網(wǎng)絡(luò)系統(tǒng)建設(shè)與運維(中級) 6.2.2-Jan16公司使用動態(tài)NAT訪問互聯(lián)網(wǎng)v1.2

Jan16公司使用動態(tài)NAT訪問互聯(lián)網(wǎng)

1.項目背景

Jan16公司有計算機若干臺，利用交換機建了局域網(wǎng)，并通過出口路由器連接互聯(lián)網(wǎng)。為了保障內(nèi)部網(wǎng)絡(luò)的安全和解決私有地址在互聯(lián)網(wǎng)上通信的問題，需在出口路由中配置動態(tài)NAT，使內(nèi)部計算機IP地址映射為公網(wǎng)IP地址訪問互聯(lián)網(wǎng)。項目拓?fù)淙鐖D1所示，具體要求如下：

（1）公司內(nèi)網(wǎng)使用192.168.1.0/24網(wǎng)段，出口為16.16.16.0/24網(wǎng)段；

（2）出口路由器上申請了

16.16.16.1

-5等互聯(lián)網(wǎng)IP地址，可供NAT轉(zhuǎn)換使用；

（3）測試計算機和路由器的IP和接口信息如拓?fù)渌尽?/p>

圖1網(wǎng)絡(luò)拓?fù)鋱D

2.項目規(guī)劃設(shè)計

動態(tài)NAT轉(zhuǎn)換需要有多個公網(wǎng)IP地址，這里以16.16.16.1-5作為轉(zhuǎn)換后的公網(wǎng)IP地址。在路由器中將公網(wǎng)IP地址配置為NAT地址池，并建立ACL列表匹配內(nèi)部地址。在出口路由器的G0/0/1上應(yīng)用NAT轉(zhuǎn)換即可?；ヂ?lián)網(wǎng)連接方面，出口路由器可根據(jù)ISP服務(wù)商的網(wǎng)絡(luò)環(huán)境配置相應(yīng)的路由協(xié)議。

配置步驟如下：

（1）配置路由器接口

（2）配置動態(tài)NAT

（3）配置各計算機的IP地址具體規(guī)劃如下表：

表1IP地址規(guī)劃表

設(shè)備

接口

IP地址

R1

G0/0/0

192.168.1.254

/24

R1

G0/0/1

16.16.16.16

/24

PC1

E0/0/1

192.168.10.1

/24

PC2

E0/0/1

192.168.10.2

/24

PC3

E0/0/1

192.168.10.3

/24

PC4

E0/0/1

16.16.16.15

/24

表2接口規(guī)劃表

本端設(shè)備

本端接口

對端設(shè)備

對端接口

R1

G0/0/0

SW1

G0/0/1

R1

G0/0/1

SW2

G0/0/1

3.項目實施

（1）配置路由器接口

在路由器接口配置對應(yīng)IP

[Huawei]system-view[Huawei]sysnameR1[R1]intG0/0/0

[R1-GigabitEthernet0/0/0]ipadd

192.168.10.254

24[R1]intG0/0/1

[R1-GigabitEthernet0/0/1]ipadd

16.16.16.16

24

（2）配置動態(tài)NAT

在R1上使用nataddres-group命令配置NAT地址池，設(shè)置起始和結(jié)束地址分別為

16.16.16.1

和

16.16.16.5

。

[R1]nataddress-group1

16.16.16.1

16.16.16.5

創(chuàng)建基本ACL2000。

[R1]acl2000

[R1-acl-basic-2000]rulepermitsource

192.168.10.0

0.0.0.255

在G0/0/1接口下使用natoutbound命令將ACL2000與地址池相關(guān)聯(lián)，使得ACL中規(guī)定的地址可以使用地址池進行地址轉(zhuǎn)換。

[R1-acl-basic-2000]intG0/0/1

[R1-GigabitEthernet0/0/1]natoutbound2000address-group1no-pat

（3）配置各計算機的IP地址

圖2PC1-IP配置

圖3PC2-IP配置

圖4PC3-IP配置

圖5PC4-IP配置

4.項目驗證

（1）查看NATOutbound信息

在R1上使用displaynatoutbound命令查看natoutbound信息

<R1>displaynatoutbound

NATOutboundInformation:

Interface

Acl

Address-group/IP/Interface

Type

GigabitEthernet0/0/1

2000

1

no-pat

Total:1

（2）測試與互聯(lián)網(wǎng)的連通性

使用PC1測試與互聯(lián)網(wǎng)的連通性，并在R1的接口G0/0/1上抓包。

PC>ping

16.16.16.15

Ping16.16.16.15:32databytes,

PressCtrl_Ctobreak

From16.16.16.15:bytes=32seq=1

ttl=127

time=31

ms

From16.16.16.15:bytes=32seq=2

ttl=127

time=31

ms

From16.16.16.15:bytes=32seq=3

ttl=127

time=31

ms

From16.16.16.15:bytes=32seq=4

ttl=127

time=32

ms

From16.16.16.15:bytes=32seq=5

ttl=127

time=31

ms

---

16.16.16.15

pingstatistics---

5packet(s)transmitted

5packet(s)received0.00%packetloss

round-tripmin/avg/max=31/31/32ms

（3）查看NAT會話信息

在R1上使用displaynatsession命令查看NAT會話信息

<R1>displaynatsessionall

NATSessionTableInformation:

Protocol

:ICMP(1)

SrcAddr

Vpn

:

192.168.10.1

DestAddr

Vpn

:

16.16.16.15

TypeCodeIcmpId

:0833944

NAT-Info

NewSrcAddr

:

16.16.16.1

NewDestAddr

:----

NewIcmpId

:----

Protocol

:ICMP(1)

SrcAddrVpn

:

192.168.10.1

DestAddrVpn

:

16.16.16.15

TypeCodeIcmpId

:0833946

NAT-Info

NewSrcAddr

:

16.16.16.2

NewDestAddr

:----

NewIcmpId

:----

Protocol

:ICMP(1)

SrcAddrVpn

:

192.168.10.1