当前位置：首页 > news >正文

NAT基础配置实验

news 2025/7/22 22:05:56

文章目录

静态NAT转换
- 组网需求
- 组网拓扑
- 配置步骤
- 测试结果
- 配置文件
动态NAT转换
- 组网需求
- 组网拓扑
- 配置步骤
- 测试结果
- 配置文件
NAT Server内网服务器映射
- 组网需求
- 组网拓扑
- 配置步骤
- 测试结果
- 配置文件

静态NAT转换

组网需求

现有组网拓扑如下，PC2与PC3处于内网，VPC位于外网，要求仅PC2能够访问外网

组网拓扑

在这里插入图片描述

配置步骤

思科Switch作为傻瓜交换机，进行二层传输，锐捷RSR既作为网关路由，又作为出口路由，需配置网关+NAT

配置设备接口IP实现内网互通，外网互通
在锐捷路由上配置内网口与外网口
配置静态路由，不论内网想要访问任何外网地址，全部指向下一跳
配置静态NAT转换

测试结果

PC2 ping外网

VPCS> ping 100.1.1.184 bytes from 100.1.1.1 icmp_seq=1 ttl=62 time=8.444 ms
84 bytes from 100.1.1.1 icmp_seq=2 ttl=62 time=2.352 ms
84 bytes from 100.1.1.1 icmp_seq=3 ttl=62 time=2.477 ms
84 bytes from 100.1.1.1 icmp_seq=4 ttl=62 time=2.718 ms
84 bytes from 100.1.1.1 icmp_seq=5 ttl=62 time=2.445 ms

PC3 ping 外网

VPCS> ping 100.1.1.1100.1.1.1 icmp_seq=1 timeout
100.1.1.1 icmp_seq=2 timeout
100.1.1.1 icmp_seq=3 timeout
100.1.1.1 icmp_seq=4 timeout
100.1.1.1 icmp_seq=5 timeout

抓包看到源IP是1.1.1.1，说明内网IP被转换为了公网IP

在这里插入图片描述

配置文件

锐捷RSR

!
interface GigabitEthernet 0/0ip address 192.168.1.1 255.255.255.0ip nat inside
!
interface GigabitEthernet 0/1ip address 1.1.1.1 255.255.255.0ip nat outside
!
ip nat inside source static 192.168.1.20 1.1.1.1 permit-inside
!
ip route 0.0.0.0 0.0.0.0 1.1.1.2
!

华三vSR

#
interface GigabitEthernet1/0port link-mode routeip address 1.1.1.2 255.255.255.0
#
interface GigabitEthernet2/0port link-mode routeip address 100.1.1.2 255.255.255.0
#

动态NAT转换

NAT、NAPT与Easy-IP

组网需求

现有一家公司，内网环境需要能够上外网，已知可用公网IP为1.1.1.5到1.1.1.10

组网拓扑

在这里插入图片描述

配置步骤

配置设备接口IP实现内网互通，外网互通
在H3CvSR上配置缺省路由，指向出口下一跳
在H3CvSR上配置NAT地址池
在H3CvSR上配置acl放行流量
在H3CvSR出口上配置NAT，关联ACL与地址池

测试结果

PC4 访问外网

VPCS> ping 100.1.1.184 bytes from 100.1.1.1 icmp_seq=1 ttl=62 time=10.107 ms
84 bytes from 100.1.1.1 icmp_seq=2 ttl=62 time=3.685 ms
84 bytes from 100.1.1.1 icmp_seq=3 ttl=62 time=4.068 ms
84 bytes from 100.1.1.1 icmp_seq=4 ttl=62 time=2.098 ms
84 bytes from 100.1.1.1 icmp_seq=5 ttl=62 time=4.376 ms

PC5 访问外网

VPCS> ping 100.1.1.184 bytes from 100.1.1.1 icmp_seq=1 ttl=62 time=3.268 ms
84 bytes from 100.1.1.1 icmp_seq=2 ttl=62 time=2.838 ms
84 bytes from 100.1.1.1 icmp_seq=3 ttl=62 time=2.861 ms
84 bytes from 100.1.1.1 icmp_seq=4 ttl=62 time=2.950 ms
84 bytes from 100.1.1.1 icmp_seq=5 ttl=62 time=2.614 ms

查看抓包结果，发现PC4 IP被转为1.1.1.5，PC5 IP被转为1.1.1.6

在这里插入图片描述

配置文件

配置no-pat表示不进行端口转换，此时仅转换IP，仍然是1:1关系
无no-pat配置表示进行端口转换，即NAPT（网络地址端口转换），此时可将多个内网IP映射到一个公网IP的不同端口，实现1:n，地址池仅需配置一个IP，其它配置不变
Easy-IP无需地址池，直接在出接口配置NAT，通过出接口IP进行转换，

NAT配置：华三H3CvSR

#
nat address-group 1address 1.1.1.5 1.1.1.10
#
interface GigabitEthernet1/0ip address 1.1.1.1 255.255.255.0nat outbound name nat address-group 1 no-pat
#
interface GigabitEthernet2/0ip address 192.168.1.1 255.255.255.0
#ip route-static 0.0.0.0 0 1.1.1.2
#
acl basic name natrule 0 permit source 192.168.1.0 0.0.0.255rule 5 deny
#

NAPT配置：华三H3CvSR

#
nat address-group 1address 1.1.1.5 1.1.1.5
#
interface GigabitEthernet1/0ip address 1.1.1.1 255.255.255.0nat outbound name nat address-group 1
#
interface GigabitEthernet2/0ip address 192.168.1.1 255.255.255.0
#ip route-static 0.0.0.0 0 1.1.1.2
#
acl basic name natrule 0 permit source 192.168.1.0 0.0.0.255rule 5 deny
#

Easy-IP配置：华三H3CvSR

interface GigabitEthernet1/0ip address 1.1.1.1 255.255.255.0nat outbound name nat
#
interface GigabitEthernet2/0ip address 192.168.1.1 255.255.255.0
#ip route-static 0.0.0.0 0 1.1.1.2
#
acl basic name natrule 0 permit source 192.168.1.0 0.0.0.255rule 5 deny
#

锐捷RSR

!
interface GigabitEthernet 0/0ip address 1.1.1.2 255.255.255.0
!
interface GigabitEthernet 0/2ip address 100.1.1.2 255.255.255.0
!

NAT Server内网服务器映射

组网需求

现有一内网环境、内网PC需要能够访问外网，并且外网能够访问内网HTTP服务，内网PC可以通过内网IP+公网IP访问HTTP服务

组网拓扑

在这里插入图片描述

配置步骤

配置设备接口IP实现内网互通，外网互通
Winserver配置提供HTTP服务
在出口路由器上配置ACL，匹配192.168.1.0/2.0/3.0网段
在外网口配置Easy-IP关联第三步ACL，实现内网设备访问外网
外网口配置nat server将内网服务器80端口映射到1.1.1.1，实现外网访问内网服务
内网口开启NAT回环，实现内网设备通过公网IP访问服务

HTTP服务部署

通过服务器面板安装IIS服务
右键打开IIS管理器
右键添加网站
配置网站名称、应用程序池、物理路径、IP地址、端口
双击目录浏览
点击启用
目录下存放index.html默认页面
点击浏览页面进行测试
访问成功

测试结果

PC4访问外网

VPCS> ping 100.1.1.184 bytes from 100.1.1.1 icmp_seq=1 ttl=125 time=10.580 ms
84 bytes from 100.1.1.1 icmp_seq=2 ttl=125 time=3.465 ms
84 bytes from 100.1.1.1 icmp_seq=3 ttl=125 time=2.851 ms
84 bytes from 100.1.1.1 icmp_seq=4 ttl=125 time=3.843 ms
84 bytes from 100.1.1.1 icmp_seq=5 ttl=125 time=2.998 ms

外网与内网访问HTTP服务

在这里插入图片描述

抓取路由器外网口，有HTTP流量，源IP为公网100.1.1.1，目标IP为1.1.1.1，映射了服务器

在这里插入图片描述

抓取路由器内网口，有HTTP流量，源IP为内网192.168.3.5，目标IP为1.1.1.1，映射了服务器

在这里插入图片描述

配置文件

内网路由器H3CvSR

#
interface GigabitEthernet1/0port link-mode routeip address 192.168.1.2 255.255.255.0
#
interface GigabitEthernet2/0port link-mode routeip address 192.168.2.1 255.255.255.0
#
interface GigabitEthernet3/0port link-mode routeip address 192.168.3.1 255.255.255.0
#
interface GigabitEthernet4/0port link-mode routeip address 192.168.4.1 255.255.255.0
#ip route-static 0.0.0.0 0 192.168.1.1
#

出口路由器H3CvSR

#
interface GigabitEthernet1/0ip address 1.1.1.1 255.255.255.0nat outbound name natnat server protocol tcp global 1.1.1.1 80 inside 192.168.4.10 80
#
interface GigabitEthernet2/0ip address 192.168.1.1 255.255.255.0nat hairpin enable
#ip route-static 0.0.0.0 0 1.1.1.2ip route-static 192.168.2.0 24 192.168.1.2ip route-static 192.168.3.0 24 192.168.1.2ip route-static 192.168.4.0 24 192.168.1.2
#
acl basic name natrule 5 permit source 192.168.2.0 0.0.0.255rule 10 permit source 192.168.3.0 0.0.0.255rule 15 permit source 192.168.4.0 0.0.0.255rule 20 deny

外网路由器RSR

!
interface GigabitEthernet 0/0ip address 1.1.1.2 255.255.255.0
!
interface GigabitEthernet 0/2ip address 100.1.1.2 255.255.255.0
!

查看全文

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.dtcms.com/a/254708.html 如若内容造成侵权/违法违规/事实不符，请联系邮箱：809451989@qq.com进行投诉反馈，一经查实，立即删除！