14.2.3　案例实施

2025年09月26日

版权

14.2.3　案例实施

1.基本配置

根据案例要求，完成相关设备的IP地址的配置，并连通（此处配置省略）。

在AR2的GE0/0/0接口上的环回口Loopback0配置地址。

2.在AR1上配置静态NAT（一对一）

公司在网关路由器AR1上配置访问外网的默认路由。

由于内网使用的都是私有地址，员工无法直接访问公网。现在需要在网关路由器AR1上配置NAT，将私网地址转换为公网地址。

PC1为部门领导使用的终端，不仅需要PC1能访问外网，还需要外网用户能直接访问PC1，因此网络管理员分配一个公网IP地址202.169.10.5给PC1做地址转换。在AR1的GE0/0/0接口下使用nat static命令配置内部地址到外部地址的一对一转换。

实验测试如下。

①在AR1上查看静态NAT 配置信息。在系统视图下输入display nat static，运行结果如下。

pagenumber_ebook=190,pagenumber_book=175

②在PC1设备中测试网络互通性。在Telnet客户端设备用户视图下ping AR2设备的IP地址202.169.10.5，ping通说明网络是互通的，已完成静态NAT 的配置，测试结果如下。

pagenumber_ebook=190,pagenumber_book=175

pagenumber_ebook=191,pagenumber_book=176

PC1通过静态NAT 成功访问外网，在路由器AR1的GE0/0/0接口抓包查看地址是否转换成功，结果如图14-7所示。

pagenumber_ebook=191,pagenumber_book=176

图14-7　AR1的GE0/0/0接口抓包（一）

可以看到AR1已经成功把来自PC1的ICMP 报文的源地址172.16.1.1转换成公网地址202.169.10.5。在AR2使用的环回口Loopback0模拟外网用户访问PC1，在PC1的Ethernet0/0/1接口抓包观察，如图14-8所示。

pagenumber_ebook=191,pagenumber_book=176

pagenumber_ebook=192,pagenumber_book=177

图14-8　PC1的Ethernet0/0/1接口抓包

图14-9所示。

pagenumber_ebook=193,pagenumber_book=178

图14-9　AR1的GE0/0/0接口抓包（二）

可以发现PC1的私网地址被转换为唯一的公网地址，外网用户也能主动访问PC1，且数据包经过AR1进入内网时，AR1把目的IP地址转换为与公网地址202.169.10.5对应的私网地址172.16.1.1并发给PC1。

3.在AR1上配置动态NAT（多对多）

配置市场部的员工都能够访问外网。市场部使用私网IP地址172.17.1.0/24网段，现在要求使用公网地址池202.169.10.50～202.169.10.60为市场部员工做NAT 转换。

在AR1上使用nat address-group命令配置NAT 地址池，设置起始地址和结束地址分别为202.169.10.50和202.169.10.60。

创建基本ACL 2000，匹配172.17.1.0。

在GE0/0/0接口使用nat outbound命令将ACL 2000与地址池相关联，使得ACL 中规定的地址可以使用地址池进行地址转换。

配置完成后，在AR1上查看NAT Outbound的信息。

pagenumber_ebook=192,pagenumber_book=177

pagenumber_ebook=193,pagenumber_book=178

在PC2上测试与外网的连通性，并在AR1的GE0/0/0接口抓包观察地址转换情况，如

PC2 ping通外网，通过抓包分析，在AR1的GE0/0/0接口上，来自PC2的ICMP数据包的源地址172.17.1.1被转换为地址池中的第一个地址202.169.10.50。

4.配置Easy IP（多对一）

由于公司发展人员扩招，若继续使用多对多的NAT，就必须增加公司地址池中的地址数。为了节约公网地址，网络管理员使用多对一的Easy IP转换方式满足公司员工访问外网的需求。

在AR1的GE0/0/0接口上删除NAT Outbound配置，并使用nat outbound命令配置Easy IP，直接使用接口IP地址作为转换后的地址。

pagenumber_ebook=194,pagenumber_book=179

配置完成后，在PC2和PC3上使用UDP发包工具发送UDP数据包到公网地址202.169.20.1，配置好目的IP和UDP源、目的端口号后，输入字符串数据并单击“发送”按钮，如图14-10和图14-11所示。

pagenumber_ebook=194,pagenumber_book=179

图14-10　PC2发包配置

pagenumber_ebook=194,pagenumber_book=179

图14-11　PC3发包配置

发送完成后，在AR1上查看NAT Session的详细信息。

pagenumber_ebook=195,pagenumber_book=180

可以看到，源地址为172.17.1.1的UDP数据包被新源地址202.169.10.1和新源端口号10241替换，源地址为172.17.1.3的UDP数据包被新源地址202.169.10.1和新源端口号10242替换，AR1借用自身GE0/0/0接口的公网IP地址为所有私网地址做NAT 转换，使用不同的端口号来区分不同私网数据，此方式不需要创建地址池，大大节省了地址空间。

5.配置NAT服务器

公司内服务器提供FTP服务供外网用户访问，配置NAT 服务器并使用公网IP 地址202.169.10.6对外公布服务器地址，然后开启NAT ALG（Application Layer Gateways，应用层网关）功能，因为对于封装在IP数据报文中的应用层协议报文，正常的NAT 转换会导致错误，在开启某应用层协议的NAT ALG 功能后，该应用层协议报文可以正常进行NAT转换，否则该应用层协议不能正常工作。

在AR1的GE0/0/0接口上，使用nat server命令定义内部服务器的映射表，指定服务器通信协议类型为TCP，配置服务器使用的公网IP地址为202.169.10.6，服务器内网通信地址为172.16.1.3，指定端口为21，该常用端口号可以直接使用关键字“ftp”代替。

pagenumber_ebook=196,pagenumber_book=181

配置完成后，在AR1上查看NAT Server信息。

pagenumber_ebook=196,pagenumber_book=181

可以看到，配置已经生效，现在我们去服务器终端开启服务器的FTP功能，如图14-12所示。

pagenumber_ebook=196,pagenumber_book=181

图14-12　开启服务器的FTP功能

设置完成后，在AR2上模拟公网用户访问该私网服务器。

pagenumber_ebook=197,pagenumber_book=182

可以看到，公网用户可以成功登入公司内的私网服务器。

14.2.3 案例实施

14.2.3　案例实施