实验任务
掌握 Basic NAT 的配置方法
本实验中,私网客户端 PC_A 、PC_B 需要访问公网服务器 Server ,而 RTB 上不能保有私网路由,因此将在 RTA 上配置 Basic NAT ,动态地为 PC_A 、PC_B 分配公网地址。
实验拓扑
PC_A 、PC_B 位于私网,网关为 RTA , RTA 同时为 NAT 设备,有1个私网接口 (G0/1) 和 1 个公网接口 (G0/0) ,公网接口与公网路由器 RTB 互连。 Server 位于公网,网关为 RTB 。
实验步骤
本实验中,私网客户端 PC_A 、PC_B 需要访问公网服务器 Serve ,而 RTB 上不能保有私网路由,因此将在 RTA 上配置 Basic NAT ,动态地为 PC_A 、PC_B 分配公网地址。
步骤一:基本 IP 配置的路由配置
RTA
[RTA]int GigabitEthernet 0/1
[RTA-GigabitEthernet0/1]ip add 10.0.0.254 24
[RTA-GigabitEthernet0/1]int g0/0
[RTA-GigabitEthernet0/0]ip add 198.76.28.1 24
[RTA-GigabitEthernet0/0]qu
[RTA]ip route-static 0.0.0.0 0 198.76.28.2
RTB
[H3C]int g0/0
[H3C-GigabitEthernet0/0]ip add 198.76.28.2 24
[H3C-GigabitEthernet0/0]int g0/1
[H3C-GigabitEthernet0/1]ip add 198.76.29.1 24
PC_A
PC_B
步骤二:检查连通性
分别在 PC_A 、PC_B 上 ping Server (IP地址为198.76.29.4)其结果为无法 ping 通
产生这种结果的原因是在公网路由器上不可能有私网的路由,从 Server 回应的 ping 响应
报文到 RTB 的路由表上无法找到 10.0.0.0 网段的路由
步骤三:配置 Basic NAT
在 RTA 上配置 Basic NAT
首先通过 ACL定义允许源地址属于10.0.0.0/24 网段的流做NAT 转换。
[RTA]acl basic 2000
[RTA-acl-ipv4-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255
其次配置 NAT 地址池,设置地址池中用于地址转换的地址范围为: 198.76.28.11 到198.76.28.20,
[RTA]nat address-group 1 //地址池的索引号为 1
[RTA-address-group-1]address 198.76.28.11 198.76.28.20
最后将地址池与 ACL 关联,并在正确的接口的正确方向上下发
[RTA]int g0/0
[RTA-GigabitEthernet0/0]nat outbound 2000 address-group 1 no-pat
no-pat 的含义是:
表示不使用 TCP/UDP 端口信息实现多对多地址转换,也即表示使用一对一地址转换,只
转换数据包的地址而不转换端口信息
步骤四:检查连通性
从 PC_A 、PC_B 上 ping Server (IP地址为198.76.29.4)其结果为可以 ping 通
步骤五:检查 NAT 表项
完成步骤四后立即在 RTA上 通过 display nat session 命令查看NAT会话信息,依据该信息输出,可以看到该 ICMP 报文的源地址 10.0.0.1 已经转换成公网地址 198.76.28.12 ,目的端口号和源端口号均为 1024 。源地址 10.0.0.2 已经转换成公网地址 198.76.28.11 ,目的端口号和源端口号均为 512 。五分钟后再次通过该命令查看表项,发现 NAT 表项全部消失,产生这种现象的原因是 NAT 表项具有一定的老化时间( aging-time),一.旦超过老化时间,NAT 会删除表项。
步骤五中实验结果中的 NAT 会话信息中的显示的转换后的公网地址和端口号可能不同,这是正常现象,以实际显示结果为准。