网络工程师Day6–实验3-2 NAT配置
学习目标
掌握动态NAT的配置方法
掌握EASY IP的配置方法
拓扑图
场景
为了节省IP地址,通常企业内部使用的是私有地址,然而,企业用户不仅需要访问私网,也需要访问公网。作为企业的网络管理员,您需要在两个企业分支机构的边缘路由器R1和R3上通过配置NAT功能,使私网用户可以访问公网。本实验中,您需要在R1上配置动态NAT,在R3上配置EASY IP ,实现地址转换。
操作步骤
步骤一 实验环境准备
更换名字
配置IP地址
在S1和S2上将连接路由器的端口配置为Trunk端口,并通过修改PVID使物理端口加入VLANIF三层逻辑口
port link-type trunk
port trunk pvid vlan 4
port trunk allow-access vlan all
###步骤二 配置ACL
在R1上配置高级ACL,匹配特定的流量进行NAT地址转换,特定流量为S1向R3发起的Telnet连接的TCP流量,以及源IP为10.0.4.0/24网段的IP数据流。
acl 3000
rule 5 permit tcp 10.0.4.254 0.0.0.0 destination 119.84.111.3 0.0.0.0 destination-port eq 23
rule 10 permit ip source 10.0.4.0 0.0.0.255 destination any
rule 15 deny ip
在R3上配置基本ACL,匹配需要进行NAT地址转换的流量为源IP为10.0.6.0/24网段的数据流
acl 2000
rule permit source 10.0.6.0 0.0.0.255
###步骤三 配置动态NAT
在S1和S2上配置缺省静态路由,指定下一跳为私网的网关
ip route-static 0.0.0.0 0.0.0.0 10.0.4.1
ip route-static 0.0.0.0 0.0.0.0 10.0.6.1
在R1上配置动态NAT,首先配置地址池,然后在G0/0/0接口下将ACL与地址池关联起来,使得匹配ACL 3000的数据报文的源地址选用地址池中的某个地址进行NAT转换
nat address-group 1 119.84.111.240 119.84.111.243
int g0/0/0
nat outbound 3000 address-group 1
将R3配置为Telnet服务器
telent server enalbe
user-interface vty 0 4
authentication-mode password
set authentication password cipher
quit
配置完成后,查看地址池配置是否正确
R1
display nat address-group
在S1上测试内网到外网的连通性
ping 119.84.111.3
在R3的G0/0/0接口配置EASY IP ,并关联ACL2000
nat outbound 2000
测试S2能否经过R3连通R1,并查看配置的NAT Outbound的信息
ping 119.84.111.1
nat outbound 2000
测试S2能否经过R3连通R1,并查看配置的NAT Outbound的信息
ping 119.84.111.1
display acl 2000