实验目的:利用Nat技术实现私网访问公网
1.实验拓扑图
2.配置IP地址
配置AR1
配置AR2
在AR1上配置静态路由,设置私网的默认出口
3.在AR1上配置动态nat(no-pat)
此时,10.1.1.0网段可以与公网正常通信
这里只有两个ping包能够ping通,因为每一个ping包都独立地进行网络地址转化,并且占据一个IP地址,而address-group地址池中只有两个IP地址,后面的ping包无法进行网络地址转换,所以无法ping通。(这是模拟器PC的bug,真实设备上并不会这样)
在AR1上查看nat会话可以查看到
由于icmp会话时间只有几秒,有时可能查看不到,可以通过firewall-nat session icmp aging-time命令延长会话的老化时间。
4.配置NAPT
与动态nat唯一不同的就是将no-pat取消了。
注意:如果没有匹配上acl中的规则,则不会进行地址转换,与访问控制列表acl相反
现在10.1.2.0网段可以与公网通信,测试结果:
查看nat session会话
可以看到10.1.2.0网段的三个终端的源IP地址都被转换为12.1.1.8,通信时依靠端口号区分不同的终端。
5.配置Easy IP
Easy IP技术是NAPT的一种简化情况
Easy IP只会用到一个共有IP地址,该IP地址就是路由器AR1的g0/0/0接口的IP地址。
配置完成后可以看到10.1.1.0和10.1.2.0两个网段的所有终端都可以与公网通信
6.访问公网的FTP服务器和Web服务器
拓扑图中的server1充当ftp服务器,server2充当web服务
配置ftp服务器(server1)
选择好文件根目录后,点击启动即可
配置web服务器(server2)
同理,选择好文件,点击启动即可。
私网Client2访问公网ftp服务器
在服务器地址栏中输入ftp服务器的IP地址,点击登录,可以看到成功获取服务器文件列表。
私网Client2访问公网web服务器
在地址栏输入web服务器IP地址就可以获取到web服务器对应的文件