1、章节介绍:该 章 节 主 要 介 绍 , 针 对 固 化 交 换 模 块 路 由 器 的 基 本 上 网 配 置 , 这 些 路 由 器 型 号 包 含RSR10-02E、RSR20-04E、RSR20-14E/F等这 些 设 备 的 共 同 特 点 为 设 备 都 为 路 由 接 口 , 由于 设 备 本 身 携 带 交 换 口 , 如 有 多 台 PC需 要 上 网 , 则 可 直 接 将 PC连 接 到 交 换 口 上 , 进 行 上网 通 过 该 章 节 , 可 以 实 现 通 过 NAT上 网 以 及 内 网 服 务 器 映 射 功 能 。功能介绍:PAT: 端 口 地 址 转 换
2、, 又 叫 网 络 地 址 端 口 转 换 ( NAPT) , 通 过 外 网 接 口 的 IP地 址 +端口 号 来 对 应 和 区 别 各 个 数 据 流 进 行 网 络 地 址 转 换 , 以 达 到 多 内 部 主 机 通 过 外 网 接 口 的 IP地 址 来 访 问 外 部 网 络 的 目 的 。 通 常 用 在 只 有 一 个 公 网 地 址 时 的 场 景 。地 址 池 转 换 : 公 网 地 址 池 的 IP地 址 +端 口 号 来 对 应 和 区 别 各 个 数 据 流 进 行 网 络 地 址 转 换 ,以 达 到 多 内 部 主 机 通 过 少 量 公 网 IP地 址 来
3、 访 问 外 部 网 络 的 目 的 。 通 常 用 在 有 多 个 1个 出口 有 多 个 公 网 ip地 址 的 情 况静 态 NAT: 把 内 部 主 机 的 ip地 址 一 对 一 的 映 射 成 公 网 ip地 址 , 或 者 内 部 主 机 的 ip地 址+端 口 一 对 一 的 映 射 成 公 网 ip地 址 +端 口 。 通 常 用 在 需 要 将 内 部 主 机 映 射 成 公 网 地 址 ,或 者 内 部 服 务 器 的 某 个 端 口 映 射 成 公 网 地 址 的 某 个 端 口 , 达 到 通 过 访 问 公 网 地 址 或 者 公 网地 址 +端 口 号 来 访 问
4、 内 部 服 务 器 的 目 的 。应用场景企业通过租用运营商的专线上网,分别介绍以下三个场景的应用,实现相应的功能。场景一:当只有一个公网IP地址的时候,需要把内网用户的地址全部转换成外网接口的 IP地址,使内网用户能够访问外网。场景二:当有一个公网IP地址段的时候,需要把内网用户的地址全部转换成公网地址段的 IP地址,使内网能够访问外网。场景三:将内网服务器映射到某一公网IP,使外网用户能够通过访问该公网 IP来访问内网服务器的资源。一、组网需求RSR路由器做因特网出口,内部PC和服务器网关均在路由器上,通过路由器访问外网,同时内网有一台服务器,需将服务器地址(端口)映射到公网地址(端口)
5、,为外界提供服务。注,内网pc 属于vlan10 网段,内网服务器属于vlan20网段。二、组网拓扑三、配置要点1、基本ip地址配置2、内网终端划分到相应的vlan中3、基本的ip路由配置4、DHCP 服务器配置5、定义nat的内网口和外网口6、在R1上配置ACL ,把内网需要进行NAT转换的流量匹配出来7、配置场景一NAT转换策略8、配置场景二NAT转换策略9、配置场景三NAT转换策略四、配置步骤1、基本ip地址配置Ruijie(config)#hostname R1R1(config)#interface gigabitEthernet 0/1R1(config-GigabitEthern
6、et 0/1)#ip address 192.168.2.1 255.255.255.0R1(config-GigabitEthernet 0/1)#exitR1(config)#vlan 10 R1(config-vlan)#exitR1(config)#vlan 20R1(config-vlan)#exitR1(config)#inter vlan 10R1(config-if-VLAN 10)#ip add 172.16.1.254 255.255.255.0R1(config-if-VLAN 10)#exit R1(config)#inter vlan 20R1(config-if-V
7、LAN 20)#ip add 172.16.2.254 255.255.255.02、内网终端划分到相应的vlan中R1(config)#inter fastEthernet 1/2R1(config-if-FastEthernet 1/2)#switchport access vlan 10 / 划分内网pc接口属于vlan10R1(config)#inter fastEthernet 1/13R1(config-if-FastEthernet 1/13)#switchport access vlan 20 / 划分服务器接口属于vlan203、配置出口路由器路由R1(config)#ip
8、route 0.0.0.0 0.0.0.0 192.168.2.2 / 出口路由配置到英特网的默认路由4、DHCP 服务器配置R1(conf)#service dhcp /开启DHCP服务R1(conf)#ip dhcp pool ruijie /ruijie是dhcp 地址池的名字,可以随便取R1(dhcp-config)#netw 172.16.1.0 255.255.255.0 /电脑需要获得的ip地址的网段R1(dhcp-config)#default-router 172.16.1.254 /电脑属于VLAN 10下的网关地址,即使vlan10的接口的ip地址R1(dhcp-conf
9、ig)#dns-server 202.96.113.34 202.96.13.35 / 电脑的DNS ,前面一个是主的dns,后面一个是备dnsR1(conf)#ip dhcp pool ruijie2 /ruijie2是dhcp地址池的名字,可以随便取R1(dhcp-config)#netw 172.16.2.0 255.255.255.0 /电脑需要获得的ip地址的网段R1(dhcp-config)#default-router 172.16.2.254 /电脑属于VLAN 10下的网关地址,即使vlan10的接口的ip地址R1(dhcp-config)#dns-server 202.96
10、.113.34 202.96.13.35 / 电脑的DNS ,前面一个是主的dns,后面一个是5、定义nat的内网口和外网口R1(config)#interface gigabitEthernet 0/1R1(config-GigabitEthernet 0/1)#ip nat outside /配置nat的外网口R1(config-GigabitEthernet 0/1)#exitR1(config)#inter vlan 10R1(config-if-VLAN 10)#ip nat insideR1(config-if-VLAN 10)#exit R1(config)#inter vlan
11、 20R1(config-if-VLAN 20)#ip nat inside6、在R1上配置ACL,把内网需要进行NAT 转换的流量匹配出来R1(config)#ip access-list standard 10R1(config-std-nacl)#10 permit 172.16.1.0 0.0.0.255R1(config-std-nacl)#10 permit 172.16.2.0 0.0.0.255R1(config-std-nacl)#exit7、配置场景一nat转换策略R1(config)#ip nat inside source list 10 interface gigab
12、itEthernet 0/1 overload /将acl 10匹配的流量,执行 nat转换,转换成gigabitEthernet 0/1口的地址8、配置场景二nat转换策略1)配置公网地址池R1(config)#ip nat pool ruijie netmask 255.255.255.0 /配置一个名字为ruijie的公网地址池R1(config-ipnat-pool)#address 192.168.2.10 192.168.2.11 /公网地址的起始ip 地址,结束ip地址R1(config-ipnat-pool)#address 192.168.2.15 192.168.2.15
13、/若有多个公网地址,但是不连续,可以配置多个公网地址段R1(config-ipnat-pool)#exit注意:1)公网地址池的地址,不一定要跟外网口的地址在同一个网段,只要是外网分配的可用ip地址就可以。2)公网地址的起始ip地址和结束ip地址可以不连续2)配置nat转换策略R1(config)#ip nat inside source list 10 pool ruijie overload /将acl 10匹配的流量,执行nat转换,转换成地址池ruijie里面的地址注意:overload参数是执行nat重载的含义,若不加overload是执行动态的ip一对一映射,不会执行端口转换,不能
14、解决公网地址不够的问题。若是在网络出口执行NAT,是为了解决公网地址不够的问题,必须要加overload参数。9、配置场景三nat转换策略将内网服务器172.16.2.100 映射成公网地址192.168.2.168;或者将内网172.16.1.100 tcp 80端口 映射成公网的192.168.2.168 的80端口。如下分别为基于ip 地址的一对一映射及基于TCP 、UDP协议的端口映射的配置示例:1)基于ip地址的一对一映射R1(config)#ip nat inside source static 172.16.2.100 192.168.2.168 permit-inside /把
15、内网172.16.1.100 映射成公网的192.168.2.1682)基于TCP、UDP 协议的端口映射R1(config)#ip nat inside source static tcp 172.16.2.100 80 192.168.2.168 80 permit-inside /把内网172.16.1.100 tcp 23端口 映射成公网的192.168.2.168 的23端口注意:1)静态nat转换,可以进行ip地址一对一的转换,也可以基于TCP、UDP协议进行端口转换。2)permit-inside功能:当有内网服务器静态映射成公网地址时,内网PC 若需要通过该公网地址访问服务器,就必须配置permit-inside参数,在配置静态nat时,建议都配置permit-inside参数。五、配置验证场景一验证:测试内网能否正常访问外网,若内网PC可以正常访问外网,则 NAT配置正确。在出口路由器上查看NAT转换表项如下:场景二验证:测试内网能否正常访问外网,若内网PC可以正常访问外网,则 NAT配置正确。在出口路由器上查看NAT转换表项如下:
