华为验证NAPT,Easy IP,NATServer,以及Easy IP,NATServer混合使用
2018-06-30 23:30
831 查看
一、网络拓扑图
二、实验步骤:
1、搭建拓扑图,规划好内网和外网的IP,以及PC机的IP地址和网关。
2、按照上图配置好路由器上的IP,以及PC机的IP和路由,并在内网路由上配置一条通往外网的默认路由条目。
3、验证PC1与PC2能否互通
由上图可知,外网没有配置去往192.168.1.0网段的路由,所以是ping不通的
4、配置NAPT,实现内网与外网的通信。配置命令如下:
[neiwang]acl 2000 //配置ACL 2000
[neiwang-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 //配置属于192.168.1.0网段的流量允许通过
[neiwang-acl-basic-2000]quit //退回系统视图
[neiwang]nat address-group 1 192.168.2.3 192.168.2.3 //配置NAT地址组
[neiwang]interface GigabitEthernet 0/0/1 //进入内网数据出端口 GigabitEthernet 0/0/1
[neiwang-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //匹配acl 2000规则的流量允许转换成NAT地址组的地址
验证外网PC机能否ping通外网PC机,外网PC机能否ping通内网
由上图可知NAPT可以实现内网上网,但外网无论直接访问内网地址,还是访问NAT转换的地址,都无法访问到内网。
5、清除以上NAT配置信息,配置Easy IP,命令如下:
[neiwang]acl 2000 //配置ACL 2000
[neiwang-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 //配置属于192.168.1.0网段的流量允许通过
[neiwang]interface GigabitEthernet 0/0/1 //进入内网数据出端口 GigabitEthernet 0/0/1
[neiwang-GigabitEthernet0/0/1]nat outbound 2000 //配置符合ACL 2000的流量NAT转换成端口的IP
验证:内网能否ping同外网,并抓包查看内网通过哪个地址访问外网
由上图可知,无论内网哪台PC机访问外网,都是通过内网数据出端口的IP访问外网。
验证外网可否ping通内网,并在内网入端口进行抓包
通过以上结果,得出外网不能ping通内网,只能访问内网出端口的IP
6、清除以上NAT配置,配置NAT Server,命令如下:
[neiwang]interface GigabitEthernet 0/0/1 //进入内网数据出端口 GigabitEthernet 0/0/1
[neiwang-GigabitEthernet0/0/1]nat server global 192.168.2.3 inside 192.168.1.1
[neiwang-GigabitEthernet0/0/1]nat server global 192.168.2.4 inside 192.168.1.2
[neiwang-GigabitEthernet0/0/1]nat server global 192.168.2.5 inside 192.168.1.3
以上3条命令是将公网地址转换成对应的内网地址,而且是每个内网配置一个公网地址
验证内网与外网能否实现互通,外网ping内网的时候在内网路由GigabitEthernet0/0/0处抓包
通过以上数据分析,NATServer可以实现上网,同时外网同NAT转换的对应公网地址,可以访问内网,在经过内网路由时,自动按照NAT地址转换列表,转换成内网地址。
7、清除以上NAT配置命令,在交换机上添加一台server,外网路由器上添加一台client
通过NAT Server和Easy IP实现内网可以上网,外网仅可以登录内网服务器。
server和client配置如下:
配置命令如下:
[waiwang]interface GigabitEthernet 0/0/2 //进入外网路由GigabitEthernet 0/0/2
[waiwang-GigabitEthernet0/0/2]ip address 192.168.4.254 24 //配置client网关
[neiwang-GigabitEthernet0/0/1]nat outbound 2000 //配置符合ACL 2000的流量NAT转换成端口IP
[neiwang-GigabitEthernet0/0/1]nat server protocol tcp global 192.168.2.3 8080 in
side 192.168.1.4 80 //配置访问公网192.168.2.3 8080端口时,NAT转换成192.168.1.4 80端口
验证:内网PC机访问外网能否ping通,外网访问内网能否ping通,外网client能否访问内网server http
外网访问内网服务器的时候,在内网路由GigabitEthernet0/0/0处抓包
综合以上数据,可知内网都可以访问公网,公网不能访问内网,但是可以通过另一个公网地址的访问内网的http服务器。
综上:通过Easy IP实现端口IP转换,NATServer可以实现静态NAT转换,且可以控制只允许某些外网端口可以连接内网服务器,通过Easy IP,NATServer实现内网访问外网的同时,外网通过另一个公网地址可以访问到内网的http,ftp,telnet等服务。
二、实验步骤:
1、搭建拓扑图,规划好内网和外网的IP,以及PC机的IP地址和网关。
2、按照上图配置好路由器上的IP,以及PC机的IP和路由,并在内网路由上配置一条通往外网的默认路由条目。
3、验证PC1与PC2能否互通
由上图可知,外网没有配置去往192.168.1.0网段的路由,所以是ping不通的
4、配置NAPT,实现内网与外网的通信。配置命令如下:
[neiwang]acl 2000 //配置ACL 2000
[neiwang-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 //配置属于192.168.1.0网段的流量允许通过
[neiwang-acl-basic-2000]quit //退回系统视图
[neiwang]nat address-group 1 192.168.2.3 192.168.2.3 //配置NAT地址组
[neiwang]interface GigabitEthernet 0/0/1 //进入内网数据出端口 GigabitEthernet 0/0/1
[neiwang-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //匹配acl 2000规则的流量允许转换成NAT地址组的地址
验证外网PC机能否ping通外网PC机,外网PC机能否ping通内网
由上图可知NAPT可以实现内网上网,但外网无论直接访问内网地址,还是访问NAT转换的地址,都无法访问到内网。
5、清除以上NAT配置信息,配置Easy IP,命令如下:
[neiwang]acl 2000 //配置ACL 2000
[neiwang-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 //配置属于192.168.1.0网段的流量允许通过
[neiwang]interface GigabitEthernet 0/0/1 //进入内网数据出端口 GigabitEthernet 0/0/1
[neiwang-GigabitEthernet0/0/1]nat outbound 2000 //配置符合ACL 2000的流量NAT转换成端口的IP
验证:内网能否ping同外网,并抓包查看内网通过哪个地址访问外网
由上图可知,无论内网哪台PC机访问外网,都是通过内网数据出端口的IP访问外网。
验证外网可否ping通内网,并在内网入端口进行抓包
通过以上结果,得出外网不能ping通内网,只能访问内网出端口的IP
6、清除以上NAT配置,配置NAT Server,命令如下:
[neiwang]interface GigabitEthernet 0/0/1 //进入内网数据出端口 GigabitEthernet 0/0/1
[neiwang-GigabitEthernet0/0/1]nat server global 192.168.2.3 inside 192.168.1.1
[neiwang-GigabitEthernet0/0/1]nat server global 192.168.2.4 inside 192.168.1.2
[neiwang-GigabitEthernet0/0/1]nat server global 192.168.2.5 inside 192.168.1.3
以上3条命令是将公网地址转换成对应的内网地址,而且是每个内网配置一个公网地址
验证内网与外网能否实现互通,外网ping内网的时候在内网路由GigabitEthernet0/0/0处抓包
通过以上数据分析,NATServer可以实现上网,同时外网同NAT转换的对应公网地址,可以访问内网,在经过内网路由时,自动按照NAT地址转换列表,转换成内网地址。
7、清除以上NAT配置命令,在交换机上添加一台server,外网路由器上添加一台client
通过NAT Server和Easy IP实现内网可以上网,外网仅可以登录内网服务器。
server和client配置如下:
配置命令如下:
[waiwang]interface GigabitEthernet 0/0/2 //进入外网路由GigabitEthernet 0/0/2
[waiwang-GigabitEthernet0/0/2]ip address 192.168.4.254 24 //配置client网关
[neiwang-GigabitEthernet0/0/1]nat outbound 2000 //配置符合ACL 2000的流量NAT转换成端口IP
[neiwang-GigabitEthernet0/0/1]nat server protocol tcp global 192.168.2.3 8080 in
side 192.168.1.4 80 //配置访问公网192.168.2.3 8080端口时,NAT转换成192.168.1.4 80端口
验证:内网PC机访问外网能否ping通,外网访问内网能否ping通,外网client能否访问内网server http
外网访问内网服务器的时候,在内网路由GigabitEthernet0/0/0处抓包
综合以上数据,可知内网都可以访问公网,公网不能访问内网,但是可以通过另一个公网地址的访问内网的http服务器。
综上:通过Easy IP实现端口IP转换,NATServer可以实现静态NAT转换,且可以控制只允许某些外网端口可以连接内网服务器,通过Easy IP,NATServer实现内网访问外网的同时,外网通过另一个公网地址可以访问到内网的http,ftp,telnet等服务。
相关文章推荐
- 华为Easy IP和NAT Server实现原理
- 华为USG地址池方式的NAPT和NAT Server配置案例
- (华为)路由器PPPoE_Client、PPPoE_Server、Nat_Easy 配置
- VMWare安装Ubuntu10.10 server版的NAT方式上网方法,以及apt-get使用公司代理安装程序的方法
- c# 使用HttpWebRequest,HttpWebResponse 快速验证代理IP是否有用
- 在WIN2003以及WIN2000 SERVER下使用pqmagic
- vmware下redhat linux 9使用NAT共享主机IP上网
- 使用Server.Transfer对URL进行隐藏以及其他
- 如何对动态创建控件进行验证以及在Ajax环境中的使用
- .net 下验证控件[validation server control]的一些吐血使用经验
- Server对象有那些属性方法以及怎样使用
- linux虚拟机使用VMware的NAT共享windows主机IP上网
- SQL SERVER 2005 windows身份验证模式转为sql server验证,以及连接显示TCP/IP问题解决
- VMware下redhat linux 9使用NAT共享主机IP上网
- linux虚拟机使用VMware的NAT共享windows主机IP上网
- 可使用两种方法之一生成窗体身份验证 Cookie,并将用户重定向到 cmdLogin_ServerClick 事件中的相应页。
- apache验证-针对客户端IP,head头文件,以及用户名/密码的验证
- 使用Java对字符串进行MD5加密以及验证
- 在linux下限制IP对telnet以及ftp功能使用
- IP地址的合法性验证,以及两IP地址大小的比较