- 积分
- 16840
在线时间 小时
最后登录1970-1-1
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?开始注册
x
一、组网需求:
( B. K9 s/ P6 H8 S% Q1 r `' u! q某公司平台和办公网的私网用户和互联网相连,路由器上接口GigabitEthernet0/0/0的公网地址为202.169.10.1/24,对端运营商侧地址为202.169.10.2/24。9 T5 ~9 x/ L( e9 b$ ]
允许使用公网IP地址比较少(222.249.230.1),所以使用no-pat转换方式(只转换数据包的IP地址,并不使用端口号)平台的NAT方式替换A部门内部的主机地址{网段为192.168.(100-110).0/24},访问因特网。6 M6 i4 {9 N, H( Q4 D7 X
允许使用公网IP地址比较少(222.249.230.1),所以使用pat转换方式(同时转换数据包中的IP地址和端口号)办公网的NAT替换内部的主机地址(网段为192.168.0.0/22),访问因特网。
8 l2 a3 s# F7 s* R1 R1 T& @6 [1、网络拓扑, M4 R! e5 o* Q9 w0 {
略$ P, s; V3 U* J& n
5 ]4 e) W( n& v3 a/ n" N. g- W' G2、配置思路) G& A: Z4 p% e# o$ A8 y [7 p& I
配置接口IP地址、缺省路由和在WAN侧接口下配置NAT Outbound,实现内部主机访问外网服务功能。9 p3 E9 K* e4 W0 Z! A0 j, Q9 [& H* S
二、操作步骤7 l1 U5 L" S8 C4 C. Q) {0 g
1、配置云平台、办公网主机IP地址,网关分别是192.168.(100-110).254、192.168.0.1
! j% e8 z [6 a2、在SWA上配置vlan
( {5 e( l m( k2 _<Huawei>system-view
, n. K% q$ F1 X* i0 y[Huawei]sysname SW( c! {8 F0 R% _% m) `* X4 ^* R T @
[SW]vlan (100-110)
) J+ i: T7 U! c+ f3 S' e[SW-vlan(100-110)]q
( M0 v4 ~" e3 K: I% K* l6 r' I[SW]interface Ethernet0/0/1
3 d' z4 m; V0 `0 q5 o. i o/ ^[SW-Ethernet0/0/1]port link-type access; M& Z: S' o7 E
[SW-Ethernet0/0/1]port default vlan 1001 v# m' z' X Q2 V% O4 B
[SW-Ethernet0/0/1]q% w7 U9 F p2 z' d3 K9 J$ M% G* I" ^
[SW]interface Ethernet 0/0/27 Y: r% W" e0 I; X+ ?- c0 i
[SW-Ethernet0/0/2]port link-type trunk- V. v( M9 m! j7 r+ B8 O
[SW-Ethernet0/0/2]port trunk allow-pass vlan all" u& i m( |1 d1 U w6 F
[SW-Ethernet0/0/2]q
# l6 k: k- u% J; H' w l3、在SWB上配置vlan# G2 g T2 C* E( z0 t# \
[Huawei]sysname SW1
: a, o4 w- a" b3 V* R[SW1]vlan 200
5 n' B R% q! @$ [# q[SW1-vlan200]q
; X1 T5 z. w7 v! }# B2 j[SW1]interface Ethernet0/0/1
- S, O& }) B Q5 N6 L4 b! M8 p[SW1-Ethernet0/0/1]port link-type access 7 g+ k+ h9 g- @& z1 i" j5 a- Y" `
[SW1-Ethernet0/0/1]port default vlan 2006 h- v' E+ o9 V2 G4 {- [& ] C
[SW1-Ethernet0/0/1]q+ L F! A% w& t+ N
[SW1]interface Ethernet 0/0/2
% e" D9 P: Q) O, a$ H, ^4 S[SW1-Ethernet0/0/2]port link-type trunk
1 \/ I! @: ~, s3 J[SW1-Ethernet0/0/2]port trunk allow-pass vlan all # g) Y. [. H7 }" [) l. i6 u; G
[SW1-Ethernet0/0/2]q" a. s5 l h+ s% Q, t+ b
4、在Router上配置接口IP地址
3 f1 J F- X2 R2 K<Huawei>system-view
9 T: X F/ }) c8 W3 Y' B) |. L3 S[Huawei]sysname Router
" e2 j! T) T+ C/ V; E[Router]vlan batch 100 200: R4 c3 j8 u* l, M* ]& {6 C d" h! F
[Router]interface Vlanif 100; u4 l8 {2 f p, f/ F
[Router-Vlanif100]ip address 192.168.20.1 242 N7 i- A; Q9 [' R3 D
[Router-Vlanif100]q8 z8 v& d4 S$ j% \" P- f3 ~; e3 S
[Router]interface Vlanif 2009 a. V( W' C! s6 O
[Router-Vlanif200]ip address 10.0.0.1 244 h0 h5 p$ l) q% g' k; v& }
[Router-Vlanif200]q
5 T3 ]/ f4 ]+ H[Router]interface Ethernet 0/0/0
' r2 X' o6 Y# W[Router-Ethernet0/0/0]port link-type trunk 4 f# ~5 B) v L0 A5 ]$ \* S
[Router-Ethernet0/0/0]port trunk allow-pass vlan all ' S* x( b3 W2 A" U" P
[Router-Ethernet0/0/0]q
, M( \9 Y, k* A% ^1 @[Router]interface Ethernet 0/0/1
f& P! H8 n7 G4 l; W[Router-Ethernet0/0/1]port link-type trunk
. f5 [" G! Z c; Y7 z[Router-Ethernet0/0/1]port trunk allow-pass vlan all y+ u/ N: }) Y9 O4 G4 h. y
[Router-Ethernet0/0/1]q
- q8 D5 r. z+ f( q4 m[Router]interface GigabitEthernet 0/0/0# @& G" `. M; V6 {# A. k0 C! e
[Router-GigabitEthernet0/0/0]ip address 202.169.10.1 24
7 n" U3 }3 A0 h[Router-GigabitEthernet0/0/0]q
* j3 @! U$ q& r3 \+ k& ~这时候主机就可以ping通网关了7 Z8 R$ Q- w$ I. [! m8 D
5、在Router上配置缺省路由,指定下一跳为202.169.10.2
: G4 v0 Z1 ^- j4 Z- r' `/ w[Router]ip route-static 0.0.0.0 0.0.0.0 202.169.10.2, P( \$ e ]! V5 r4 ?
6、在Router上配置NAT Outbound(记住在出接口上应用)
1 q W ^' L# y; ?[Router]nat address-group 1 202.169.10.100 202.169.10.200
, T6 `3 Q: ^4 O; O3 h* [% E[Router]nat address-group 2 202.169.10.201 202.169.10.202$ X2 J0 l& z; {+ e
[Router]acl number 30018 P$ Q: n. h4 o: A! t8 d- e
[Router-acl-adv-3001]rule 5 permit ip source 192.168.20.0 0.0.0.255
/ `8 k3 S9 x- _* B$ p" m- i[Router-acl-adv-3001]q' n1 X6 ^( B6 y% U2 |
[Router]acl number 3002! l4 m5 n6 t* P& \( J8 ^
[Router-acl-adv-3002]rule 5 permit ip source 10.0.0.0 0.0.0.255 K: n5 M0 Z; F$ U3 r: V. h3 I3 `7 ]
[Router-acl-adv-3002]q/ { ?; d$ T9 c8 r3 K6 m4 K0 y. p
[Router]interface GigabitEthernet 0/0/0
' y$ X8 F6 ^0 ]5 j& Q/ Q[Router-GigabitEthernet0/0/0]nat outbound 3001 address-group 1 no-pat
z' g' C. L9 Y2 @[Router-GigabitEthernet0/0/0]nat outbound 3002 address-group 23 f' X3 G% C1 v: U) u+ k
[Router-GigabitEthernet0/0/0]q
: D7 x! ?+ e; k) @[Router]ip soft-forward enhance enable
" v D+ s; n0 t! G+ Y& d如果需要在Router上执行ping -a source-ip-address命令通过指定发送ICMP ECHO-REQUEST报文的源IP地址来验证内网用户可以访问因特网,需要配置命令ip soft-forward enhance enable使能设备产生的控制报文的增强转发功能,这样,私网的源地址才能通过NAT转换为公网地址。
5 u" P- X$ q8 {0 J2 n& O8 _: v7、查看结果
1 X/ g2 G7 W& t[Router]display nat outbound / `/ O J) V3 R& f- b
NAT Outbound Information:5 u4 l1 Z6 _. g a0 i
--------------------------------------------------------------------------4 ]8 B! u% w& ?) u# f
Interface Acl Address-group/IP/Interface Type
6 o) k$ P/ ? s$ S2 [ --------------------------------------------------------------------------
9 y; ~) H) o- `) ~4 R& H; R- R GigabitEthernet0/0/0 3001 1 no-pat6 W- E; W! b# p* m8 G1 N
GigabitEthernet0/0/0 3002 2 pat; n- y$ n% l# M, ?
--------------------------------------------------------------------------4 f5 m+ \8 B3 @5 V" D4 D6 N
Total : 2
) @3 I' J1 K; j l8 D[Router]ping -a 192.168.20.1 202.169.10.2$ _0 p! U8 q! J6 O
PING 202.169.10.2: 56 data bytes, press CTRL_C to break" v4 N6 ^5 R6 G" ~, |% e, n9 J9 |4 K
Reply from 202.169.10.2: bytes=56 Sequence=1 ttl=255 time=10 ms4 o" x2 z. Q/ O/ G# h9 n9 F
Reply from 202.169.10.2: bytes=56 Sequence=2 ttl=255 time=10 ms
0 j1 ]+ c- i# v7 H Reply from 202.169.10.2: bytes=56 Sequence=3 ttl=255 time=10 ms" I: z! i- O8 [2 p' x( o
Reply from 202.169.10.2: bytes=56 Sequence=4 ttl=255 time=10 ms# r/ b7 y* P- o1 Y& k& o& H# ^
Reply from 202.169.10.2: bytes=56 Sequence=5 ttl=255 time=10 ms4 L8 t* Y- F0 T
% ]" ]8 U- V# Z( J& r' P --- 202.169.10.2 ping statistics ---$ I4 p4 @# r- u; ]* X+ `: Y
5 packet(s) transmitted
: i6 @- n' l3 K4 F' x 5 packet(s) received5 A+ [. t: u; {# |
0.00% packet loss
1 i& g' [: }2 w( k { round-trip min/avg/max = 10/10/10 ms$ g) [8 ^4 T7 [- R, C. o7 e# t
2 G2 w! {* ?2 _5 ?" F
[Router]ping -a 10.0.0.1 202.169.10.2& I9 n: d! E( h0 ?% y k
PING 202.169.10.2: 56 data bytes, press CTRL_C to break
9 p0 r- p4 M$ q: D+ O' k2 y Reply from 202.169.10.2: bytes=56 Sequence=1 ttl=255 time=10 ms
" H( |8 Z$ T r Reply from 202.169.10.2: bytes=56 Sequence=2 ttl=255 time=10 ms% \( |3 u4 R/ {2 ^: V
Reply from 202.169.10.2: bytes=56 Sequence=3 ttl=255 time=10 ms0 l# b9 c/ R* U8 z# J9 ^
Reply from 202.169.10.2: bytes=56 Sequence=4 ttl=255 time=10 ms6 ]; `" w$ K) p# X: T0 v% ?
Reply from 202.169.10.2: bytes=56 Sequence=5 ttl=255 time=10 ms
# d) j0 g" x# b
) a* U& z% Z4 s+ R9 [- Z --- 202.169.10.2 ping statistics ---
, w9 q$ G* n" x/ P6 f9 d& J h4 i" L1 r 5 packet(s) transmitted
" E6 M6 \5 W' q% B( C3 e; q( _ 5 packet(s) received1 q1 p; S: |; P: J+ v8 L) ?9 p, s
0.00% packet loss
2 U# I1 T) I3 q: P8 I* z round-trip min/avg/max = 10/10/10 ms
& M* F7 K1 A: S( Q8、查看NAT映射表项
: I1 i* T6 V1 I% Y% O[Router]display nat session all verbose, J4 |' A" }9 A" Z5 {2 Z
————————————————
2 V# r" e& Y2 q" ^5 W" R0 \版权声明:本文为CSDN博主「友人a笔记」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。5 Q% |- E" o3 B( H
原文链接:https://blog.csdn.net/tladagio/article/details/80725043
) A" m& T2 I0 O2 Z. C/ E |
|
/4 
窥视卡
雷达卡
发表于 2022-3-15 11:50:24
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
