实验任务
掌握 Easy NAT 配置方法
私网客户端 PC_A 、PC_B 需要访间公网服务器 Sever ,使用公网接口 IP 地址动态为 PC_A 、PC_B 分配公网地址和协议端口。
实验拓扑
PC_A 、PC_B 位于私网,网关为 RTA , RTA 同时为 NAT 设备,有1个私网接口 (G0/0) 和 1 个公网接口 (G0/1) ,公网接口与公网路由器 RTB 互连。 Server 位于公网,网关为 RTB 。
实验过程
步骤一:基本 IP 配置的路由配置
RTA
[RTA]int GigabitEthernet 0/0
[RTA-GigabitEthernet0/1]ip add 10.0.0.254 24
[RTA-GigabitEthernet0/1]int g0/1
[RTA-GigabitEthernet0/0]ip add 198.76.28.1 24
[RTA-GigabitEthernet0/0]qu
[RTA]ip route-static 0.0.0.0 0 198.76.28.2
RTB
[H3C]int g0/0
[H3C-GigabitEthernet0/0]ip add 198.76.28.2 24
[H3C-GigabitEthernet0/0]int g0/1
[H3C-GigabitEthernet0/1]ip add 198.76.29.1 24
PC_A
PC_B
步骤二:检查连通性
分别在 PC_A 、PC_B 上 ping Server (IP地址为198.76.29.4)其结果为无法 ping 通
产生这种结果的原因是在公网路由器上不可能有私网的路由,从 Server 回应的 ping 响应
报文到 RTB 的路由表上无法找到 10.0.0.0 网段的路由
步骤三:配置 Easy IP
在 RTA 上配置 Easy IP
首先通过 ACL 定义允许源地址属于10.0.0.0/24 网段的流做 NAT 转换
[RTA]acl basic 2000
[RTA-acl-ipv4-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255
然后在接口视图下将 ACL 与接口关联并下发 NAT
[RTA]interface GigabitEthernet0/1
[RTA-GigabitEthernet0/1]nat outbound 2000
步骤四:检查连通性
从 PC_A 、PC_B 上 ping Server (IP地址为198.76.29.4)其结果为可以 ping 通
步骤五:检查 NAT 表项
完成步骤四后立即在 RTA 上通过 display nat session 命令查看 NAT 会话信息,依据该信息输出,可以看到源地址 10.0.0.1 和 10.0.0.2 转换成的公网地址分别为 198.76.28.1 和 198.76.28.1
实验总结
在步骤四中,从 PC_A 能够 Ping 通 Sever ,但是如果从Seve端 Ping PC_A呢?其结果是无法ping 通。导致这种情况的原因是: 在 RTA 上始终没有 10.0.0.0./24 段的路由所以 Serve r直接 Ping PC_A 是不可达的。而 PC_A 能 Ping 通 Sever 是因为,由 Sever 回应的 ICMP 回程报文源地址是 Server 的地址 198.76.29.4 但是目的地址是 RTA 的出接口地址 198.76.28.1 而不是 PC_A 的实际源地址10.0.0.1 。也就是设这个 ICMP 连接必须是由 PC 端来发起连接,触发 RTA 做地址转换后转发。还记得我们在 RTA 出接口Eth 01下发 NAT 配置时的那个 obound 吗? NAT 操作是在出方向便能有效。所以如果从 Sever 端始发 ICMP 报文 Ping PC 端是无法触发 RTA 做地址转换的。