8)分别在Server2和Server3上ping Server1可以通。在路由器G0/0/1口抓包,源地址已做转换,如图-3所示
TCNE DAY02 - 图3
图-3
TCNE DAY02 - 图4
9)Server1 ping Server2(200.1.1.11)能通,说明静态NAT是双向的。在R1 Gi0/0/0 口抓包,目的地址已做转换,如图-4所示
TCNE DAY02 - 图5
图-4

2 案例2:动态NAT配置

2.1 问题

将内部网络 10.1.1.0/24 转换为公网地址 200.1.1.1 ~ 200.1.1.11/28 上网(访问Server-1)

2.2 方案

搭建实验环境,如图-5所示。
TCNE DAY02 - 图6
图-5

2.3 步骤

实现此案例需要按照如下步骤进行。
1)配置公司内网终端设备 - PC1
PC1:
地址:10.1.1.1
掩码:255.255.255.0
网关:10.1.1.254

2)配置公司内网终端设备 - PC2
PC2:
地址:10.1.1.2
掩码:255.255.255.0
网关:10.1.1.254

3)配置公司内网网络设备 - SW1
system-view
[Huawei]sysname SW1
[SW1] vlan 10 //创建vlan10
[SW1-vlan10]quit

[SW1]interface GigabitEthernet0/0/1 //连接PC1的接口
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1-GigabitEthernet0/0/1] quit

[SW1]interface GigabitEthernet0/0/2 //连接PC2的接口
[SW1-GigabitEthernet0/0/2] port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 10
[SW1-GigabitEthernet0/0/2] quit

[SW1]interface GigabitEthernet0/0/3 //连接R1的接口
[SW1-GigabitEthernet0/0/3] port link-type access
[SW1-GigabitEthernet0/0/3] port default vlan 10
[SW1-GigabitEthernet0/0/3] quit

4)配置公司内网网络设备 - R1
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 255.255.255.0 //连接内网的接口
[R1-GigabitEthernet0/0/0]quit

[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ip address 200.1.1.13 255.255.255.240//连接外网的接口
[R1-GigabitEthernet0/0/1]quit

[R1] ip route-static 0.0.0.0 0.0.0.0 200.1.1.14 //去往外网的默认路由

5)在边界设备R1配置感兴趣数据流
[R1]acl 2000
[R1-acl-basic-2000] rule 10 permit source 10.1.1.0 0.0.0.255
[R1-acl-basic-2000] quit

6)在边界设R1配置NAT地址池
[R1] nat address-group 1 200.1.1.1 200.1.1.10

7)在边界设备R1配置NAT 转换命令
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1] nat outbound 2000 address-group 1 no-pat
//在该接口上发送数据时,将ACL 2000 允许的数据包的源IP地址转化为 group 1 中
的公网IP地址,并且不进行端口的转换
[R1-GigabitEthernet0/0/1] quit

8)配置 “运营商”设备的路由器和服务器
system-view
[Huawei]sysname ISP
[ISP]interface GigabitEthernet0/0/0 //连接Server1的接口
[ISP-GigabitEthernet0/0/0] ip address 210.1.1.254 255.255.255.0
[ISP-GigabitEthernet0/0/0] quit

[ISP]interface GigabitEthernet0/0/1 //连接R1的接口
[ISP-GigabitEthernet0/0/1] ip address 200.1.1.14 255.255.255.240
[ISP-GigabitEthernet0/0/1] quit

9)配置Server1
Server1:
地址:210.1.1.1
掩码:255.255.255.0
网关:210.1.1.254

10)验证 NAT 配置
[R1]display nat outbound //查看设备上配置的出向NAT
NAT Outbound Information:
—————————————————————————————————————
Interface Acl Address-group/IP/Interface Type
—————————————————————————————————————
GigabitEthernet0/0/2 2000 1 no-pat
—————————————————————————————————————
Total : 1

11)PC1 ping Server1测试,内网能够访问外网,查看NAT转换表
[R1]dis nat session all
NAT Session Table Information:
Protocol : ICMP(1)
SrcAddr Vpn : 10.1.1.1
DestAddr Vpn : 210.1.1.1
Type Code IcmpId : 0 8 43982
NAT-Info
New SrcAddr : 200.1.1.5
New DestAddr : ——
New IcmpId : ——
Total : 1

12)在路由器R1 的 Gi0/0/1口抓包,源地址已做转换,如图-6所示
TCNE DAY02 - 图7
图-6
13)Server1 ping PC1不通,说明动态NAT是单向的,如图-7所示
TCNE DAY02 - 图8
图-7

3 案例3:动态PNAT 配置

3.1 问题

公司要求将内部网络10.1.1.0/24转换为一个公网地址200.1.1.10/28上网(访问Server1)

3.2 方案

搭建实验环境,如图-8所示。
TCNE DAY02 - 图9
图-8

3.3 步骤

实现此案例需要按照如下步骤进行。
1)配置公司内网终端设备 - PC1
PC1:
地址:10.1.1.1
掩码:255.255.255.0
网关:10.1.1.254

2)配置公司内网终端设备 - PC2
PC2:
地址:10.1.1.2
掩码:255.255.255.0
网关:10.1.1.254

3)配置公司内网网络设备 - SW1
system-view
[Huawei]sysname SW1
[SW1] vlan 10 //创建VLAN 10
[SW1-vlan10]quit

[SW1]interface GigabitEthernet0/0/1 //连接PC1的接口
[SW1-GigabitEthernet0/0/1] port link-type access
[SW1-GigabitEthernet0/0/1] port default vlan 10
[SW1-GigabitEthernet0/0/1] quit

[SW1]interface GigabitEthernet0/0/2 //连接PC2的接口
[SW1-GigabitEthernet0/0/2] port link-type access
[SW1-GigabitEthernet0/0/2] port default vlan 10
[SW1-GigabitEthernet0/0/2] quit

[SW1]interface GigabitEthernet0/0/3 //连接R1的接口
[SW1-GigabitEthernet0/0/3] port link-type access
[SW1-GigabitEthernet0/0/3] port default vlan 10
[SW1-GigabitEthernet0/0/3] quit

4)配置公司内网网络设备 - R1
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0] ip address 10.1.1.254 255.255.255.0
[R1-GigabitEthernet0/0/0] quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1] ip address 200.1.1.13 255.255.255.240
[R1-GigabitEthernet0/0/1] quit
[R1] ip route-static 0.0.0.0 0.0.0.0 200.1.1.14

5)在边界设备 R1配置 感兴趣数据流
[R1]acl 2000
[R1-acl-basic-2000] rule 10 permit source 10.1.1.0 0.0.0.255
[R1-acl-basic-2000] quit

6)在边界设备 R1配置 NAT地址池
[R1] nat address-group 1 200.1.1.10 200.1.1.10

7)在边界设备 R1配置 NAT 转换命令
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1] nat outbound 2000 address-group 1
[R1-GigabitEthernet0/0/1] quit

8)配置运营商的路由器和服务器
system-view
[Huawei]sysname ISP
[ISP]interface GigabitEthernet0/0/0 //连接 Server1 的接口
[ISP-GigabitEthernet0/0/0] ip address 210.1.1.254 255.255.255.0
[ISP-GigabitEthernet0/0/0] quit

[ISP]interface GigabitEthernet0/0/1 //连接 R1 的接口
[ISP-GigabitEthernet0/0/1] ip address 200.1.1.14 255.255.255.240
[ISP-GigabitEthernet0/0/1] quit

9)配置Server1
Server1:
地址 - 210.1.1.1
掩码 - 255.255.255.0
网关 – 210.1.1.254

10)查看NAT配置
[R1]display nat address-group //查看 NAT 地址池
NAT Address-Group Information:
———————————————————
Index Start-address End-address
———————————————————
1 200.1.1.10 200.1.1.10
———————————————————
Total : 1

[R1]display nat outbound //查看设备上配置的出向NAT
NAT Outbound Information:
—————————————————————————————————————
Interface Acl Address-group/IP/Interface Type
—————————————————————————————————————
GigabitEthernet0/0/1 2000 1 pat
—————————————————————————————————————
Total : 1

11)Server1搭建HttpServer,PC-1访问HttpServer。在路由器Gi0/0/1口抓包,可以看到源地址已经转换,如图-9所示
TCNE DAY02 - 图10
图-9

4 案例4:Easy IP 配置

4.1 问题

  1. 允许 vlan 10内的所有主机访问外网
  2. 仅允许 vlan 20 内的所有主机位为奇数的主机访问外网
  3. 允许 vlan 30 内除 PC-3 以外的其他所有主机访问外网

    4.2 方案

    搭建实验环境,如图-10所示。
    TCNE DAY02 - 图11
    图-10

    4.3 步骤

    实现此案例需要按照如下步骤进行。
    1)配置内网设备 – 终端
    PC1:
    10.1.1.1
    255.255.255.0
    10.1.1.254
    PC2:
    10.1.2.1
    255.255.255.0
    10.1.2.254
    PC3:
    10.1.3.78
    255.255.255.0
    10.1.3.254

2)配置内网设备 – SW
undo terminal monitor
system-view
[Huawei]sysname SW
[SW]vlan batch 10 20 30 6 //批量创建 VLAN

[SW]interface gi0/0/1 //连接 PC1 的接口
[SW-GigabitEthernet0/0/1]port link access
[SW-GigabitEthernet0/0/1]port default vlan 10
[SW-GigabitEthernet0/0/1]quit

[SW]interface GigabitEthernet 0/0/2 //连接 PC3 的接口
[SW-GigabitEthernet0/0/2]port link access
[SW-GigabitEthernet0/0/2]port default vlan 30
[SW-GigabitEthernet0/0/2]quit

[SW]interface GigabitEthernet 0/0/3 //连接 R1 的接口
[SW-GigabitEthernet0/0/3]port default vlan 6
[SW-GigabitEthernet0/0/3]quit

[SW]interface GigabitEthernet 0/0/4 //连接 PC2 的接口
[SW-GigabitEthernet0/0/4]port default vlan 20
[SW-GigabitEthernet0/0/4]quit

[SW]interface Vlanif 10 //配置 vlan 10 的网关接口
[SW-Vlanif10]ip address 10.1.1.254 24
[SW-Vlanif10]quit

[SW]interface Vlanif 20 //配置 vlan 20 的网关接口
[SW-Vlanif20]ip address 10.1.2.254 24
[SW-Vlanif20]quit

[SW]interface Vlanif 30 //配置 vlan 30 的网关接口
[SW-Vlanif30]ip address 10.1.3.254 24
[SW-Vlanif30]quit

[SW]interface Vlanif 6 //配置 vlan 6 的网关接口
[SW-Vlanif6]ip address 10.1.6.1 24
[SW-Vlanif6]quit

[SW]ip route-static 0.0.0.0 0 10.1.6.254 //配置去往外网的默认路由

3)配置内网设备 – R1
undo terminal monitor
system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0 //连接 SW1 的接口
[R1-GigabitEthernet0/0/0]ip address 10.1.6.254 24
[R1-GigabitEthernet0/0/0]quit

[R1]interface GigabitEthernet 0/0/1 //连接外网的接口
[R1-GigabitEthernet0/0/1]ip address 100.1.1.1 24
[R1-GigabitEthernet0/0/1]quit

[R1]ip route-static 0.0.0.0 0 100.1.1.2 //去往外网的路由
[R1]ip route-static 10.1.1.0 24 10.1.6.1 //去往 vlan10 的路由
[R1]ip route-static 10.1.2.0 24 10.1.6.1 //去往 vlan20 的路由
[R1]ip route-static 10.1.3.0 24 10.1.6.1 //去往 vlan30 的路由

4)配置外网设备 – R2
undo terminal monitor
system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/0 //连接 Server1的接口
[R2-GigabitEthernet0/0/0]ip address 200.1.1.254 24
[R2-GigabitEthernet0/0/0]quit

[R2]interface GigabitEthernet 0/0/1 //连接 R1 的接口
[R2-GigabitEthernet0/0/1]ip address 100.1.1.2 24
[R2-GigabitEthernet0/0/1]quit

5)配置外网设备 – Server1
Server1:
200.1.1.1
255.255.255.0
200.1.1.254

6)在路由器 R1 上配置Easy IP
[R1]acl 2000
[R1-acl-basic-2000]rule 10 permit source 10.1.1.0 0.0.0.255
[R1-acl-basic-2000]rule 20 permit source 10.1.2.1 0.0.0.254
[R1-acl-basic-2000]rule 30 deny source 10.1.3.78 0.0.0.0
[R1-acl-basic-2000]rule 40 permit source 10.1.3.0 0.0.0.255
[R1-acl-basic-2000]quit

[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 //配置出向的 NAT,对ACL允许的数据进行地址转换,将源IP地址转换为该接口的IP地址

7)查看NAT配置
[R1]display nat outbound //查看设备上配置和调用的出向 NAT
NAT Outbound Information:
—————————————————————————————————————
Interface Acl Address-group/IP/Interface Type
—————————————————————————————————————
GigabitEthernet0/0/1 2000 100.1.1.1 easyip
—————————————————————————————————————
Total : 1

8)PC1/2/3测试与Server-1的互通性,如图-11所示
TCNE DAY02 - 图12
TCNE DAY02 - 图13
TCNE DAY02 - 图14
图-11

5 案例5:配置NAT Server

5.1 问题

  1. 将内部地址10.1.1.11/24的80端口静态转换为公网地址200.1.1.11的80端口,以便被外网(Client1)访问
  2. 将内部地址10.1.1.12/24的21端口静态转换为公网地址200.1.1.11的21端口,以便被外网(Client1)访问

    5.2 方案

    搭建实验环境,如图-12所示。
    TCNE DAY02 - 图15
    图-12

    5.3 步骤

    实现此案例需要按照如下步骤进行。
    1)配置内网设备 – 终端
    Server2:
    10.1.1.11
    255.255.255.0
    10.1.1.254
    Server3:
    10.1.1.12
    255.255.255.0
    10.1.1.254

2)配置内网设备 – SW
undo terminal
system-view
[Huawei]sysname SW
[SW]vlan 10 //创建 VLAN 10
[SW-vlan10]quit
[SW]interface gi0/0/3 //连接内网 R1的接口
[SW-GigabitEthernet0/0/3]port link access
[SW-GigabitEthernet0/0/3]port default vlan 10
[SW-GigabitEthernet0/0/3]quit
[SW]interface gi0/0/12 //连接内网 Server-2的接口
[SW-GigabitEthernet0/0/12]port link access
[SW-GigabitEthernet0/0/12]port default vlan 10
[SW-GigabitEthernet0/0/12]quit
[SW]interface gi0/0/13 //连接内网 Server-3的接口
[SW-GigabitEthernet0/0/13]port link access
[SW-GigabitEthernet0/0/13]port default vlan 10
[SW-GigabitEthernet0/0/13]quit

3)配置内网设备 – R1
undo terminal
system-view
[Huawei]sysname R1
[R1]interface gi0/0/0 //连接内网的接口
[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 24
[R1-GigabitEthernet0/0/0]quit
[R1]interface gi0/0/1 //连接外网的接口
[R1-GigabitEthernet0/0/1]ip address 200.1.1.13 28
[R1-GigabitEthernet0/0/1]quit
[R1]ip route-static 0.0.0.0 0 200.1.1.14 //去往外网的默认路由

4)配置外网设备 – 终端
Client1:
1000.1.1.1
255.255.255.0
100.1.1.254

5)配置外网设备 – R2
undo terminal
system-view
[Huawei]sysname R2
[R2]interface gi0/0/0 //连接Client-1的接口
[R2-GigabitEthernet0/0/0]ip address 100.1.1.254 24
[R2-GigabitEthernet0/0/0]quit
[R2]interface gi0/0/1 //连接外网的接口
[R2-GigabitEthernet0/0/1]ip address 200.1.1.14 28
[R2-GigabitEthernet0/0/1]quit

6)配置路由器 R1 上的NAT Server
interfac gi0/0/1
nat server protocol tcp global 200.1.1.11 80 inside 10.1.1.11 80
//外部访问 200.1.1.11 的 TCP 80时,映射到内网 10.1.1.11 所表示的设备上的 80 端口
nat server protocol tcp global 200.1.1.11 21 inside 10.1.1.12 21
//外部访问 200.1.1.11 的 TCP 21时,映射到内网 10.1.1.12 所表示的设备上的 21 端口

7)查看NAT配置
display nat server //查看设备上配置的 NAT Server 命令
Nat Server Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 200.1.1.11/80(www)
Inside IP/Port : 10.1.1.11/80(www)
Protocol : 6(tcp)
(……)
Global IP/Port : 200.1.1.11/21(ftp)
Inside IP/Port : 10.1.1.12/21(ftp)
Protocol : 6(tcp)
(……)

8)测试:Server2搭建Http Server,Client1访问Http Server
TCNE DAY02 - 图16
TCNE DAY02 - 图17
9)测试:Server3搭建FTP Server,Client1访问FTP Server
TCNE DAY02 - 图18
TCNE DAY02 - 图19