|
第一章 网络基础知识 实验22 网络地址转换 实验任务1: 配置Basic NAT 本实验中,私网客户端Client_A、 Client_B需要访问公网服务器Server,而RTB上不能保有私网路由,因此将在RTA上配置Basic NAT,动态地为Client_A、Client_B分配公网地址。 步骤1: 建立物理连接并初始化路由器配置 按实验组网图进行物理连接并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,请学员在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用缺省的配置参数进行初始化 步骤2: 基本IP地址和路由配置 依据实验组网图,完成RTA和RTB上接口IP地址的配置, 需要在RTA上配置缺省路由去往公网路由器RTB,请在下面的空格中补充完整的路由配置: [RTA]ip route-static 0.0.0.0 0 198.76.28.2 交换机SW1采用出厂缺省配置即可。 步骤3: 检查连通性 分别在Client_A和Client_B上ping Server(IP地址为198.76.29.4),其结果为无法ping通 产生这种结果的原因是在公网路由器上不可能有私网的路由,从Server回应的ping 响应报文到RTB的路由表上无法找到10.0.0.0网段的路由 步骤4: 配置Basic NAT 在RTA上配置Basic NAT: 首先通过ACL定义允许源地址属于10.0.0.0/24网段的流做NAT转换,请在如下的空格中填写完整的ACL配置命令 [RTA]acl number 2000 [RTA-acl-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255 其次配置NAT地址池,设置地址池中用于地址转换的地址范围为:198.76.28.11到198.76.28.20,请在下面的空格中填写完成的NAT地址池配置命令: [RTA]nat address-group 1 198.76.28.11 198.76.28.20 在该命令中,数字1的含义是:地址池的索引号是1 最后将地址池与ACL关联,并在正确的接口的正确方向上下发,请在下面的空格中填写完整的命令: [RTA] interface G0/1 [RTA- G0/1] nat outbound 2000 address-group 1 no-pat 在该命令中,参数no-pat的含义是: 表示不使用TCP/UDP端口信息实现多对多地址转换,也即表示使用一对一地址转换,只转换数据包的地址而不转换端口信息 步骤5: 检查连通性 从Client_A、Client_B分别ping Server,其结果是可以Ping通 步骤6: 检查NAT表项 完成步骤五后立即在RTA上通过display nat session命令查看NAT会话信息,依据该信息输出,可以看到该ICMP报文的源地址10.0.0.1已经转换成公网地址198.76.28.12,目的端口号和源端口号均为1024。源地址10.0.0.2已经转换成公网地址198.76.28.11,目的端口号和源端口号均为512。五分钟后再次通过该命令查看表项,发现NAT表项全部消失,产生这种现象的原因是NAT表项具有一定的老化时间(aging-time),一旦超过老化时间,NAT会删除表项。 可以通过display nat aging-time命令查看路由器的NAT默认老化时间 注意: 步骤六中不同学员实验结果中的NAT会话信息中的显示的转换后的公网地址和端口号可能不同,这是正常现象,以实际显示结果为准。 实验任务2: NAPT配置 私网客户端Client_A、 Client_B需要访问公网服务器Server,但由于公网地址有限,在RTA上配置的公网地址池范围为198.76.28.11~198.76.28.11,因此配置NAPT,动态地为Client_A、Client_B分配公网地址和协议端口。 步骤1: 建立物理连接并初始化路由器配置 按实验组网图进行物理连接并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,请学员在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用缺省的配置参数进行初始化 步骤2: 基本IP地址和路由配置 与实验任务一同样,配置RTA和RTB相关接口的IP地址以及路由 SW1同样采用出厂缺省配置即可 步骤3: 检查连通性 从Client_A、Client_B ping Server(IP地址为198.76.29.4),其结果是 不能ping通 步骤4: 配置NAPT 在RTA上配置NAPT: 首先通过ACL定义允许源地址属于10.0.0.0/24网段的流做NAT转换,请在如下的空格中填写完整的ACL配置命令 [RTA]acl number 2000 [RTA-acl-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255 其次配置NAT地址池1,设置地址池中用于地址转换的地址为:198.76.28.11 [RTA-acl-basic-2000]nat address-group 1 198.76.28.11 198.76.28.11 在接口视图下将NAT地址池与ACL绑定并下发,在配置命令中不需要(需要/不需要)携带no-pat参数,意味着NAT要对数据包进行端口的转换,请在下面的空格中填写完整的命令: [RTA] interface G0/1 [RTA- G0/1] nat outbound 2000 address-group 1 步骤5: 检查连通性 从Client_A、Client_B上分别ping Server,其结果是 可以ping通 步骤6: 检查NAT表项 完成步骤五后立即在RTA上通过display nat session命令查看NAT会话信息,依据该信息输出,可以看到源地址10.0.0.1和10.0.0.2转换成的公网地址分别为198.76.28.11和198.76.28.11,10.0.0.1转换后的端口为12289,10.0.0.2转换后的端口为12288。当RTA出接口收到目的地址为198.76.28.11的回程流量时,正是用当初转换时赋予的不同的端口来分辩该流量是转发给10.0.0.1还是10.0.0.2。NAPT正是靠这种方式,对数据包的IP层和传输层信息同时进行转换,显著地提高公有IP地址的利用效率。 注意: 步骤六中不同学员实验结果中的NAT会话信息中的显示的转换后的端口号可能不同,这是正常现象,以实际显示结果为准。 实验任务3: Easy IP配置 私网客户端Client_A、Client_B需要访问公网服务器Server,使用公网接口IP地址动态为Client_A、Client_B分配公网地址和协议端口。 步骤1: 建立物理连接并初始化路由器配置 按实验组网图进行物理连接并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,请学员在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用缺省的配置参数进行初始化 步骤2: 基本IP地址和路由配置 与实验任务一同样,配置RTA和RTB相关接口的IP地址以及路由 SW1同样采用出厂缺省配置即可 步骤3: 检查连通性 从Client_A、Client_B ping Server(IP地址为198.76.29.4),其结果是 无法ping通 步骤4: 配置Easy IP 在RTA上配置Easy IP: 首先通过ACL定义允许源地址属于10.0.0.0/24网段的流做NAT转换,请在如下的空格中填写完整的ACL配置命令 [RTA]acl number 2000 [RTA-acl-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255 然后在接口视图下江ACL与接口关联并下发NAT,请在如下的空格中填写完整的配置命令: [RTA] interface G0/1 [RTA- G0/1] nat outbound 2000 步骤5: 检查连通性 从Client_A、Client_B分别ping Server,其结果是 能够ping通 步骤6: 检查NAT表项 完成步骤五后立即在RTA上通过display nat session命令查看NAT会话信息,依据该信息输出,可以看到源地址10.0.0.1和10.0.0.2转换成的公网地址分别为198.76.28.1和198.76.28.1 请思考一个问题:在步骤五中,从Client_A能够ping通Server,但是如果从Server端ping Client_A呢?其结果是无法ping通。 导致这种情况的原因是:在RTA上始终没有10.0.0.0/24网段的路由,所以Server直接ping Client_A是不可达的。而Client_A能ping通Server是因为,由Server回应的ICMP回程报文源地址是Server的地址198.76.29.4,但是目的地址是RTA的出接口地址198.76.28.1,而不是Client_A的实际源地址10.0.0.1。也就是说这个ICMP连接必须是由Client端来发起连接,触发RTA做地址转换后转发。还记得我们在RTA出接口Eth 0/1下发NAT配置时的那个outbound吗?NAT操作是在出方向使能有效。所以,如果从Server端始发ICMP报文ping Client端,是无法触发RTA做地址转换的。 实验任务4: NAT Server配置 想让Server端能够ping通Client_A,以便Client_A对外提供ICMP服务,在RTA上为Client_A静态映射公网地址和协议端口,公网地址为198.76.28.11 在实验三的基础上继续如下实验 步骤1: 检查连通性 从Server ping Client_A的私网地址10.0.0.1,其结果是无法ping通。 步骤2: 配置NAT Server 在RTA上完成NAT Server配置,允许Client_A对外提供ICMP服务。请在如下空格中完成完整的配置命令: [RTA] interface G0/1 [RTA- G0/1] nat server protocol icmp global 198.76.28.11 inside 10.0.0.1 步骤3: 检查连通性并查看NAT表项 从Server主动ping Client_A的公网地址198.76.28.11,其结果是可以ping通 在RTA上通过display nat server命令查看NAT Server表项,表项信息中显示出地址198.76.28.11和地址10.0.0.1的一对一的映射关系。 实验22 网络地址转换 实验任务一: 配置Basic NAT 实验任务二: NAPT配置 实验任务三: Easy IP配置 实验任务四: NAT Server配置 PAGE - 2 - |
|
|
来自: 昵称11935121 > 《未命名》
