H3C NAT配置.docx
- 文档编号:24450541
- 上传时间:2023-05-27
- 格式:DOCX
- 页数:15
- 大小:61.48KB
H3C NAT配置.docx
《H3C NAT配置.docx》由会员分享,可在线阅读,更多相关《H3C NAT配置.docx(15页珍藏版)》请在冰豆网上搜索。
H3CNAT配置
NAT配置
一、实验目的
掌握BasicNAT的配置方法
掌握NAPT的配置方法
掌握EasyIP的配置方法
掌握NATServer的配置方法
二、实验描述及组网图
网络迅速发展,IPv4地址不敷使用,为了解决IPv4地址短缺的问题,IETF提出了NAT解决方案。
NAT技术主要作用是将私有地址转换成公有地址。
BasicNAT虽然可以实现私有地址和公有地址的转换但不如NAPT普及,NAPT采用端口号更能提高公网IP的利用效率,适用与私网作为客户端访问公网服务器的场合;EasyIP配置最为简单,一般用于拨号接入Internet或动态获得IP地址的场合;NATServer则用于私网对外提供服务,由公网主动向私网设备发起连接的场合。
实验组网如图所示,实验使用两台主机(PC_A,PC_B)、三台MSR路由器(jiance1,jiance2,jiance3)。
PC_A,PC_B位于私网,网关为jiance1。
jiance2为NAT设备,有一个私网接口S1/0和一个公网接口E1/0,公网接口与公网路由器jiance3互连,地址池范围是:
200.1.1.11~200.1.1.11。
公网jiance3上loopback0是一个公网接口地址,作为公网服务器测试。
三、实验过程
实验任务一:
配置BasicNAT
本实验中,实现私网主机PC_A和PC_B访问公网服务器220.1.1.1,通过在jiance2上配置在BasicNAT,动态的为私网主机分配公网地址。
步骤一:
搭建实验环境
依照拓扑图搭建实验环境。
步骤二:
基本配置
为PC_A配置IP地址为192.168.1.100/24,网关为192.168.1.1;配置PC_B的IP地址为192.168.2.100/24,网关为192.168.2.1;为jiance1,jiance2,jiance3各接口配置IP地址,并且确认各设备间直连网络能相互ping通。
IP地址配完后在jiance1,jiance2静态配置私网内各网段的路由及默认路由,确保PC_A,PC_B能ping通200.1.1.1。
为了对去往服务器的数据包提供路由,还需要在出口路由器jiance2上配置一条静态路由,指向JIANCE3。
配置如下:
jiance1:
[jiance1]interfaceEthernet0/0
[jiance1-Ethernet0/0]ipaddress192.168.1.124
[jiance1]interfaceEthernet0/1
[jiance1-Ethernet0/1]ipaddress192.168.2.124
[jiance1]interfaceSerial1/0
[jiance1-Serial1/0]ipaddress10.2.1.124
[jiance1]iproute-static0.0.0.0010.2.1.2
jiance2:
[jiance2]interfaceSerial1/0
[jiance2-Serial1/0]ipaddress10.2.1.224
[jiance2]interfaceEthernet0/0
[jiance2-Ethernet0/0]ipaddress200.1.1.124
[jiance2]iproute-static192.168.0.01610.2.1.1
[jiance2]iproute-static0.0.0.00200.1.1.2
jiance3:
[jiance3]interfaceEthernet0/0
[jiance3-Ethernet0/0]ipaddress200.1.1.224
[jiance3-Ethernet0/0]quit
[jiance3]interfaceLoopBack0
[jiance3-LoopBack0]ipaddress220.1.1.132
[jiance3-LoopBack0]quit
[jiance3]iproute-static200.1.1.024200.1.1.1
在PC_A上pingJIANCE2公网的出口地址200.1.1.1:
C:
\DocumentsandSettings\jiance_pca>ping200.1.1.1
Pinging200.1.1.1with32bytesofdata:
Replyfrom200.1.1.1:
bytes=32time=20msTTL=254
Replyfrom200.1.1.1:
bytes=32time=20msTTL=254
Replyfrom200.1.1.1:
bytes=32time=20msTTL=254
Replyfrom200.1.1.1:
bytes=32time=20msTTL=254
Pingstatisticsfor200.1.1.1:
Packets:
Sent=4,Received=4,Lost=0(0%looss)
Approximateroundtriptimesinmilli-seconds:
Minimum=20ms,Maximum=20ms,Average=20ms
在PC_B上pingjiance2公网的出口地址200.1.1.1:
C:
\DocumentsandSettings\jiance_pcb>ping200.1.1.1
Pinging200.1.1.1with32bytesofdata:
Replyfrom200.1.1.1:
bytes=32time=20msTTL=254
Replyfrom200.1.1.1:
bytes=32time=20msTTL=254
Replyfrom200.1.1.1:
bytes=32time=20msTTL=254
Replyfrom200.1.1.1:
bytes=32time=20msTTL=254
Pingstatisticsfor200.1.1.1:
Packets:
Sent=4,Received=4,Lost=0(0%looss)
Approximateroundtriptimesinmilli-seconds:
Minimum=20ms,Maximum=20ms,Average=20ms
步骤三:
检查连通性
分别在PC_A,PC_B上ping服务器(IP地址为:
220.1.1.1)。
在PC_A上ping服务器:
C:
\DocumentsandSettings\jiance_pca>ping220.1.1.1
Pinging220.1.1.1with32bytesofdata:
Requesttimedout.
Requesttimedout.
Requesttimedout.
Requesttimedout.
Pingstatisticsfor220.1.1.1:
Packets:
Sent=4,Received=0,Lost=4(100%loss),
在PC_B上ping服务器:
C:
\DocumentsandSettings\jiance_pcb>ping220.1.1.1
Pinging220.1.1.1with32bytesofdata:
Requesttimedout.
Requesttimedout.
Requesttimedout.
Requesttimedout.
Pingstatisticsfor220.1.1.1:
Packets:
Sent=4,Received=0,Lost=4(100%loss),
结果显示,从PC_A,PC_B上无法ping通服务器。
这是因为私网地址在公网上无法被路由,从服务器回应的ping报文在JIANCE3上无法找到192.168.0.0/24网段的路由。
步骤四:
配置BasicNAT
在jiance2上配置BasicNAT
通过ACL定义一条允许192.168.0.0/16网段的规则
[jiance2]aclnumber2000
[jiance2-acl-basic-2000]rulepermitsource192.168.0.00.0.0.255.255
[jiance2-acl-basic-2000]ruledenysourceany
配置NAT地址池1,地址的范围是:
200.1.1.11~200.1.1.11
[jiance2]nataddress-group1200.1.1.11200.1.1.11
进入接口模式,将地址池1与ACL2000关联,应用到接口上方向为outbound
[jiance2]interfaceEthernet0/0
[jiance2-Ethernet0/0]natoutbound2000address-group1no-pat
步骤五:
检查连通性
先用PC_Aping服务器(IP地址为:
220.1.1.1),然后立即用PC_Bping服务器。
显示如下:
C:
\DocumentsandSettings\jiance_pca>ping220.1.1.1
Pinging200.1.1.1with32bytesofdata:
Replyrom220.1.1.1:
bytes=32time=23msTTL=253
Replyfrom220.1.1.1:
bytes=32time=21msTTL=253
Replyfrom220.1.1.1:
bytes=32time=21msTTL=253
Replyfrom220.1.1.1:
bytes=32time=21msTTL=253
Pingstatisticsfor220.1.1.1:
Packets:
Sent=4,Received=4,Lost=0(0%looss)
Approximateroundtriptimesinmilli-seconds:
Minimum=21ms,Maximum=23ms,Average=21ms
在PC_B上ping服务器:
C:
\DocumentsandSettings\jiance2>ping220.1.1.1
Pinging220.1.1.1with32bytesofdata:
Requesttimedout.
Requesttimedout.
Requesttimedout.
Requesttimedout.
Pingstatisticsfor220.1.1.1:
Packets:
Sent=4,Received=0,Lost=4(100%loss),
结果显示PC_A能ping通公网服务器,而PC_B不能ping通服务器。
思考下为什么?
这是因为BasicNAT只能对地址作一对一的转换,PC_A已经进行公有地址转换,要想PC_B也能访问服务器,必须要等到PC_A访问结束。
我们可以先将原来的NAT条目删除,再测试PC_B得连通性。
在jiance2上先清除NAT条目:
ClearingNATsessiontable,pleasewait...
在PC_Bping服务器:
C:
\DocumentsandSettings\jiance_pcb>ping220.1.1.1
Pinging200.1.1.1with32bytesofdata:
Replyfrom220.1.1.1:
bytes=32time=23msTTL=253
Replyfrom220.1.1.1:
bytes=32time=21msTTL=253
Replyfrom220.1.1.1:
bytes=32time=21msTTL=253
Replyfrom220.1.1.1:
bytes=32time=21msTTL=253
Pingstatisticsfor220.1.1.1:
Packets:
Sent=4,Received=4,Lost=0(0%looss)
Approximateroundtriptimesinmilli-seconds:
Minimum=21ms,Maximum=23ms,Average=21ms
步骤六:
显示和调试NAT信息
用PC_Aping服务器后立即在JIANCE2上查看NAT表
Therearecurrently2NATsessions:
ProtocolGlobalAddrPortInsideAddrPortDestAddrPort
-200.1.1.11---192.168.1.100---------
VPN:
0,status:
NOPAT,TTL:
00:
04:
00,Left:
00:
03:
50
1200.1.1.11768192.168.1.100768220.1.1.1768
VPN:
0,status:
NOPAT,TTL:
00:
01:
00,Left:
00:
00:
50
从显示信息可以看出,该ICMP报文源地址192.168.1.100已经转换成公网地址200.1.1.11,目的端口号和源端口号均为768。
一分钟后再次观察:
Therearecurrently1NATsession:
ProtocolGlobalAddrPortInsideAddrPortDestAddrPort
-200.1.1.11---192.168.1.100---------
VPN:
0,status:
NOPAT,TTL:
00:
04:
00,Left:
00:
03:
00
发现表中后两项消失了,四分钟后再次观察:
[jiance2]displaynatsession
NoNATsessionsarecurrentlyactive!
从实验结果可以发现四分钟后所有表项都消失了。
因为NAT表项具有一个老化时间(aging-time),一旦超过老化时间,NAT会自动删除表项,前一条由系统为配置建立的的NAT表项,老化时间为4分钟,后一项五元组表项由流触发而建立的,老化时间为1分钟。
老化时间可以通过displaynataging-time查看路由器的NAT默认老化时间。
[jiance2]displaynataging-time
NATaging-timevalueinformation:
tcp----aging-timevalueis86400(seconds)
udp----aging-timevalueis300(seconds)
icmp----aging-timevalueis60(seconds)
pptp----aging-timevalueis86400(seconds)
dns----aging-timevalueis60(seconds)
tcp-fin----aging-timevalueis60(seconds)
tcp-syn----aging-timevalueis60(seconds)
ftp-ctrl----aging-timevalueis7200(seconds)
ftp-data----aging-timevalueis300(seconds)
通过命令displayaddress-group查看地址池信息
[jiance2]displaynataddress-group
NATaddress-groupinformation:
1:
from200.1.1.11to200.1.1.11
可以看到地址池的范围是:
200.1.1.11~200.1.1.11
步骤七:
清除BasicNAT相关配置
删除NAT地址池
[jiance2]undonataddress-group1
Address-groupisbeingused!
结果表明地址池的地址正在被使用,因此必须先删除NAT绑定
在接口下删除NAT绑定
[jiance2]interfaceEthernet1/0
[jiance2-Ethernet1/0]undonatoutbound2000address-group1no-pat
删除NAT地址池
[jiance2]undonataddress-group1
再用display查看地址池
[jiance2]displaynataddress-group
NATaddress-groupinformation:
Noaddress-groupshavebeenconfigured
发现地址池已经成功被删除了
实验任务二:
NAPT配置
私网PC_A,PC_B需要访问公网服务器,但由于公网地址有限,可以通过配置NAPT动态的为PC_A,PC_B分配公网地址和协议端口。
步骤一:
搭建实验环境及基本配置
如同实验任务一中步骤一、二
步骤二:
检查连通性
分别在PC_A,PC_B上ping服务器(IP地址为:
220.1.1.1)。
显示如下:
在PC_A上ping服务器:
C:
\DocumentsandSettings\jiance_pca>ping220.1.1.1
Pinging220.1.1.1with32bytesofdata:
Requesttimedout.
Requesttimedout.
Requesttimedout.
Requesttimedout.
Pingstatisticsfor220.1.1.1:
Packets:
Sent=4,Received=0,Lost=4(100%loss),
在PC_B上ping服务器:
C:
\DocumentsandSettings\jiance_pcb>ping220.1.1.1
Pinging220.1.1.1with32bytesofdata:
Requesttimedout.
Requesttimedout.
Requesttimedout.
Requesttimedout.
Pingstatisticsfor220.1.1.1:
Packets:
Sent=4,Received=0,Lost=4(100%loss),
结果显示,从PC_A,PC_B上无法ping通服务器。
步骤三:
配置NAPT
在JIANCE2上配置NAPT:
用ACL定义一条源地址属于192.168..0.0/16网段的流
[jiance2]aclnumber2000
[jiance2-acl-basic-2000]rulepermitsource192.168.0.00.0.0.255.255
[jiance2-acl-basic-2000]ruledenysourceany
配置NAT地址池1,地址池中只有一个地址200.1.1.11
[jiance2]nataddress-group1200.1.1.11200.1.1.11
进入接口视图将NAT地址池1与ACL2000绑定,接口方向为出方向
[jiance2]interfaceEthernet0/0
[jiance2-Ethernet0/0]natoutbound2000address-group1
此时命令中未携带no-pat关键字,表示NAT要对数据包进行端口转换
步骤四:
测试连通性
从PC_A,PC_B上ping公网服务器
PC_A测试:
C:
\DocumentsandSettings\jiance_pca>ping220.1.1.1
Pinging200.1.1.1with32bytesofdata:
Replyfrom220.1.1.1:
bytes=32time=21msTTL=253
Replyfrom220.1.1.1:
bytes=32time=21msTTL=253
Replyfrom220.1.1.1:
bytes=32time=21msTTL=253
Replyfrom220.1.1.1:
bytes=32time=21msTTL=253
Pingstatisticsfor220.1.1.1:
Packets:
Sent=4,Received=4,Lost=0(0%looss)
Approximateroundtriptimesinmilli-seconds:
Minimum=21ms,Maximum=23ms,Average=21ms
PC_B上测试:
C:
\DocumentsandSettings\jiance_pcb>ping220.1.1.1
Pinging200.1.1.1with32bytesofdata:
Replyfrom220.1.1.1:
bytes=32time=22msTTL=253
Replyfrom220.1.1.1:
bytes=32time=21msTTL=253
Replyfrom220.1.1.1:
bytes=32time=21msTTL=253
Replyfrom220.1.1.1:
bytes=32time=21msTTL=253
Pingstatisticsfor220.1.1.1:
Packets:
Sent=4,Received=4,Lost=0(0%looss)
Approximateroundtriptimesinmilli-seconds:
Minimum=21ms,Maximum=23ms,Average=21ms
发现PC_A,PC_B都能ping通服务器。
步骤五:
检查NAT表项
ping通后立即在JIANCE2上查看NAT表项:
[jiance2]displaynatsession
Therearecurrently2NATsessions:
ProtocolGlobalAddrPortInsideAd
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3C NAT配置 NAT 配置