要求:
分别配置5种NAT并测试
1.启动设备
2.配置IP地址
3.在AR1上配置默认路由
[AR1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
一、静态NAT
1.在AR1的出接口上配置NAT静态映射
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat static global 12.1.1.3 inside 10.1.1.11
[AR1-GigabitEthernet0/0/0]quit
2.查看NAT状态
3.测试
分别用pc1和pc2对公网主机12.1.1.2进行连通测试
pc1:
pc2:
可以看到.虽然PC1和 PC2 处于相同网段 .但在AR1上只映射了PC1的地址10.1.1.11,因此路由器只对 PCl进行静态转换,而 PC2无法连通。由此说明.静态转换是固定一对一的映射关系。
执行 ping 命令的同时,可以在路由器AR1上查看NAT会话
[AR1]dis nat session source 10.1.1.11
二、Basic NAT
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]undo nat static global 12.1.1.3 inside 10.1.1.11
[AR1-GigabitEthernet0/0/0]q
[AR1]reset nat session all
1.定义NAT公网地址池
[AR1]nat address-group 1 12.1.1.3 12.1.1.6
2.对10.1.1.0/24的地址范围授予允许权限
[AR1]acl 2000
[AR1-acl-basic-2000]rule 1 permit source 10.1.1.0 0.0.0.255
[AR1-acl-basic-2000]quit
3.关联ACL和公网地址池
在路由器出接口将公网地址池和ACL 进行关联
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat
[AR1-GigabitEthernet0/0/0]quit
4.测试
在内网的任意一台PC 上使用 ping命令加-t选项测试连通性
pc>ping 12.1.1.2 -t
从上述结果中可以看到,4个包过后会不时有丢包现象。这是因为NAT是逐个数据包进行转换的,4个ICMP数据包已经用光了地址池中的4个IP地址。从下面的查看NAT会话结果中也可以看到,4 个地址都已经被转换了。因此,当地址资源未被释放时会丢包,在实际生产环境中很少使用Basic NAT。
[AR1]dis nat session source 10.1.1.12
三、NAPT
1.删除BasicNAT关联
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]undo nat outbound 2000 address-group 1 no-pat
[AR1-GigabitEthernet0/0/0]quit
2.建立无no-pat选项的关联
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]nat outbound 2000 address-group 1
[Huawei-GigabitEthernet0/0/0]quit
3.测试
在内网的任意一台 PC 上使用 ping 命令加-t 选项测试连通性
pc>ping 12.1.1.2 -t
从上述结果中可以看到,不再有丢包现象,此时再查看 NAT 会话,可以看到每个数据包转换都使 用同一个IP 地址,说明实现了地址复用。
[AR1]dis nat session source 10.1.1.12
四、easy-ip
配置之前先对AR1的出接口删除之前的NAPT配置
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]undo nat outbound 2000 address-group 1
[AR1-GigabitEthernet0/0/0]q
1.配置easy-ip
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000
[AR1-GigabitEthernet0/0/0]quit
3.测试
使用内网的两台PC同时进行连通性测试,可以看到能同时连通12.1.1.2
再查看 NAT会话,可以看到内网多个IP 地址都被路由器出接口IP 地址12.1.1.1 转换了
[AR1]dis nat session all
五、NAT-server
1.启用NATALG功能
[AR1]nat alg ftp enable
2.定义内网FTP服务器和公网IP地址的映射关系
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat server protocol tcp global 12.1.1.3 ftp inside 10.1.1.100 ftp
[AR1-GigabitEthernet0/0/0]quit
查看NAT-server的配置信息
[AR1]dis nat server
3.配置FTP服务器
4.测试
在client1上使用公网IP12.1.1.3登录FTP服务器
从上述结果中可以看到,NAT-server配置生效,公网用户可以通过NAT发布的公网IP地址12.1.1.3访问内网的FTP服务器10.1.1.100。