网络地址转换22

网络地址转换22 0网络地址转换实验京东翰林H3C指导老师分享 北京京东翰林教育集团位居全国通过高薪就业率第一，有关考试H3CTE H3CSE H3CNE CCIE CCNP CCNA 最新题库、视频、配置、拓扑、企业定向委培训、计算机网络学习认证中心、请登录京东翰林教育集团官方网站免费下载，免费注册会员领取翰林VIP金卡，享受终身技术和就业保障。 实验22 网络地址转换 网络地址转换实验京东翰林H3C指导老师分享 北京京东翰林教育集团位居全国通过高薪就业率第一，有关考试H3CTE H3CSE H3CNE CCIE CCNP CCNA 最新题库、视频、配置、拓扑、企业定向委培训、计算机网络学习认证中心、请登录京东翰林教育集团官方网站免费下载，免费注册会员领取翰林VIP金卡，享受终身技术和就业保障。 实验22 网络地址转换 实验任务一:配置Basic NAT 本实验中，私网客户端Client_A、 Client_B需要访问公网服务器Server，而RTB上不能保有私网路由，因此将在RTA上配置Basic NAT，动态地为Client_A、Client_B分配公网地址。 步骤一:建立物理连接并初始化路由器配置 按实验组网图进行物理连接并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，请学员在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用缺省的配置参数进行初始化 步骤二:基本IP地址和路由配置 依据实验组网图，完成RTA和RTB上接口IP地址的配置， 需要在RTA上配置缺省路由去往公网路由器RTB，请在下面的空格中补充完整的路由配置: [RTA]ip route-static 0.0.0.0 0 198.76.28.2 交换机SW1采用出厂缺省配置即可。 步骤三:检查连通性 分别在Client_A和Client_B上ping Server(IP地址为198.76.29.4)，其结果为无法ping通 产生这种结果的原因是在公网路由器上不可能有私网的路由，从Server回应的ping 响应报文到RTB的路由表上无法找到10.0.0.0网段的路由 步骤四:配置Basic NAT 在RTA上配置Basic NAT: - 1 - 0网络地址转换实验京东翰林H3C指导老师分享 北京京东翰林教育集团位居全国通过高薪就业率第一，有关考试H3CTE H3CSE H3CNE CCIE CCNP CCNA 最新题库、视频、配置、拓扑、企业定向委培训、计算机网络学习认证中心、请登录京东翰林教育集团官方网站免费下载，免费注册会员领取翰林VIP金卡，享受终身技术和就业保障。 实验22 网络地址转换 首先通过ACL定义允许源地址属于10.0.0.0/24网段的流做NAT转换，请在如下的空格中填写完整的ACL配置命令 [RTA]acl number 2000 [RTA-acl-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255 其次配置NAT地址池，设置地址池中用于地址转换的地址范围为:198.76.28.11到198.76.28.20，请在下面的空格中填写完成的NAT地址池配置命令: [RTA]nat address-group 1 198.76.28.11 198.76.28.20 在该命令中，数字1的含义是:地址池的索引号是1 最后将地址池与ACL关联，并在正确的接口的正确方向上下发，请在下面的空格中填写完整的命令: [RTA] interface G0/1 [RTA- G0/1] nat outbound 2000 address-group 1 no-pat 在该命令中，参数no-pat的含义是: 表示不使用TCP/UDP端口信息实现多对多地址转换，也即表示使用一对一地址转换，只转换数据包的地址而不转换端口信息 步骤五:检查连通性 从Client_A、Client_B分别ping Server，其结果是可以Ping通 步骤六:检查NAT表项 完成步骤五后立即在RTA上通过display nat session命令查看NAT会话信息，依据该信息输出，可以看到该ICMP报文的源地址10.0.0.1已经转换成公网地址198.76.28.12，目的端口号和源端口号均为1024。源地址10.0.0.2已经转换成公网地址198.76.28.11，目的端口号和源端口号均为512。五分钟后再次通过该命令查看表项，发现NAT表项全部消失，产生这种现象的原因是NAT表项具有一定的老化时间(aging-time)，一旦超过老化时间，NAT会删除表项。 可以通过display nat aging-time命令查看路由器的NAT默认老化时间 注意: 步骤六中不同学员实验结果中的NAT会话信息中的显示的转换后的公网地址和端口号可能不同～这是正常现象～以实际显示结果为准。 - 2 - 0网络地址转换实验京东翰林H3C指导老师分享 北京京东翰林教育集团位居全国通过高薪就业率第一，有关考试H3CTE H3CSE H3CNE CCIE CCNP CCNA 最新题库、视频、配置、拓扑、企业定向委培训、计算机网络学习认证中心、请登录京东翰林教育集团官方网站免费下载，免费注册会员领取翰林VIP金卡，享受终身技术和就业保障。 实验22 网络地址转换 实验任务二:NAPT配置 私网客户端Client_A、 Client_B需要访问公网服务器Server，但由于公网地址有限，在RTA上配置的公网地址池范围为198.76.28.11,198.76.28.11，因此配置NAPT，动态地为Client_A、Client_B分配公网地址和端口。 步骤一:建立物理连接并初始化路由器配置 按实验组网图进行物理连接并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，请学员在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用缺省的配置参数进行初始化 步骤二:基本IP地址和路由配置 与实验任务一同样，配置RTA和RTB相关接口的IP地址以及路由 SW1同样采用出厂缺省配置即可 步骤三:检查连通性 从Client_A、Client_B ping Server(IP地址为198.76.29.4)，其结果是 不能ping通 步骤四:配置NAPT 在RTA上配置NAPT: 首先通过ACL定义允许源地址属于10.0.0.0/24网段的流做NAT转换，请在如下的空格中填写完整的ACL配置命令 [RTA]acl number 2000 [RTA-acl-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255 其次配置NAT地址池1，设置地址池中用于地址转换的地址为:198.76.28.11 [RTA-acl-basic-2000]nat address-group 1 198.76.28.11 198.76.28.11 在接口视图下将NAT地址池与ACL绑定并下发，在配置命令中不需要(需要/不需要)携带no-pat参数，意味着NAT要对数据包进行端口的转换,请在下面的空格中填写完整的命令: [RTA] interface G0/1 [RTA- G0/1] nat outbound 2000 address-group 1 步骤五:检查连通性 从Client_A、Client_B上分别ping Server，其结果是 可以ping通 - 3 - 0网络地址转换实验京东翰林H3C指导老师分享 北京京东翰林教育集团位居全国通过高薪就业率第一，有关考试H3CTE H3CSE H3CNE CCIE CCNP CCNA 最新题库、视频、配置、拓扑、企业定向委培训、计算机网络学习认证中心、请登录京东翰林教育集团官方网站免费下载，免费注册会员领取翰林VIP金卡，享受终身技术和就业保障。 实验22 网络地址转换 步骤六:检查NAT表项 完成步骤五后立即在RTA上通过display nat session命令查看NAT会话信息，依据该信息输出，可以看到源地址10.0.0.1和10.0.0.2转换成的公网地址分别为198.76.28.11和198.76.28.11，10.0.0.1转换后的端口为12289，10.0.0.2转换后的端口为12288。当RTA出接口收到目的地址为198.76.28.11的回程流量时，正是用当初转换时赋予的不同的端口来分辩该流量是转发给10.0.0.1还是10.0.0.2。NAPT正是靠这种方式，对数据包的IP层和传输层信息同时进行转换，显著地提高公有IP地址的利用效率。 注意: 步骤六中不同学员实验结果中的NAT会话信息中的显示的转换后的端口号可能不同～这是正常现象～以实际显示结果为准。 实验任务三:Easy IP配置 私网客户端Client_A、Client_B需要访问公网服务器Server，使用公网接口IP地址动态为Client_A、Client_B分配公网地址和协议端口。 步骤一:建立物理连接并初始化路由器配置 按实验组网图进行物理连接并检查设备的软件版本及配置信息，确保各设备软件版本符合要求，所有配置为初始状态。如果配置不符合要求，请学员在用户视图下擦除设备中的配置文件，然后重启设备以使系统采用缺省的配置参数进行初始化 步骤二:基本IP地址和路由配置 与实验任务一同样，配置RTA和RTB相关接口的IP地址以及路由 SW1同样采用出厂缺省配置即可 步骤三:检查连通性 从Client_A、Client_B ping Server(IP地址为198.76.29.4)，其结果是 无法ping通 步骤四:配置Easy IP 在RTA上配置Easy IP: 首先通过ACL定义允许源地址属于10.0.0.0/24网段的流做NAT转换，请在如下的空格中填写完整的ACL配置命令 [RTA]acl number 2000 [RTA-acl-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255 - 4 - 0网络地址转换实验京东翰林H3C指导老师分享 北京京东翰林教育集团位居全国通过高薪就业率第一，有关考试H3CTE H3CSE H3CNE CCIE CCNP CCNA 最新题库、视频、配置、拓扑、企业定向委培训、计算机网络学习认证中心、请登录京东翰林教育集团官方网站免费下载，免费注册会员领取翰林VIP金卡，享受终身技术和就业保障。 实验22 网络地址转换 然后在接口视图下江ACL与接口关联并下发NAT，请在如下的空格中填写完整的配置命令: [RTA] interface G0/1 [RTA- G0/1] nat outbound 2000 步骤五:检查连通性 从Client_A、Client_B分别ping Server，其结果是 能够ping通 步骤六:检查NAT表项 完成步骤五后立即在RTA上通过display nat session命令查看NAT会话信息，依据该信息输出，可以看到源地址10.0.0.1和10.0.0.2转换成的公网地址分别为198.76.28.1和198.76.28.1 请思考一个问题:在步骤五中，从Client_A能够ping通Server，但是如果从Server端ping Client_A呢,其结果是无法ping通。 导致这种情况的原因是:在RTA上始终没有10.0.0.0/24网段的路由，所以Server直接ping Client_A是不可达的。而Client_A能ping通Server是因为，由Server回应的ICMP回程报文源地址是Server的地址198.76.29.4，但是目的地址是RTA的出接口地址198.76.28.1，而不是Client_A的实际源地址10.0.0.1。也就是说这个ICMP连接必须是由Client端来发起连接，触发RTA做地址转换后转发。还记得我们在RTA出接口Eth 0/1下发NAT配置时的那个outbound吗,NAT操作是在出方向使能有效。所以，如果从Server端始发ICMP报文ping Client端，是无法触发RTA做地址转换的。 实验任务四:NAT Server配置 想让Server端能够ping通Client_A，以便Client_A对外提供ICMP服务，在RTA上为Client_A静态映射公网地址和协议端口，公网地址为198.76.28.11 在实验三的基础上继续如下实验 步骤一:检查连通性 从Server ping Client_A的私网地址10.0.0.1，其结果是无法ping通。 步骤二:配置NAT Server 在RTA上完成NAT Server配置，允许Client_A对外提供ICMP服务。请在如下空格中完成完整的配置命令: [RTA] interface G0/1 [RTA- G0/1] nat server protocol icmp global 198.76.28.11 inside 10.0.0.1 - 5 - 0网络地址转换实验京东翰林H3C指导老师分享 北京京东翰林教育集团位居全国通过高薪就业率第一，有关考试H3CTE H3CSE H3CNE CCIE CCNP CCNA 最新题库、视频、配置、拓扑、企业定向委培训、计算机网络学习认证中心、请登录京东翰林教育集团官方网站免费下载，免费注册会员领取翰林VIP金卡，享受终身技术和就业保障。 实验22 网络地址转换 步骤三:检查连通性并查看NAT表项 从Server主动ping Client_A的公网地址198.76.28.11，其结果是可以ping通 在RTA上通过display nat server命令查看NAT Server表项，表项信息中显示出地址198.76.28.11和地址10.0.0.1的一对一的映射关系。 - 6 -