配置Basic NAT

本实验中,私网客户端Client_A、 Client_B需要访问公网服务器Server,而RTB上不能保有私网路由,因此将在RTA上配置Basic NAT,动态地为Client_A、Client_B分配公网地址。

建立物理连接并初始化路由器配置

按实验组网图进行物理连接并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,请学员在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用缺省的配置参数进行初始化

基本IP地址和路由配置

依据实验组网图,完成RTA和RTB上接口IP地址的配置,
需要在RTA上配置缺省路由去往公网路由器RTB,请在下面的空格中补充完整的路由配置:RTB不配路由
[RTA]ip route-static 0.0.0.0 0 192.76.28.2
交换机SW1采用出厂缺省配置即可。

检查连通性

分别在Client_A和Client_B上ping Server(IP地址为198.76.29.4),其结果为 无法ping通
产生这种结果的原因是 在公网路由器上不可能有死亡的路由,从Server回应的ping响应报文到RTB的路由表上无法找到10.0.0.0网段的路由

配置Basic NAT

在RTA上配置Basic NAT:
首先通过ACL定义允许源地址属于10.0.0.0/24网段的流做NAT转换,请在如下的空格中填写完整的ACL配置命令
[RTA]acl number(basic) 2000
[RTA-acl-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255
其次配置NAT地址池,设置地址池中用于地址转换的地址范围为:198.76.28.11到198.76.28.20,请在下面的空格中填写完成的NAT地址池配置命令:
[RTA]nat address-group 1 198.76.28.11 198.76.28.20
在该命令中,数字1的含义是:地址池的索引号是 1
最后将地址池与ACL关联,并在正确的接口的正确方向上下发,请在下面的空格中填写完整的命令:
[RTA] interface G0/1
[RTA-G0/1] nat outbound 2000 address-group 1 no-pat
在该命令中,参数no-pat的含义是:
表示不适用TCP/UDP端口信息实现多对多地址转换,也即表示使用一对一地址转换,只转换数据包的地址而不转换端口信息

检查连通性

从Client_A、Client_B分别ping Server,其结果是 可以Ping通 截图如下:

检查NAT表项

完成步骤五后立即在RTA上通过 display nat session命令查看NAT会话信息,截图如下:
依据该信息输出,可以看到该ICMP报文的源地址10.0.0.1已经转换成公网地址 198.76.28.12,目的端口号和源端口号均为 1024 。源地址10.0.0.2已经转换成公网地址 198.76.28.11 ,目的端口号和源端口号均为 512 。五分钟后再次通过该命令查看表项,发现 NAT表项全部消失 ,产生这种现象的原因是NAT表项具有一定的老化时间,一旦超过老化时间,NAT会删除表项。
可以通过 display nat aging-time命令查看路由器的NAT默认老化时间
注意:
步骤六中不同学员实验结果中的NAT会话信息中的显示的转换后的公网地址和端口号可能不同,这是正常现象,以实际显示结果为准。
NAPT配置
私网客户端Client_A、 Client_B需要访问公网服务器Server,但由于公网地址有限,在RTA上配置的公网地址池范围为198.76.28.11~198.76.28.11,因此配置NAPT,动态地为Client_A、Client_B分配公网地址和协议端口。
建立物理连接并初始化路由器配置
按实验组网图进行物理连接并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,请学员在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用缺省的配置参数进行初始化
基本IP地址和路由配置
与实验任务一同样,配置RTA和RTB相关接口的IP地址以及路由
SW1同样采用出厂缺省配置即可

检查连通性

从Client_A、Client_B ping Server(IP地址为198.76.29.4),其结果是 不能ping通 (能或不能)ping通

恢复配置

[RTA]undo nat address-group 1
[RTA- G0/1]undo nat outbound 2000

配置NAPT

在RTA上配置NAPT:
首先通过ACL定义允许源地址属于10.0.0.0/24网段的流做NAT转换,请在如下的空格中填写完整的###### ACL配置命令
[RTA]acl number(basic) 2000
[RTA-acl-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255
其次配置NAT地址池1,设置地址池中用于地址转换的地址为:198.76.28.11
[RTA-acl-basic-2000]nat address-group 1 198.76.28.11 198.76.28.11
在接口视图下将NAT地址池与ACL绑定并下发,在配置命令中不需要(需要/不需要)携带no-pat参数,意味着NAT要对数据包进行端口的转换,请在下面的空格中填写完整的命令:
[RTA] interface G0/1
[RTA- G0/1] nat outbound 2000 address-group 1

检查连通性

从Client_A、Client_B上分别ping Server,其结果是 可以 ping通截图如下:

检查NAT表项

完成步骤五后立即在RTA上通过display nat session命令查看NAT会话信息,截图如下:
依据该信息输出,可以看到源地址10.0.0.1和10.0.0.2转换成的公网地址分别为 198.76.28.11198.76.28.11,10.0.0.1转换后的端口为 12289 ,10.0.0.2转换后的端口为 12288 。当RTA出接口收到目的地址为198.76.28.11的回程流量时,正是用当初转换时赋予的不同的端口来分辩该流量是转发给10.0.0.1还是10.0.0.2。NAPT正是靠这种方式,对数据包的IP层和传输层信息同时进行转换,显著地提高公有IP地址的利用效率。
注意:
步骤六中不同学员实验结果中的NAT会话信息中的显示的转换后的端口号可能不同,这是正常现象,以实际显示结果为准。

恢复配置

[RTA]undo nat address-group 1
[RTA- G0/1]undo nat outbound 2000

Easy IP配置

私网客户端Client_A、Client_B需要访问公网服务器Server,使用公网接口IP地址动态为Client_A、Client_B分配公网地址和协议端口。
建立物理连接并初始化路由器配置
按实验组网图进行物理连接并检查设备的软件版本及配置信息,确保各设备软件版本符合要求,所有配置为初始状态。如果配置不符合要求,请学员在用户视图下擦除设备中的配置文件,然后重启设备以使系统采用缺省的配置参数进行初始化
基本IP地址和路由配置
与实验任务一同样,配置RTA和RTB相关接口的IP地址以及路由
SW1同样采用出厂缺省配置即可

检查连通性

从Client_A、Client_B ping Server(IP地址为198.76.29.4),其结果是 不可以 可不可以ping通
配置Easy IP
在RTA上配置Easy IP:
首先通过ACL定义允许源地址属于10.0.0.0/24网段的流做NAT转换,请在如下的空格中填写完整的ACL配置命令
[RTA]acl number(basic) 2000
[RTA-acl-basic-2000] rule 0 permit source 10.0.0.0 0.0.0.255
然后在接口视图下将ACL与接口关联并下发NAT,请在如下的空格中填写完整的配置命令:
[RTA] interface G0/1
[RTA- G0/1] nat outbound 2000

检查连通性

从Client_A、Client_B分别ping Server,其结果是 可以 可不可以ping通?。截图如下:

检查NAT表项

完成步骤五后立即在RTA上通过 display nat session命令查看NAT会话信息,截图如下:
依据该信息输出,可以看到源地址10.0.0.1和10.0.0.2转换成的公网地址分别为 198.76.28.1198.76.28.1
请思考一个问题:在步骤五中,从Client_A能够ping通Server,但是如果从Server端ping Client_A呢?其结果是 无法ping通 可不可以ping通。 导致这种情况的原因是: 在RTA上始终没有10.0.0.0/24网段的路由,所以Sever直接ping Client A是不可达的。

NAT Server配置

想让Server端能够ping通Client_A,以便Client_A对外提供ICMP服务,在RTA上为Client_A静态映射公网地址和协议端口,公网地址为198.76.28.11
在实验三的基础上继续如下实验

检查连通性

从Server ping Client_A的私网地址10.0.0.1,其结果是 不可以 可不可以ping通。截图如下:
配置NAT Server
在RTA上完成NAT Server配置,允许Client_A对外提供ICMP服务。请在如下空格中完成完整的配置命令:
[RTA] interface G0/1
[RTA-G0/1] nat server protocol icmp global 198.76.28.11 inside 10.0.0.1
检查连通性并查看NAT表项
从Server主动ping Client_A的公网地址198.76.28.11,其结果是 可以 可不可以ping通截图如下:

在RTA上通过display nat server命令查看NAT Server表项,截图如下:
表项信息中显示出地址 198.76.28.11 和地址 10.0.0.1 的一对一的映射关系。

思考题:按照上面的RTA的NAT server 的配置命令,如果client_A是一台FTP服务器,能否对外提供FTP服务?当然可以,只要修改NAT server的相关配置。NAT server的相关配置如下所示:

思考题不知道,知道的请在评论区答