Nat---网络地址转换---动态篇

一：实验拓扑

Pc机IP地址划分

Pc1  192.168.10.10   255.255.255.0    192.168.10.1

Pc2  192.168.10.10   255.255.255.0    192.168.10.1

Pc3  192.168.10.10   255.255.255.0    192.168.10.1

Pc4  192.168.10.10   255.255.255.0    192.168.10.1

二：实验目标

1：利用单臂路由技术实现跨vlan通信

2：利用Nat动态转换技术实现私有地址和公有地址的转换

3：抓取报文分析数据包转送思路

4：理解实验原理

5：熟练掌握Nat技术的命令，并理解。

动态转换

　　动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对并不是一一对应的，而是随机的。所有被管理员授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。每个地址的租用时间都有限制。这样，当ISP提供的合法IP地址略少于网络内部的计算机数量时，可以采用动态转换的方式。

三：实验步骤

1：单臂路由

交换机1

<Huawei>system-view//

[Huawei]vlan bat 10 20//新建vlan10和20

[Huawei]int g0/0/1//进入默认接口

[Huawei-GigabitEthernet0/0/1]portlink-type access//只允许一个端口通过—在access口中，是不允许带标签.当一个数据包通过的时候必须得脱下自身的标签.直到通往下一个端口

[Huawei-GigabitEthernet0/0/1]portdefault vlan 10//只允许vlan10的成员通过

[Huawei-GigabitEthernet0/0/1]intg0/0/2//进入默认接口

[Huawei-GigabitEthernet0/0/2]portlink-type access//只允许一个端口通过

[Huawei-GigabitEthernet0/0/2]portdefault vlan 20//只允许vlan20的成员通过

[Huawei-GigabitEthernet0/0/2]intg0/0/5//进入默认接口

[Huawei-GigabitEthernet0/0/5]portlink-type trunk//转为中继口模式

[Huawei-GigabitEthernet0/0/5]porttrunk allow-pass vlan 10 20//允许vlan10和20的成员通过—要实现四台pc机的互通性-并且在此处的数据包都是要带上标签《tag》的..

[Huawei-GigabitEthernet0/0/5]intg0/0/6//进入默认接口

[Huawei-GigabitEthernet0/0/6]portlink-type trunk//转为中继口模式

[Huawei-GigabitEthernet0/0/6]porttrunk allow-pass vlan 10 20//允许vlan10和20的成员通过

交换机2

<Huawei>system-view

[Huawei]vlan bat 10 20

[Huawei]int g0/0/3//进入默认接口

[Huawei-GigabitEthernet0/0/3]portlink-type access//只允许一个端口通过.即默认的接口—与其相连的接口

[Huawei-GigabitEthernet0/0/3]portdefault vlan 10//只允许vlan10的成员通过

[Huawei-GigabitEthernet0/0/3]intg0/0/4//进入默认接口

[Huawei-GigabitEthernet0/0/4]portlink-type access//只允许一条端口通过

[Huawei-GigabitEthernet0/0/4]portdefault vlan 20//只允许vlan20的成员通[Huawei-GigabitEthernet0/0/4]intg0/0/5//进入默认接口

[Huawei-GigabitEthernet0/0/5]portlink-type trunk//转为中继口模式

[Huawei-GigabitEthernet0/0/5]porttrunk allow-pass vlan 10 20//允许vlan10和20的成员通过—要实现四台pc机的互通性-并且在此处的数据包都是要带上标签《tag》的..这里也可以直接将10 20 替换成all  代表全部的vlan ，但是往往在现实中.我们是不用这种方法.因为这样会带来不安全性！

路由器1

<Huawei>system-view

[Huawei]int g0/0/0//进入默认接口

[Huawei-GigabitEthernet0/0/0]ipadd 12.0.0.1 24//设置默认IP地址

[Huawei]ip route-static0.0.0.0 0.0.0.0 12.0.0.2//设置静态路由.数据包通过g0/0/0接口，跳往下一接口.

[Huawei]int g0/0/1.1//定义子端口1.1//在路由器以太网接口上划分子接口，使用以太网的子接口的ip地址作为网关，并且在子接口上封装802.1q协议.每个都可以划分为“1—4096”个子接口

[Huawei-GigabitEthernet0/0/1.1]dot1qtermination vid 10//封装dot1q

[Huawei-GigabitEthernet0/0/1.1]ipadd 192.168.10.1 24//用以太网的子接口的ip地址作为网关

[Huawei-GigabitEthernet0/0/1.1]arpbroadcast enable// 使能终结子接口的ARP广播功能

[Huawei-GigabitEthernet0/0/1.1]intg0/0/1.2//定义端口1.2

[Huawei-GigabitEthernet0/0/1.2]dot1qtermination vid 20//进行分装

[Huawei-GigabitEthernet0/0/1.2]ipadd 192.168.20.1 24//以太网口的IP地址作为网关

[Huawei-GigabitEthernet0/0/1.2]arpbroadcast enable//使能终结子接口的ARP的广播功能

路由器2

[Huawei]int g0/0/0//进入默认接口

[Huawei-GigabitEthernet0/0/0]ipadd 12.0.0.2 24

[Huawei]iproute-static 192.168.10.0 255.255.255.0 12.0.0.1

[Huawei]iproute-static 192.168.20.0 255.255.255.0 12.0.0.1//设定两条回路静态路由

Pc机1—检验

跨vlan通信成功

2：动态转换

[Huawei]nataddress-group 1//创建地址池“1”

[Huawei]nataddress-group 1 128.8.8.10 128.8.8.20//将8.10到8.20之间的地址加入到地址池1中

[Huawei]acl 2000//在1上创建号为2000的控制列表

[Huawei-acl-basic-2000]rulepermit source 192.168.10.0 0.0.0.255//只允许192.168.10.0/24段的数据包通过

[Huawei-acl-basic-2000]intg0/0/0

[Huawei-GigabitEthernet0/0/0]natoutbound 2000 address-group 1 no-pat//对访问控制列表2000上的进行地址转换（outbound），转换的地址组是address-group 1

[Huawei]intg0/0/0

[Huawei-GigabitEthernet0/0/0]undonat outbound 2000 address-group 1 no-pat

[Huawei-GigabitEthernet0/0/0]nat outbound 2000//将访问控制列表2000匹配的流量转换成该接口的IP地址作为源地址。

四：实验结果

五：实验抓取报文

分析：

上图可以看出，请求客户机向服务端发送一个icmp的请求报文，在第47处的数据包由192.168.20.20 处发出，通往12.0.0.2目的处。而又在第48处的数据包和47处的数据包是一样的，这就证明的了在第47 处的数据包发送之后，目的处收到数据包之后并没有回包。而在第49处的数据包就开始回包了，由12.0.0.2处发出，通往192.168.20.20处。

分析：

在第11处发送的一条ARP广播报文（broadcast ARP）经过了12.0.0.1处，然后将报文告诉并发给了12.0.0.2处。在这个报文中我们可以看到它的数据的转发原理及路径！