NAT—静态pat
一:实验拓扑
二:实验要求
1:利用静态pat技术实现路由对交换机的远程控制
2:熟练掌握pat技术的工作原理
3:学会换位思考,思考不同远程控制的方法
4:熟练使用其命令,及理解。
三:实验目标
1:实现路由器以输入密码的方式远程控制交换机
2:实现路由器以输入用户名和密码的方式远程控制交换机。
3:实现路由器R2对SW1的控制,利用跳板技术。
四:实验步骤
一:路由器对交换机1的远程控制
1:路由器1
<Huawei>system-view
[Huawei]sysname 1//更换路由名称
[1]int g0/0/0//进入默认接口
[1-GigabitEthernet0/0/0]ip add192.168.10.1 24 //设置默认ip,为后面pc机的网关
[1]int g0/0/1//进入默认接口
[1-GigabitEthernet0/0/1]ip add 12.0.0.124 //设置默认ip
[1]ip route-static 0.0.0.00.0.0.0 12.0.0.2 //设定默认静态路由,实现r1对r2的互通
路由器2
Huawei>sys
<Huawei>system-view
Enter system view, return userview with Ctrl+Z.
[Huawei]sys
[Huawei]sysname 2//跟换路由名称
[2]int g0/0/1//进入默认接口
[2-GigabitEthernet0/0/1]ip add 12.0.0.224//设定默认ip
交换机1
<Huawei>system-view
[Huawei]sysname sw1//跟换交换机的名称
[sw1]int vlan 1 //进入vlan 1 --//任何交换机中都会有一个默认vlan 1
[sw1-Vlanif1]ip add 192.168.10.10024 //设定交换机的默认ip
[sw1]ip route-static 0.0.0.00.0.0.0 192.168.10.1 //设定静态路由—实现交换机1于路由1的互通
[sw1]user-interface vty 0 4 //设定虚拟接口—由0-4的五个接口,允许最多同时5个默认接口同时管理
[sw1-ui-vty0-4]setauthentication password cipher abc123//设置身份验证密码密码abc123—即普通用户的密码
[sw1]super password cipher123abc//超级密码密码123 abc—即超级管理员的密码
路由器1
<1>telnet 192.168.10.100
Press CTRL_] to quit telnet mode
Trying 192.168.10.100 ...
Connected to 192.168.10.100 ...//指正在尝试远程控制默认接口的交换机
Login authentication
Password: //输入密码处,
Info: The max number of VTYusers is 5, and the number
of current VTY users on line is 1.
The current login time is 2015-05-1110:43:17.//指可以远程控制vty数有5个,且此控制vty的使用者为1,当前控制的时间为…..
<sw1>q//进入到交换机
[1]int g0/0/1 //进入到默认接口
[1-GigabitEthernet0/0/1]natserver protocol tcp global current-interface 23 inside 192.168.10.100 23 // nat服务协议tcp端口号为23.将192.168.10.100映射到23的端口号中,即交换机1.100后面的端口号为23 指的是Telnet的默认端口为23
Warning:The port 23 iswell-known port. If you continue it may cause function failure.//端口号23是默认的端口.加入你继续的话可能会导致数据丢失。
Are you sure to continue?[Y/N]:y//我们确认继续
路由器2
<2>telnet 12.0.0.1//我们已经将交换机1的ip映射到r1上了,且映射的默认端口为23,那么我们只需要远程控制r1即可。注:通常情况下.telnet的默认端口为23是不用写出来了。
Press CTRL_] to quit telnet mode
Trying 12.0.0.1...
Connected to 12.0.0.1... //指正在尝试远程控制默认接口的交换机
Login authentication
Password: //指输入密码处.且密码不显示
Info: The max number of VTYusers is 5, and the number
of current VTY users on line is 1.
The current login time is 2015-05-1110:44:16.
<sw1>q //说明已经进入到交换机1中
二:路由器以用户名密码的方式远程控制交换机
[sw1]user-interface vty 0 4 //设定虚拟接口—由0-4的五个接口,允许最多同时5个默认接口同时管理
[sw1-ui-vty0-4]authentication-modeaaa//身份验证模式aaa
[sw1]aaa
[sw1-aaa]local-user testpassword cipher abc123//指用户名为test 其用户的登陆密码为abc123
Info: Add a new user.
[sw1-aaa]local-user test password cipher abc123 privilegelevel 3//本地用户测试密码密码abc123特权三级—一级二级为低级.所给用户的权限相较于三级药低的多
查看下三级用户的权限
[sw1-aaa]local-user testservice-type telnet//指的是:本地用户测试服务型telnet。即指让命令生效-开启远程控制--如果没有这句命令那么以上的命令是不生效的。
R1
这的R1远程控制交换机1的
R2
三:路由器对交换机2的远程控制
交换机2
<Huawei>system-view
Enter system view, return userview with Ctrl+Z.
[Huawei]sy
[Huawei]sysname sw2
[sw2]int vlan 1
[sw2-Vlanif1]ip add192.168.10.200 24
[sw2]ip route-static 0.0.0.00.0.0.0 192.168.10.1
[sw2-ui-vty0-4]setauthentication password cipher abc456//设置其用户密码为abc456
[sw2]super password cipher456abc//设置的超级管理员密码
路由器1
以上是指r1远程控制交换机2
[1]int g0/0/1
[1-GigabitEthernet0/0/1]natserver protocol tcp global current-interface 2323 inside 192.168.10.200 23 //设定其nat服务协议,端口号为2323,将默认ip 192.168.10.200映射到默认端口2323上
路由器2
<2>telnet 12.0.0.12323//这里远程控制r1,默认端口号为2323,因为telnet的默认端口号为23.所以当要远程控制端口号不是为23的交换机时.要将端口号2323加入,以免进入端口号为23的交换机。
Press CTRL_] to quit telnet mode
Trying 12.0.0.1...
Connected to 12.0.0.1...
Login authentication
Password:
Info: The max number of VTYusers is 5, and the number
of current VTY users on line is 1.
The current login time is 2015-05-1110:48:48.
<sw2>q//成功远程控制交换机2
Info: The max number of VTYusers is 5, and the number
of current VTY users on line is 0.
The connection was closed by the remote host
四:路由器以跳板的方式控制交换机
由于一个网络中不可能只有两台路由器,如果每次都将要控制的交换机的默认ip都映射到路由的接口上,那么会大大增加工作量,也会大大增加难度,。因此.我们要使用跳板的方式,并不将每个交换机都映射到路由器上,而是以一个已经映射的路由器跳板到另一个需要控制的交换机上----------这个方法叫做跳板
<2>telnet 12.0.0.1//先远程控制交换机1
Press CTRL_] to quit telnet mode
Trying 12.0.0.1...
Connected to 12.0.0.1...
Login authentication
Username:test
Password: //abc123
Info: The max number of VTYusers is 5, and the number
of current VTY users on line is 1.
The current login time is 2015-05-1114:33:30.
<sw1>telnet192.168.10.200//然后我们在远程控制的交换机上再远程控制另一个交换机
Trying 192.168.10.200 ...
Press CTRL+K to abort
Connected to 192.168.10.200 ...
Login authenticatio
<sw1>
<sw1>telnet192.168.10.200
Trying 192.168.10.200 ...
Press CTRL+K to abort
Connected to 192.168.10.200 ...
Login authentication
Password: //abc456
Info: The max number of VTYusers is 5, and the number
of current VTY users on line is 1.
The current login time is 2015-05-1114:34:11.
<sw2> //成功远程控制交换机2
总结
端口多路复用(Port addressTranslation,PAT)
通过使用端口多路复用,可以达到一个公网地址对应多个私有地址的一对多转换。在这种工作方式下,内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,来自不同内部主机的流量用不同的随机端口进行标示,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。