NAT地址转换(地址池)

地址池方式NAT地址转换

1 功能需求及组网说明

202.0.0.2/24 192.0.0.1/24 192.0.0.2/24 202.0.0.3/24 202.0.1.2/24 202.0.1.3/24

『配置环境参数』

路由器RTA模拟整个企业网，用另一台路由器RTB模拟外部网；

RTA与SWA相连，RTB与SWB相连;

RTA与RTB通过串口互连；

PCB为企业网内FTP服务器；

路由器与主机IP地址如上图所示。

『组网需求』

学习配置地址转换功能，灵活设计防火墙；

使用地址池方转换，转换时可以任意从地址池中选取一个地址进行转换；

允许PCA访问外部网络，允许内部服务器PCB访问外部网络，禁止所有包通过；

允许特定外部主机PCC访问内部服务器PCB，禁止其他外部用户访问内部服务

器。

2 数据配置步骤

【RTA路由器配置】

<RTA>

<RTA>system-view

[RTA]interface GigabitEthernet 0/0

[RTA-GigabitEthernet0/0]ip address 202.0.0.1 24

[RTA-GigabitEthernet0/0]quit

[RTA]interface Serial 1/0

[RTA-Serial1/0]ip address 192.0.0.1 24

[RTA-Serial1/0]quit

[RTA]firewall enable //启动防火墙功能

[RTA]firewall default permit

[RTA]nat address-group 0 192.0.0.3 192.0.0.67

[RTA]acl number 3000 match-order auto

[RTA-acl-adv-3000]rule 0 permit ip source 202.0.0.2 0

[RTA-acl-adv-3000]rule 1 permit ip source 202.0.0.3 0

[RTA-acl-adv-3000]rule 2 deny ip

[RTA-acl-adv-3000]rule 3 deny tcp source 202.0.0.3 0 destination 202.0.1.3 0

[RTA-acl-adv-3000]quit

[RTA]acl number 3001 match-order auto

[RTA-acl-adv-3001]rule 0 permit ip source 202.0.1.2 0 destination 192.0.0.1 0

[RTA-acl-adv-3001]rule 1 deny ip destination 192.0.0.1 0

[RTA-acl-adv-3001]quit

[RTA]interface GigabitEthernet 0/0

[RTA-GigabitEthernet0/0]firewall packet-filter 3000 inbound

[RTA-GigabitEthernet0/0]quit

[RTA]interface Serial 1/0

[RTA-Serial1/0]firewall packet-filter 3001 inbound

[RTA-Serial1/0]nat outbound 3000 address-group 0

[RTA-Serial1/0]nat server protocol tcp global 192.0.0.1 ftp inside 202.0.0.3 ftp

[RTA-Serial1/0]

[RTA]rip //启动路由协议

[RTA-rip-1]network 192.0.0.0

[RTA-rip-1]network 202.0.0.0

[RTA-rip-1]quit

[RTA]

【RTB路由器配置】

<RTB>

<RTB>system-view

[RTB]interface GigabitEthernet 0/0

[RTB-GigabitEthernet0/0]ip address 202.0.1.1 24

[RTB-GigabitEthernet0/0]quit

[RTB]interface Serial 1/0

[RTB-Serial1/0]ip address 192.0.0.2 24

[RTB-Serial1/0]quit

[RTB]rip

[RTB-rip-1]network 202.0.1.0

[RTB-rip-1]network 192.0.0.0

[RTB-rip-1]quit

[RTB]

【补充说明】

1. 系统缺省情况下为禁止防火墙（firewall disable），需要使用命令

“firewall enable”来使能防火墙功能

2. 防火墙缺省过滤方式为允许通过（permit），可以通过“firewall

default deny”修改为禁止通过

3. 上面的配置中以地址池的方式完成了NAT地址转换功能

4. 本实验中配置地址池时是使用的开始地址和结束地址，所以地址池中的地址

需要且必须连续，且最多只能定义64个地址。

【测试验证】

1.

2.

3.

4.

通过disp nat all查看地址转换表； PCA可以与PCC及PCD相互ping通； PCB上提供ftp服务； PCC可以访问ftp服务器。