(壹)配置R1路由器接口
system-view
[Rl]interface gi0/0/0
[Rl-GigabitEthernet0/0/0]ip address 192.168.3.1 24 #配置接口IP地址
[Rl-GigabitEthernet0/0/0]description TO_LAN #添加描述LAN信息,方便管理員管理
[Rl]interface gi0/0/1
[Rl-GigabitEthernet0/0/1]ip address 12.1.1.1 29 #29位掩碼減少公網地址浪費
[Rl-GigabitEthernet0/0/1]description TO_WAN #添加描述WAN信息
[Rl-GigabitEthernet0/0/1]dis this
[V200R003C00]
interface GigabitEthernet0/0/1
description TO_WAN
ip address 12.1.1.1 255.255.255.248
(二)配置R2路由器接口
[R2]interface gi0/0/0
[R2-GigabitEthernet0/0/0]ip address 12.1.1.6 29
[R2-GigabitEthernet0/0/0]dis this
[V200R003C00]
interface GigabitEthernet0/0/0
ip address 12.1.1.6 255.255.255.248
return
[R2]interface loopback 0 #配置環回接口地址
[R2-LoopBack0]ip address 9.9.9.9 24
二、配置缺省路由聯通整個網絡
[Rl]ip route-static 0.0.0.0 0 12.1.1.6 #缺省路由目標是任意外網,下壹跳是12.1.1.6
三、靜態壹對壹映射NAT技術
靜態NAT:static NAT ,壹對壹(壹壹映射),壹個私網地址對應壹個公網地址,外網的用戶可以訪問內網的主機。缺點是有n個私網地址就需要n個公網地址,成開銷本較大。
global:全局公網地址;local:本地私網地址。
inside:內網;outside:外網。
在外網口配置
[Rl-GigabitEthernet0/0/1]nat static global 12.1.1.2 inside 192.168.3.2 netmask 255.255.255.255
#將192.168.3.2和12.1.1.2做壹對壹映射轉換
[Rl-GigabitEthernet0/0/1]dis this
[V200R003C00]
interface GigabitEthernet0/0/1
description TO_WAN
ip address 12.1.1.1 255.255.255.248
nat static global 12.1.1.2 inside 192.168.3.2 netmask 255.255.255.255
return
dis nat session protocol icmp #實時查看NAT會話
四、NAT Easy IP技術
允許多個私網地址轉換成壹個公網IP,企業普遍常用 Easy IP。
在路由器出口先寫acl匹配內網私網地址段,acl用來匹配範圍時,沒有默認隱含允許所有的規則。
[Rl]acl 2000
[Rl-acl-basic-2000]rule permit ?
fragment Check fragment packet
none-first-fragment Check the subsequence fragment packet
source Specify source address
time-range Specify a special time
vpn-instance Specify a VPN-Instance
Please press ENTER to execute command
[Rl-acl-basic-2000]rule permit source 192.168.3.0 0.0.0.255
#匹配 192.168.3.0網段訪問
[Rl-acl-basic-2000]dis this
[V200R003C00]
acl number 2000
rule 5 permit source 192.168.3.0 0.0.0.255
return
[Rl-GigabitEthernet0/0/1]nat outbound 2000
#2000是acl的表號,內網私網地址出包時轉換成公網接口gi0/0/1當前的IP地址12.1.1.1
不同PC識別的是序列號Sequence Numer。
五、Server NAT 技術
可將某服務的端口映射出去,只提供端口服務,非常安全。
(壹)對應壹臺服務器的Server NAT
system-view
[Rl-GigabitEthernet0/0/1]undo nat outbound 2000
#先取消上次的NAT 的easy IP配置
[R2]interface loopback 0
[R2-LoopBack0]undo ip address 9.9.9.9 24 #取消上次的環回接口配置
[R2]interface gi0/0/1
[R2-GigabitEthernet0/0/1]ip address 9.9.9.1 24 #配置客戶端網關地址
[Rl-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.4 www inside 192.
168.3.254 www #將服務器的80端口映射出去12.1.1.4,只提供網頁訪問服務,不提供ping服務。
Server服務器192.168.3.3的HTTP配置如圖所示:
客戶端9.9.9.9 的連接配置如圖所示,獲取到數據表示HTTP連接成功。
(二)對應多臺服務器的Server NAT
[Rl-GigabitEthernet0/0/1]undo nat server protocol tcp global 12.1.1.4 www inside
192.168.3.254 www #取消之前配置的單臺設備
[Rl-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.4 4000 inside 192
.168.3.254 3389 #依次配置如下遠程設置
[Rl-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.4 4001 inside 192
.168.3.253 3389
[Rl-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.4 4002 inside 192
.168.3.252 3389
遠程192,168.3.254的主機可以如下連接