华为验证NAPT,Easy IP,NATServer,以及Easy IP,NATServer混合使用

一、网络拓扑图

二、实验步骤:
1、搭建拓扑图,规划好内网和外网的IP,以及PC机的IP地址和网关。

2、按照上图配置好路由器上的IP,以及PC机的IP和路由,并在内网路由上配置一条通往外网的默认路由条目。
3、验证PC1与PC2能否互通

由上图可知,外网没有配置去往192.168.1.0网段的路由,所以是ping不通的
4、配置NAPT,实现内网与外网的通信。配置命令如下:
[neiwang]acl 2000 //配置ACL 2000
[neiwang-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 //配置属于192.168.1.0网段的流量允许通过
[neiwang-acl-basic-2000]quit //退回系统视图
[neiwang]nat address-group 1 192.168.2.3 192.168.2.3 //配置NAT地址组
[neiwang]interface GigabitEthernet 0/0/1 //进入内网数据出端口 GigabitEthernet 0/0/1
[neiwang-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //匹配acl 2000规则的流量允许转换成NAT地址组的地址
验证外网PC机能否ping通外网PC机,外网PC机能否ping通内网




由上图可知NAPT可以实现内网上网,但外网无论直接访问内网地址,还是访问NAT转换的地址,都无法访问到内网。
5、清除以上NAT配置信息,配置Easy IP,命令如下:
[neiwang]acl 2000 //配置ACL 2000
[neiwang-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 //配置属于192.168.1.0网段的流量允许通过
[neiwang]interface GigabitEthernet 0/0/1 //进入内网数据出端口 GigabitEthernet 0/0/1
[neiwang-GigabitEthernet0/0/1]nat outbound 2000 //配置符合ACL 2000的流量NAT转换成端口的IP
验证:内网能否ping同外网,并抓包查看内网通过哪个地址访问外网




由上图可知,无论内网哪台PC机访问外网,都是通过内网数据出端口的IP访问外网。
验证外网可否ping通内网,并在内网入端口进行抓包


通过以上结果,得出外网不能ping通内网,只能访问内网出端口的IP
6、清除以上NAT配置,配置NAT Server,命令如下:
[neiwang]interface GigabitEthernet 0/0/1 //进入内网数据出端口 GigabitEthernet 0/0/1
[neiwang-GigabitEthernet0/0/1]nat server global 192.168.2.3 inside 192.168.1.1
[neiwang-GigabitEthernet0/0/1]nat server global 192.168.2.4 inside 192.168.1.2
[neiwang-GigabitEthernet0/0/1]nat server global 192.168.2.5 inside 192.168.1.3
以上3条命令是将公网地址转换成对应的内网地址,而且是每个内网配置一个公网地址
验证内网与外网能否实现互通,外网ping内网的时候在内网路由GigabitEthernet0/0/0处抓包






通过以上数据分析,NATServer可以实现上网,同时外网同NAT转换的对应公网地址,可以访问内网,在经过内网路由时,自动按照NAT地址转换列表,转换成内网地址。
7、清除以上NAT配置命令,在交换机上添加一台server,外网路由器上添加一台client
通过NAT Server和Easy IP实现内网可以上网,外网仅可以登录内网服务器。
server和client配置如下:


配置命令如下:
[waiwang]interface GigabitEthernet 0/0/2 //进入外网路由GigabitEthernet 0/0/2
[waiwang-GigabitEthernet0/0/2]ip address 192.168.4.254 24 //配置client网关
[neiwang-GigabitEthernet0/0/1]nat outbound 2000 //配置符合ACL 2000的流量NAT转换成端口IP
[neiwang-GigabitEthernet0/0/1]nat server protocol tcp global 192.168.2.3 8080 in
side 192.168.1.4 80 //配置访问公网192.168.2.3 8080端口时,NAT转换成192.168.1.4 80端口

验证:内网PC机访问外网能否ping通,外网访问内网能否ping通,外网client能否访问内网server http




外网访问内网服务器的时候,在内网路由GigabitEthernet0/0/0处抓包

综合以上数据,可知内网都可以访问公网,公网不能访问内网,但是可以通过另一个公网地址的访问内网的http服务器。

综上:通过Easy IP实现端口IP转换,NATServer可以实现静态NAT转换,且可以控制只允许某些外网端口可以连接内网服务器,通过Easy IP,NATServer实现内网访问外网的同时,外网通过另一个公网地址可以访问到内网的http,ftp,telnet等服务。

原文地址:http://blog.51cto.com/13725021/2134658

时间: 2024-08-30 11:30:41

华为验证NAPT,Easy IP,NATServer,以及Easy IP,NATServer混合使用的相关文章

【华为OJ】【075-判断两个IP是否属于同一子网】

[华为OJ][算法总篇章] [华为OJ][075-判断两个IP是否属于同一子网] [工程下载] 题目描述 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据. 子网掩码与IP地址结构相同,是32位二进制数,其中网络号部分全为"1"和主机号部分全为"0".利用子网掩码可以判断 两台主机是否中同一子网中.若两台主机的IP地址分别与它们的子网掩码相"与"后的结果相同,则说明这两台主机在同一子网中. 示例: IP地址 192.168.0.

华为ensp实验拓扑一熟悉常用的IP相关命令拓扑

实验编址 打开R1的命令行界面,默认是用户视图,在用户视图下,用户可以完成查看运行状态和统计信息等功能. <Huawei> 路由器主机名默认是Huawei 更改主机名要先进入系统视图 <Huawei>system-view [Huawei] [Huawei]sysname R1 输完以后退出当前模式 [R1]quit 保存配置用sav <R1>save <R1>save The current configuration will be written to

[华为机试练习题]34.识别有效的IP地址和掩码并进行分类统计

题目 描述: 请解析IP地址和对应的掩码,进行分类识别.要求按照A/B/C/D/E类地址归类,不合法的地址和掩码单独归类. 所有的IP地址划分为 A,B,C,D,E五类 A类地址1.0.0.0~126.255.255.255; B类地址128.0.0.0~191.255.255.255; C类地址192.0.0.0~223.255.255.255; D类地址224.0.0.0~239.255.255.255: E类地址240.0.0.0~255.255.255.255 私网IP范围是: 10.0

自己家用电脑做站点server,解决动态IP、无公网IP、80port被封、HTTP被屏蔽

动态IP.无公网IP.80port被封.HTTP被屏蔽,这些问题都是自己的server做站点服务,easy遇到面对的问题.当出现这些问题时.能够利用当前的开放网络资源一一解决. 解决原理分析: 动态IP. 公网IP是动态变化的,利用动态域名解析,固定域名. 无公网IP.利用80port映射软件辅助,将内网站点应用映射到外网域名. 80port被封.相同可利用80port映射解决. HTTP被屏蔽.须要将WEB站点数据转换成非HTTP数据,或先加密,再公布站点应用. 以开放的NAT123网络辅助软

如何判断自己IP是内网IP还是外网IP

tcp/ip协议中,专门保留了三个IP地址区域作为私有地址,其地址范围如下: 10.0.0.0/8:10.0.0.0-10.255.255.255  172.16.0.0/12:172.16.0.0-172.31.255.255  192.168.0.0/16:192.168.0.0-192.168.255.255 使用保留地址的网络只能在内部进行通信,而不能与其他网络互连.如果要与外部通信,那么必须通过网关与外部通信,这里使用了NAT, NAPT技术就是用来保证通信的代理机制. 另外,一些宽带

DNS反射放大攻击分析——DNS反射放大攻击主要是利用DNS回复包比请求包大的特点,放大流量,伪造请求包的源IP地址为受害者IP,将应答包的流量引入受害的服务器

DNS反射放大攻击分析 摘自:http://www.shaojike.com/2016/08/19/DNS%E6%94%BE%E5%A4%A7%E6%94%BB%E5%87%BB%E7%AE%80%E5%8D%95%E5%88%86%E6%9E%90/ 简介 DNS反射放大攻击主要是利用DNS回复包比请求包大的特点,放大流量,伪造请求包的源IP地址为受害者IP,将应答包的流量引入受害的服务器. 简单对比下正常的DNS查询和攻击者的攻击方式: 正常DNS查询:源IP地址 -–DNS查询--> DN

Cisco IOS IP Service Level Agreementv (IP SLA)

Responder and Control Protocol 1.Responder内嵌在思科目标路由器中的一个组件,用来对IP SLA请求包做应答,通过对应达包添加时间戳属性,以提高测量计算的准确性.只有Cisco厂家的路由器才能作为Cisco IP Sla的Responder. 2.Control Protocol   Cisco IP Sla 利用Control message通知Responder需要监听指定端口.一旦Responder收到带有指定端口属性的Control message

关于网络中的内网IP地址和公网IP地址

公网IP和内网IP    一.先来看一下IP地址划分: A类地址:0.0.0.0------127.255.255.255 其中127.255.255.255是广播地址,不能分配 B类地址:128.0.0.0------191.255.255.255 C类地址:192.0.0.0------223.255.255.255 D类地址:224.0.0.0-----239.255.255.255 E类地址:240.0.0.0------255.255.255         你要是想看你自己机子的IP

(转)如何使VMware ip与本机ip处于同一网段

如何使VMware ip与本机ip处于同一网段 原创 2017年05月08日 17:28:56 1287 首先确认本机ip  可以看出一下信息: 本机ip: 192.168.1.162 网关:192.168.1.1 DNS服务器:192.168.1.1 虚拟机网络适配器有两种:VMnet1 和 VMnet8. 查看虚拟机网络适配器 打开虚拟机工作台:  在目标虚拟机下右键, 选择"设置", 打开"虚拟机设置"对话框, 再选择"网络适配器" 我的电