- 积分
- 16841
在线时间 小时
最后登录1970-1-1
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?开始注册
x
一、组网需求:
% m4 Y5 m6 s; j( }1 H某公司平台和办公网的私网用户和互联网相连,路由器上接口GigabitEthernet0/0/0的公网地址为202.169.10.1/24,对端运营商侧地址为202.169.10.2/24。5 C9 l+ L, v; ~/ p) d# F
允许使用公网IP地址比较少(222.249.230.1),所以使用no-pat转换方式(只转换数据包的IP地址,并不使用端口号)平台的NAT方式替换A部门内部的主机地址{网段为192.168.(100-110).0/24},访问因特网。
0 J. [- d, z0 J; D允许使用公网IP地址比较少(222.249.230.1),所以使用pat转换方式(同时转换数据包中的IP地址和端口号)办公网的NAT替换内部的主机地址(网段为192.168.0.0/22),访问因特网。
4 _' Q! I: Q) {: T5 S# X/ y, ^% V1、网络拓扑4 l! g* m, h7 Y$ P
略" [# T3 p7 Y8 {% G: [
5 ^' d! n$ K- B$ _3 F2、配置思路
2 T$ s; i$ Y3 |* d4 C+ h配置接口IP地址、缺省路由和在WAN侧接口下配置NAT Outbound,实现内部主机访问外网服务功能。
. L: B( D+ ~4 M; r二、操作步骤
2 X2 k7 n0 a0 s6 x/ ]2 ^1、配置云平台、办公网主机IP地址,网关分别是192.168.(100-110).254、192.168.0.1
$ s: N. l( I7 E6 ~( p2、在SWA上配置vlan6 u2 k0 ~2 Q+ o( \
<Huawei>system-view( U4 P. U3 {2 f
[Huawei]sysname SW. z) \% O. A" y) m& Q3 u5 G& P
[SW]vlan (100-110)
6 J3 ~: D7 s+ x! x+ n% y7 ~3 }[SW-vlan(100-110)]q
5 n; n: o$ h( P; |* A[SW]interface Ethernet0/0/1
$ t0 _/ E- e2 D! E[SW-Ethernet0/0/1]port link-type access2 K* H7 \$ G8 U- B. \& q6 ?' h8 d9 c
[SW-Ethernet0/0/1]port default vlan 100
' d* |' v! ?2 y) V+ j[SW-Ethernet0/0/1]q# m/ [/ j: F r8 T, [. a. i: y3 H
[SW]interface Ethernet 0/0/26 @9 _, v4 T& k
[SW-Ethernet0/0/2]port link-type trunk
0 g! n& g T, \[SW-Ethernet0/0/2]port trunk allow-pass vlan all
0 d+ F- c# x7 @" n& s[SW-Ethernet0/0/2]q
% T! T7 h7 g% \; {) [8 z$ g) J2 o3、在SWB上配置vlan
4 k, J2 {# \: B; Z9 ~3 c6 t! {( q) o[Huawei]sysname SW1" |3 Z9 r7 T C4 }- V
[SW1]vlan 2006 F( s3 r5 V( l, Z/ U/ K( c$ K: ]; B
[SW1-vlan200]q
, ^7 c0 i9 t2 h0 B# O/ G1 ][SW1]interface Ethernet0/0/1/ a) N' l" }6 e. t6 g
[SW1-Ethernet0/0/1]port link-type access 2 r& Z% Q9 a( A, V2 |* X4 y0 q
[SW1-Ethernet0/0/1]port default vlan 200$ v" @! E( y c1 m) p
[SW1-Ethernet0/0/1]q; k ~0 ^8 r6 E1 f" `& F# \
[SW1]interface Ethernet 0/0/2# b3 K2 n5 I; y/ U z+ F
[SW1-Ethernet0/0/2]port link-type trunk 7 r3 |% u+ }: [4 [
[SW1-Ethernet0/0/2]port trunk allow-pass vlan all % e' L* f2 h' h6 x" U
[SW1-Ethernet0/0/2]q
7 t0 b6 e7 s& x! I: w4、在Router上配置接口IP地址: S4 V/ F( D g- f1 y8 y
<Huawei>system-view
( ~) M u' u; O8 N- s/ P8 V) y[Huawei]sysname Router
' u4 b5 w, j# W% |0 L% K( Z[Router]vlan batch 100 2009 L' i. }3 M6 g2 l
[Router]interface Vlanif 100
! h) e4 j) @* U6 r7 H% S8 O[Router-Vlanif100]ip address 192.168.20.1 24
% [% X7 o1 n6 m, c7 @2 ]. J[Router-Vlanif100]q
0 F- s$ Q# \# [- b! S9 A4 ]9 x[Router]interface Vlanif 200/ M3 }" q' k" a6 M. N
[Router-Vlanif200]ip address 10.0.0.1 24
$ Y6 b5 ]2 C3 ~) ][Router-Vlanif200]q9 O2 X3 k: |7 N) o# Z6 |
[Router]interface Ethernet 0/0/0& T( n& c: t; D' y: W E5 A E( J
[Router-Ethernet0/0/0]port link-type trunk 7 W3 C4 O1 z1 @0 R
[Router-Ethernet0/0/0]port trunk allow-pass vlan all
. C" d3 [! O5 [9 V6 ?; X# A5 ^[Router-Ethernet0/0/0]q# L5 [: P) p* g
[Router]interface Ethernet 0/0/1
, H5 Z0 d+ o) {[Router-Ethernet0/0/1]port link-type trunk 3 a4 y- i, W* i _
[Router-Ethernet0/0/1]port trunk allow-pass vlan all3 F/ g |' f& d9 y
[Router-Ethernet0/0/1]q
) Q; s. j. `6 B8 ?* x [' p3 p[Router]interface GigabitEthernet 0/0/0
' G/ [& y$ p) d1 V4 _, y' `/ n( U[Router-GigabitEthernet0/0/0]ip address 202.169.10.1 24" p: b3 P. @( h9 E
[Router-GigabitEthernet0/0/0]q
2 h/ f0 D- R/ Q {( @ H这时候主机就可以ping通网关了
! |0 S3 c1 I8 Y4 R& y! P5、在Router上配置缺省路由,指定下一跳为202.169.10.2# @2 |: V" ^$ d
[Router]ip route-static 0.0.0.0 0.0.0.0 202.169.10.24 X2 o" @" T8 L+ K4 @
6、在Router上配置NAT Outbound(记住在出接口上应用)' d, O2 m# n% b! u. K2 A9 K1 M
[Router]nat address-group 1 202.169.10.100 202.169.10.200
3 P7 R3 z1 S1 E* Q. ~7 ]0 y1 z[Router]nat address-group 2 202.169.10.201 202.169.10.202$ ?8 ?. M; F* b) U5 I0 ~: z0 d" G2 y4 k
[Router]acl number 3001
) ~! G- ?. j3 [8 w& G[Router-acl-adv-3001]rule 5 permit ip source 192.168.20.0 0.0.0.255
8 _" D2 Y4 z' h! N8 r[Router-acl-adv-3001]q( [; y F- m2 O& G! U. L
[Router]acl number 3002
) I: n% ]6 o U, a' ]3 p2 J[Router-acl-adv-3002]rule 5 permit ip source 10.0.0.0 0.0.0.255
, G. C3 m6 F+ k/ y* j0 m[Router-acl-adv-3002]q
/ M+ t% \' {8 B b' ^" z L[Router]interface GigabitEthernet 0/0/0
: V- e/ J+ Y$ R+ {1 t* k[Router-GigabitEthernet0/0/0]nat outbound 3001 address-group 1 no-pat
. e5 Q: L0 \% _2 _, d* {[Router-GigabitEthernet0/0/0]nat outbound 3002 address-group 2
- G$ A2 H! R- u" d4 j[Router-GigabitEthernet0/0/0]q
# l) R2 [# j N0 }. m+ e[Router]ip soft-forward enhance enable
. { A8 G6 O( e- A9 G; g C如果需要在Router上执行ping -a source-ip-address命令通过指定发送ICMP ECHO-REQUEST报文的源IP地址来验证内网用户可以访问因特网,需要配置命令ip soft-forward enhance enable使能设备产生的控制报文的增强转发功能,这样,私网的源地址才能通过NAT转换为公网地址。
4 E) R1 g) b' J" j% s& U* V7、查看结果$ f% }+ K' `5 K7 I/ C; i4 w
[Router]display nat outbound
3 Q# q6 a6 ?1 @3 w9 ] NAT Outbound Information:/ c6 \/ W3 k6 l+ j; _, x/ s- z
--------------------------------------------------------------------------" A! s2 N5 y% K2 }' { x; {
Interface Acl Address-group/IP/Interface Type
% Z9 ]# t0 [+ b& F --------------------------------------------------------------------------
7 z& q2 p9 G( ]' i8 n; P GigabitEthernet0/0/0 3001 1 no-pat
8 ] E- S9 E# Q" B3 m GigabitEthernet0/0/0 3002 2 pat
" Z( P) ~0 J" r& {9 k: w4 \$ o# A --------------------------------------------------------------------------. r6 [* y5 _+ h& _- X
Total : 22 U% t! N& S, r+ V' c& ~
[Router]ping -a 192.168.20.1 202.169.10.2
8 T1 T0 T5 H$ M# a& R7 O PING 202.169.10.2: 56 data bytes, press CTRL_C to break
3 S6 K7 {* \: D. m( k# e Reply from 202.169.10.2: bytes=56 Sequence=1 ttl=255 time=10 ms- ~6 _: b( S, Q- L8 }& E6 V
Reply from 202.169.10.2: bytes=56 Sequence=2 ttl=255 time=10 ms1 S* h% l+ A0 \6 g' Q& Y
Reply from 202.169.10.2: bytes=56 Sequence=3 ttl=255 time=10 ms
0 n8 j' F* K, Y8 o( r, ? Reply from 202.169.10.2: bytes=56 Sequence=4 ttl=255 time=10 ms
2 b1 }0 G' E) p Reply from 202.169.10.2: bytes=56 Sequence=5 ttl=255 time=10 ms
8 \9 h! Y+ R( f \4 U2 m 7 n' u) O2 F* ? r$ u
--- 202.169.10.2 ping statistics ---
* I: s7 p) f" j B% n; Q. R 5 packet(s) transmitted
9 L0 Z6 j6 @, J& O# e% { 5 packet(s) received
A! s1 Z: P7 q+ ]- a% u9 ~ 0.00% packet loss
R1 }4 q y$ a8 \4 l* J- B3 `# ^ round-trip min/avg/max = 10/10/10 ms3 Q, e# s9 G, ^4 {. ^2 @( ~6 z
) u* S& y7 K+ M3 ]
[Router]ping -a 10.0.0.1 202.169.10.22 I& E" z' z- p8 Q
PING 202.169.10.2: 56 data bytes, press CTRL_C to break6 o: S H( g: y+ \% L8 G/ Q
Reply from 202.169.10.2: bytes=56 Sequence=1 ttl=255 time=10 ms* g& B) `) j: K2 n
Reply from 202.169.10.2: bytes=56 Sequence=2 ttl=255 time=10 ms( H# p8 z' w4 v9 [& P# ]9 j( K
Reply from 202.169.10.2: bytes=56 Sequence=3 ttl=255 time=10 ms2 o' V, @7 k6 ~# k$ @2 [
Reply from 202.169.10.2: bytes=56 Sequence=4 ttl=255 time=10 ms
# L6 p6 b! Y& T* v Reply from 202.169.10.2: bytes=56 Sequence=5 ttl=255 time=10 ms
2 @# _5 n1 z2 T- R- F+ P 7 n% ?8 N/ }; O" a! e
--- 202.169.10.2 ping statistics ---
: {' y4 u7 p1 I4 z8 B 5 packet(s) transmitted
( u3 e- o: e$ m( y5 L& a3 U: b j& T 5 packet(s) received
! I4 z* A; k3 \3 I$ o! @: G 0.00% packet loss# [* \/ E9 @# H& j& Z7 U! t; i
round-trip min/avg/max = 10/10/10 ms
. _6 d7 B: V I, V% C4 p: |8、查看NAT映射表项3 V: B, Q; Q+ I3 i0 X! F3 w( _
[Router]display nat session all verbose
' ~; B9 n: Z3 O$ o+ W! C7 ]& E————————————————
. C6 L7 A2 c$ R; y# K版权声明:本文为CSDN博主「友人a笔记」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。: D# B4 R& j: ~
原文链接:https://blog.csdn.net/tladagio/article/details/80725043
6 e! g7 Y. r* u+ L. H; q$ V |
|
/4 
|返回首页|Archiver|小黑屋|易陆发现技术论坛
( 蜀ICP备2026014127号-1 )
窥视卡
雷达卡
发表于 2022-3-15 11:50:24
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜