- 积分
- 16840
在线时间 小时
最后登录1970-1-1
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?开始注册
x
一、组网需求:9 j& v9 o2 @5 z, w/ N8 v! V. D! ?: m
某公司平台和办公网的私网用户和互联网相连,路由器上接口GigabitEthernet0/0/0的公网地址为202.169.10.1/24,对端运营商侧地址为202.169.10.2/24。
: V, ?6 [$ g; r3 l& {$ b- @& w6 k允许使用公网IP地址比较少(222.249.230.1),所以使用no-pat转换方式(只转换数据包的IP地址,并不使用端口号)平台的NAT方式替换A部门内部的主机地址{网段为192.168.(100-110).0/24},访问因特网。5 J& T. \! {! u6 F7 ]
允许使用公网IP地址比较少(222.249.230.1),所以使用pat转换方式(同时转换数据包中的IP地址和端口号)办公网的NAT替换内部的主机地址(网段为192.168.0.0/22),访问因特网。
6 G8 ]' c( T( I1、网络拓扑* `7 K# \/ S) E$ p
略
2 T9 i8 N2 i& |* {' X6 m5 _+ u! I$ a+ l+ I. X5 }
2、配置思路0 q# v1 \& o3 ^* ^& Z# W( n
配置接口IP地址、缺省路由和在WAN侧接口下配置NAT Outbound,实现内部主机访问外网服务功能。
7 j2 g3 J1 ?7 }6 ^' G二、操作步骤
2 S6 D% p, z7 [0 |" o1、配置云平台、办公网主机IP地址,网关分别是192.168.(100-110).254、192.168.0.1
( k: l( G: K+ x1 @2、在SWA上配置vlan# k3 |$ T4 S3 a' i6 V6 m# C
<Huawei>system-view! B! `! ?' C* M$ m1 s
[Huawei]sysname SW9 R$ z, O$ `5 N" @0 q6 r4 Y0 v0 ]3 S
[SW]vlan (100-110)$ ]: `) U+ j4 s- ]5 f. ~0 ~
[SW-vlan(100-110)]q b" P4 r- N( @9 {( U! V1 l8 W+ r
[SW]interface Ethernet0/0/1
6 @- p6 r; ?7 v/ v" F[SW-Ethernet0/0/1]port link-type access
# d0 g3 w* A" _' u3 p) A$ Q[SW-Ethernet0/0/1]port default vlan 100
( d% {- q( s4 c7 i3 D9 H, o3 I[SW-Ethernet0/0/1]q
! F) ?" B6 W5 Q1 b' y/ c[SW]interface Ethernet 0/0/2
% h- e2 o6 @' h h8 N5 d' B) D3 r1 A[SW-Ethernet0/0/2]port link-type trunk
: H0 O$ y; D" ?& f0 i# i[SW-Ethernet0/0/2]port trunk allow-pass vlan all" J5 F5 ^3 f' W9 d k4 d
[SW-Ethernet0/0/2]q
% w+ `" q+ ~5 c3 ^9 m* k2 [3、在SWB上配置vlan- f# u+ ], f4 y3 `* h
[Huawei]sysname SW1
! N: n, a+ J& i/ T2 U, g7 m[SW1]vlan 200
: k3 ?- U! a) n. {4 @% y3 q7 P* Q. ]( d. L[SW1-vlan200]q9 y% t! D+ N O7 `- M5 ^
[SW1]interface Ethernet0/0/1" w# e0 |& _! G. R8 d! P
[SW1-Ethernet0/0/1]port link-type access
1 |! ~# J6 ?. `- l[SW1-Ethernet0/0/1]port default vlan 200
( a. Z+ y) Q6 X" A[SW1-Ethernet0/0/1]q
z5 ]+ O$ F# U# n9 x" `. K/ B+ K6 s[SW1]interface Ethernet 0/0/2
9 c6 ~ w/ Q) S7 D[SW1-Ethernet0/0/2]port link-type trunk
5 R5 H/ L1 I6 _* ?6 J[SW1-Ethernet0/0/2]port trunk allow-pass vlan all ! F h `6 j) [ f, J
[SW1-Ethernet0/0/2]q
5 {+ h2 l4 y( i, X4、在Router上配置接口IP地址' A; h2 ^, e. r8 n' T; _
<Huawei>system-view * l. @$ R- e) a' |7 v
[Huawei]sysname Router
* [8 b, ^1 U+ S" D% s! X[Router]vlan batch 100 200
# A9 k7 v; C3 i0 Q1 X[Router]interface Vlanif 100 H$ f0 x- I. R! ~4 `, |+ ~; `
[Router-Vlanif100]ip address 192.168.20.1 24
* `7 I0 \; d& l[Router-Vlanif100]q
$ S) [7 x* ~+ y( N. I/ {& L[Router]interface Vlanif 200
5 c" M3 N* k V( ^[Router-Vlanif200]ip address 10.0.0.1 24; n2 y2 @, M2 l7 ?. [
[Router-Vlanif200]q7 Y/ o, p. {. B z7 s
[Router]interface Ethernet 0/0/0
' w3 I z+ J9 ]8 |4 p) }[Router-Ethernet0/0/0]port link-type trunk % z1 q( h' X& ^: o8 G) Z# n
[Router-Ethernet0/0/0]port trunk allow-pass vlan all
* x: Y: J$ q; f6 `! t9 {[Router-Ethernet0/0/0]q
* M1 W, O0 E- \% k[Router]interface Ethernet 0/0/1
" b- P# M% d$ _4 f% f9 f. L& j[Router-Ethernet0/0/1]port link-type trunk $ {1 k1 }' G. I8 i4 u: C9 f3 v6 U
[Router-Ethernet0/0/1]port trunk allow-pass vlan all
y9 h7 |4 N4 Z. [/ A; t3 A[Router-Ethernet0/0/1]q
! E8 B/ X7 e1 ^+ C+ Z+ ~1 ~$ d[Router]interface GigabitEthernet 0/0/0' d' Q8 K0 W' s* ]; u
[Router-GigabitEthernet0/0/0]ip address 202.169.10.1 24
6 z1 y2 u; g' t s8 a[Router-GigabitEthernet0/0/0]q
, F$ ]' g, k/ h# V/ F3 R Q这时候主机就可以ping通网关了
; ^: {" t: [/ p( l5、在Router上配置缺省路由,指定下一跳为202.169.10.21 c7 C2 x2 h( g4 t# {
[Router]ip route-static 0.0.0.0 0.0.0.0 202.169.10.2
, I7 N, G! L5 `) a: `6、在Router上配置NAT Outbound(记住在出接口上应用)4 {# b- D) o( ?, R1 P$ \: _
[Router]nat address-group 1 202.169.10.100 202.169.10.200* p' k2 v( v; ~2 e4 i8 W1 ~
[Router]nat address-group 2 202.169.10.201 202.169.10.202- ^4 X" D# J2 `5 A
[Router]acl number 3001
6 n1 W: h- i* D( S4 l* S[Router-acl-adv-3001]rule 5 permit ip source 192.168.20.0 0.0.0.255
e# D7 T3 u; O& Z' O- V$ A8 P: U[Router-acl-adv-3001]q
: U8 ~/ S% e9 A3 O[Router]acl number 3002
' m' G$ O6 l" q0 s0 e: b[Router-acl-adv-3002]rule 5 permit ip source 10.0.0.0 0.0.0.255' b6 l$ p* V- H4 |# l2 W
[Router-acl-adv-3002]q
# O7 b+ A- H7 l* t[Router]interface GigabitEthernet 0/0/0- j9 |; i( f" M& }4 Y
[Router-GigabitEthernet0/0/0]nat outbound 3001 address-group 1 no-pat1 U$ |- g$ Y5 n3 n! w6 I' v" _7 ~
[Router-GigabitEthernet0/0/0]nat outbound 3002 address-group 2
; M# E8 S% j0 o c4 k+ D[Router-GigabitEthernet0/0/0]q
3 B+ r3 J% |- B! [- W' z0 ?[Router]ip soft-forward enhance enable- d {3 L* n! s5 k0 O9 \+ D0 M0 ~6 n
如果需要在Router上执行ping -a source-ip-address命令通过指定发送ICMP ECHO-REQUEST报文的源IP地址来验证内网用户可以访问因特网,需要配置命令ip soft-forward enhance enable使能设备产生的控制报文的增强转发功能,这样,私网的源地址才能通过NAT转换为公网地址。
) M5 g; t4 {. e$ h. M! Z4 S7、查看结果( a# D) b) m1 a M! W
[Router]display nat outbound
3 S, S. C. ?* u. T# Z8 w NAT Outbound Information:
, `# t' p) p0 h5 l. V' O' w --------------------------------------------------------------------------% p, f5 x6 [ M" T( L
Interface Acl Address-group/IP/Interface Type
( Q& T8 s2 X2 e7 V) L --------------------------------------------------------------------------6 |- ]5 u7 w+ X
GigabitEthernet0/0/0 3001 1 no-pat
7 v* z4 L$ h9 A/ d& M6 o GigabitEthernet0/0/0 3002 2 pat
4 C% [& N9 f: b0 X8 _( K --------------------------------------------------------------------------+ C- r* |/ f$ P: ^# a
Total : 2
! W: p) L. ^7 ]: x3 a3 S9 t[Router]ping -a 192.168.20.1 202.169.10.2: _ L; n6 o0 D' C1 n6 W8 ?
PING 202.169.10.2: 56 data bytes, press CTRL_C to break
! G" V, U- c8 }! }+ N$ @ Reply from 202.169.10.2: bytes=56 Sequence=1 ttl=255 time=10 ms
- p% I& _2 S9 b: }* W Reply from 202.169.10.2: bytes=56 Sequence=2 ttl=255 time=10 ms
0 x3 c8 F/ n0 H Reply from 202.169.10.2: bytes=56 Sequence=3 ttl=255 time=10 ms. [9 ?2 I* I& h V4 {' G7 E9 O
Reply from 202.169.10.2: bytes=56 Sequence=4 ttl=255 time=10 ms
3 D( |$ E' v" K2 e# @ Reply from 202.169.10.2: bytes=56 Sequence=5 ttl=255 time=10 ms
, F# `+ P& {0 v* J/ j . y( K- i0 h& C/ E* V
--- 202.169.10.2 ping statistics ---
4 Y3 ~" y6 F! Q1 h- e0 P 5 packet(s) transmitted" U1 ^" e' T# k- Y5 ]; @
5 packet(s) received a0 u* Q# N! |: v+ J
0.00% packet loss/ b _) p8 \/ c3 c. b
round-trip min/avg/max = 10/10/10 ms1 J( J6 L& x9 H- N
( h# I5 Y) d& e! P+ z& b
[Router]ping -a 10.0.0.1 202.169.10.2
1 ?" w! F# n$ ^ c8 _' B' g PING 202.169.10.2: 56 data bytes, press CTRL_C to break
$ k+ b3 Z) W# q) o; D& t% q Reply from 202.169.10.2: bytes=56 Sequence=1 ttl=255 time=10 ms/ [) T: `+ S- g' F3 q
Reply from 202.169.10.2: bytes=56 Sequence=2 ttl=255 time=10 ms$ h# L1 u/ O; S5 j
Reply from 202.169.10.2: bytes=56 Sequence=3 ttl=255 time=10 ms# g2 I0 D8 H7 A5 |8 `' N
Reply from 202.169.10.2: bytes=56 Sequence=4 ttl=255 time=10 ms
0 E z! s; j6 G0 {, _" H Reply from 202.169.10.2: bytes=56 Sequence=5 ttl=255 time=10 ms. c% X3 e' T, }# q! n
C. `; k& J# H0 q( w
--- 202.169.10.2 ping statistics ---
# m+ i$ H8 r( u 5 packet(s) transmitted, d( y$ z6 V* t$ Y) k
5 packet(s) received. d* ~6 w- {' _1 s; g1 c% z
0.00% packet loss9 Q& Z4 j, i% T" ]$ }! c( G
round-trip min/avg/max = 10/10/10 ms* |/ k9 m' p _) ^% E K. @
8、查看NAT映射表项
4 r5 c3 f' O5 _[Router]display nat session all verbose4 n, `+ k) e; p6 c4 p% L
————————————————) `" k# F, O; t7 y
版权声明:本文为CSDN博主「友人a笔记」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。8 w. O6 ]5 Q9 K( i9 H+ d/ T1 D4 G. J. i
原文链接:https://blog.csdn.net/tladagio/article/details/80725043
1 u7 G, J+ ^3 }- t |
|
/4 
窥视卡
雷达卡
发表于 2022-3-15 11:50:24
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
