在前两次实验中,分别模拟了DHCP NAT和PPPoE NAT访问互联网的典型方法。 在这次的实验中,模拟了利用路由器的外部网接口固定公共网络的IP NAT方式来访问互联网的方法。 这也是目前许多小型机构常见的方法,也可以解决常见的外网用户访问内网服务器的问题(目前许多机构有外部主机访问内部主机的业务需求)。
这次的实验拓扑大致与前两次相同,反映了现实中许多小型单位的网络拓扑。
一、实验目的
通过命令行方式,配置路由器的外网接口固定公共IP NAT,公司可以访问互联网,公司内部、外网的用户可以以域名访问公司内部的服务器。
二、实验内容
模拟一个单元的网络场景:单元内部是一个局域网,为了连接用户设备有多个接入开关(例如SW2~SW3 ),接入开关之间通过聚合开关SW1连接在内部分割有VLAN,例如PC1、共享打印机PriSrv1被分割为VLAN 100,PC2、共享打印机PriSrv2被分割为VLAN 200。 公司内部局域网用户通过路由器R1接入互联网,公司内部局域网通过聚合交换机SW1连接,分割VLAN 10的R1连接到运营商光猫的网口1。
目前,外部访问后可能需要VPN,且外部网络用户需要访问公司内部服务器,但公司内部访问互联网,外部网络用户访问公司内部服务器的用户不多暂时使用一个固定公共网络IP接入——,假设R1的本地地址为12.12.12.12.2/24,对方为12.12.12.12.1,内部网WWW服务器为VLAN 20
拓扑如图1所示:
图1
其中,图1上方的灰色椭圆区域模拟了准备访问工作场所内的WWW服务器的外网用户和ISP端路由设备。
其中,图1下方矩形区域即SW1~SW3间的配置与《华为交换机配置DHCP实现终端自动配置IP地址信息实验摘要》大致相同,但如果VLAN 20网段变多,则需要配置;
这里,图1中央的绿色矩形区域R1和SW1的接口IP地址、及VLAN 10、R1和SW1的静态路由构成部分与《华为路由器利用DHCP客户端和NAT接入互联网典型方式模拟实验》大致相同; 但是,由于VLAN 20网段很多,所以必须相应地添加静态路由(这里由于局域网频段不连续,暂时没有以集中方式构成路由)。
与上述配置相同的部分可以分别点击链接进行查看,这里省略说明。
这个实验主要由以下部分组成
1、SW1的VLAN 20;
2、从R1到VLAN 20网段的静态路由;
3、R1外网接口的固定公共网络IP地址;
4、R1到外网的默认路线
5、R1中从内部网IP到公共IP所需的NAT;
6、R1中互联网用户访问内部网服务器所需的NAT
7、配置在R1的公司内部用户可以以域名访问公司内部WWW服务器。
三、实验布置
(一) SW1的VLAN 20结构
[SW1]vlan 20
sw1-VLAN 20节点
[ sw1 ]界面版本20
[ sw1-vlanif 20 ] IP地址192.168.20.25424
[ sw1-vlanif 20 ]界面G0/0/10
[ sw1 -千兆以太网0/0/10 ]端口千兆以太网20
[ sw1 -千兆以太网0/0/10 ]端口千兆以太网20
[ sw1 -千兆以太网0/0/10 ] quit
)二)从R1到VLAN 20网段的静态路由配置
R1 IP路由静态192.168.20.0255.255.255.0192.168.10.253
(三) R1外网连接接口的固定公用网IP地址配置
[ r1]接口g1/0/0
[ R1 -千兆以太网1/0/0 ] IP地址12.12.12.224
“r 1千兆以太网1/0/0”quit
(四)从R1到外联网的默认路由配置
[ r1] IP路由静态0.0.0.0.0.0.0.0.0.012.12.1
(五) R1中的内部网IP到公共IP的NAT
R1 ]别名NAT13001
R1-ACL-adv-NAT 1规则5权限IP
R1-ACL-adv-NAT 1查询
[ r1]接口g1/0/0
[ R1 -千兆以太网1/0/0 ]以太网出站3001
(六) R1上的互联网用户访问内部网服务器所需的NAT配置
[R1-GigabitEthernet1/0/0]nat server protocol tcp global current-interface www inside 192.168.20.1 www
[R1-GigabitEthernet1/0/0]quit
命令说明:
该命令的作用是内网(inside)WWW服务器的IP地址192.168.20.1被映射为R1的G1/0/0接口(current-interface)固定公网IP地址12.12.12.2,同时TCP端口号www还是映射为www,这样外网用户使用http://12.12.12.2就是访问内部的Web服务器了。另域名www.test.com也是与12.12.12.2进行映射。
注:
如果访问量大,可根据实际需要申请多个固定公网IP,用地址池方式做动态NAT。
(七) R1上配置内网用户通过域名访问单位WWW服务器。
[R1]nat alg dns enable
[R1]nat dns-map www.test.com 12.12.12.2 80 tcp
命令说明:
1、有些服务的报文应用层中也携带访问该服务需要的IP地址和端口信息,为了把里面服务器IP地址和端口也能替换掉,需要在系统视图下配置NAT ALG(Application Level Gateway,应用层网关)。假设外网用户访问单位内网的FTP服务,服务器会在响应报文中应用层中携带服务器的IP地址192.168.20.1,此时需要替换成R1的公网IP12.12.12.2,此时需要配置nat alg ftp enable 。
2、内网用户用公网DNS服务器提供的域名访问内网服务器时,因为公网DNS服务器的响应报文中携带的是公网IP(12.12.12.2),而内网用户实际上是用服务器的私有IP地址(192.168.20.1)进行访问,因此需要配置nat dns-map domain-name global-address gobla-port tcp 配合 nat alg DNS enable,将公网DNS服务器的响应报文中携带的公网IP再替换回服务器的私有IP给内网用户。
四、配置验证
(一) 外网用户访问单位内部WWW服务器
1、用Http Client模拟外网用户以IP 12.12.12.2 方式访问单位内部WWW服务器,如图2
可以成功访问。
用Http Client模拟外网用户以域名www.test.com方式访问单位内部WWW服务器,如图3
也可以成功访问。
(二) 单位内部用户访问内部WWW服务器
1、用Http Client2模拟单位内部用户以IP 192.168.20.1方式访问内部WWW服务器,如图4
可以成功访问。
2、用Http Client2模拟单位内部用户以域名www.test.com方式访问内部WWW服务器,如图5
同样能够访问成功。
(三)查看R1的接口NAT地址转换情况
输入
<R1>display nat session all
结果如图6
外网用户访问单位服务器时确实进行了NAT转换,端口转换和实际有些出入。
至此,实验总体达到了预期效果。
以上输入和描述可能有疏漏、错误,欢迎大家在下方评论区留言指正!
另以上实验如有帮助,望不吝转发!
附:
上一实验《华为路由器利用PPPoE客户端和NAT接入互联网典型方式模拟实验》