網絡工程師Day6–實驗3-2 NAT配置
學習目標
掌握動態NAT的配置方法
掌握EASY IP的配置方法
拓撲圖
場景
爲了節省IP地址,通常企業內部使用的是私有地址,然而,企業用戶不僅需要訪問私網,也需要訪問公網。作爲企業的網絡管理員,您需要在兩個企業分支機構的邊緣路由器R1和R3上通過配置NAT功能,使私網用戶可以訪問公網。本實驗中,您需要在R1上配置動態NAT,在R3上配置EASY IP ,實現地址轉換。
操作步驟
步驟一 實驗環境準備
更換名字
配置IP地址
在S1和S2上將連接路由器的端口配置爲Trunk端口,並通過修改PVID使物理端口加入VLANIF三層邏輯口
port link-type trunk
port trunk pvid vlan 4
port trunk allow-access vlan all
###步驟二 配置ACL
在R1上配置高級ACL,匹配特定的流量進行NAT地址轉換,特定流量爲S1向R3發起的Telnet連接的TCP流量,以及源IP爲10.0.4.0/24網段的IP數據流。
acl 3000
rule 5 permit tcp 10.0.4.254 0.0.0.0 destination 119.84.111.3 0.0.0.0 destination-port eq 23
rule 10 permit ip source 10.0.4.0 0.0.0.255 destination any
rule 15 deny ip
在R3上配置基本ACL,匹配需要進行NAT地址轉換的流量爲源IP爲10.0.6.0/24網段的數據流
acl 2000
rule permit source 10.0.6.0 0.0.0.255
###步驟三 配置動態NAT
在S1和S2上配置缺省靜態路由,指定下一跳爲私網的網關
ip route-static 0.0.0.0 0.0.0.0 10.0.4.1
ip route-static 0.0.0.0 0.0.0.0 10.0.6.1
在R1上配置動態NAT,首先配置地址池,然後在G0/0/0接口下將ACL與地址池關聯起來,使得匹配ACL 3000的數據報文的源地址選用地址池中的某個地址進行NAT轉換
nat address-group 1 119.84.111.240 119.84.111.243
int g0/0/0
nat outbound 3000 address-group 1
將R3配置爲Telnet服務器
telent server enalbe
user-interface vty 0 4
authentication-mode password
set authentication password cipher
quit
配置完成後,查看地址池配置是否正確
R1
display nat address-group
在S1上測試內網到外網的連通性
ping 119.84.111.3
在R3的G0/0/0接口配置EASY IP ,並關聯ACL2000
nat outbound 2000
測試S2能否經過R3連通R1,並查看配置的NAT Outbound的信息
ping 119.84.111.1
nat outbound 2000
測試S2能否經過R3連通R1,並查看配置的NAT Outbound的信息
ping 119.84.111.1
display acl 2000