NAT Server 的原理与配置

实验名称：NAT Server 的原理与配置

实验拓扑：

实验需求：
   1.基于拓扑所示，配置设备之间的互联IP地址；
   2.仅仅允许内网中的 10.1.1.0/24 的主机访问外部网络；
   3.允许外网用户访问内网主机 server-1 提供的 web 服务；
   4.允许运营商路由器可以远程管理访问内网 SW1 ，密码是：HCIE
      交换机的管理IP地址： 10.1.1.11/24
   5.公司申请购买的公网IP地址为：110.1.1.1/24 和 110.1.1.3/24 ；
   
配置思路：
   1.配置企业内网；
       -配置Server-1
          @配置IP地址/网关地址；
          @配置 web 服务；
       -配置交换机
          @创建 vlan 10
          @接口放入 vlan 10
          @配置交换机的管理IP地址；
          @配置交换机的远程管理，密码为HCIE
       -配置路由器
          @配置接口IP地址
          @配置默认路由
          @配置NAT
             *确保内网访问外网，配置：EasyIP
             *确保外网访问内网，配置：NAT server
   2.配置运营商网络；
       -配置路由器 R2接口IP地址；
       -配置 client-1 的IP地址 ；
       
   3.验证与测试
       
================================================================
配置命令：

    1.SW1的配置：
    
        undo terminal monitor
        system-view
        sysname SW1
        
        vlan 10
          quit
          
        interface gi0/0/1
          port link-type access
          port default vla 10
          quit
        interface gi0/0/2
          port link-type access
          port default vla 10
          quit           
      
        interface vlanif 10
           ip address 10.1.1.11 24
           quit
           
        user-interface vty 0 4
          authentication-mode password   
             // 配置 VTY 的认证模式为 “密码认证”
          set authentication password cipher HCIE
             // 设置 VTP 的远程访问密码是 “HCIE”
          user privilege level  15
             // 设置登录到 VTY 下面的用户的权限级别是 15 ；
            
        ip route-static 0.0.0.0  0.0.0.0  10.1.1.254
        
          // 配置该默认路由的主要目的是为了能够让
              SW 返回 R2 发送的 telnet 的请求的回应报文；
              
            该默认路由，类似于 PC/Server 上的默认网关IP地址；
          
   
    R1:

            为了让内网中的 10.1.1.0/24 网段内的
             所有主机都可以访问外网，配置 Easy IP：
   
       
       Easy IP：
          acl 2000
            rule 10 permit source 10.1.1.0  0.0.0.255
            quit
            
          interface gi0/0/1  （配置 Easy ip）
             nat outbound 2000
  
   
      NAT server :
       interface gi0/0/1 -->连接外网的出接口；
          nat server protocol tcp global 110.1.1.3 80
                                  inside 10.1.1.3  80
          //当外网用户直接访问 110.1.1.3 的 TCP 80 端口
            的时候，
            在边界设备 R1 上，
            直接将 110.1.1.3 的 80 端口，
            转换为
            10.1.1.3 的 80 端口，
            从而访问 Server-1 上面的 HTTP 服务；
 
           nat server protocol tcp global 110.1.1.3 99
                                  inside 10.1.1.11 23

          //当外网用户直接访问 110.1.1.3 的 TCP 99 端口
            的时候，
            在边界设备 R1 上，
            直接将 110.1.1.3 的 99 端口，
            转换为
            10.1.1.11 的 23 端口，
            从而访问 SW1 上面的 Telnet 服务；
            
   验证与测试：
        测试 web 服务：
           client-1 :
               http:// 110.1.1.3   --->后面不需要跟端口80
               
     

        
            
        测试 telnet  服务：
           R2 :
            telnet 110.1.1.3 99
               // 在 R2 上面远程访问 110.1.1.3 的
                  端口 99 ；
 

telnet 110.1.1.3 99
  Press CTRL_] to quit telnet mode
  Trying 110.1.1.3 ...
  Connected to 110.1.1.3 ...


Login authentication


Password:
Info: The max number of VTY users is 5, and the number
      of current VTY users on line is 1.
      The current login time is 2019-10-13 11:40:51.

NAT Server 配置：(端口映射)
    在数据包的出口上 NAT Server ,本质上，是一个静态NAT条目；
    只不过在公网IP地址的基础上，添加了“端口号”，用于区分不同的内网主机。
inteface gi0/0/1
     nat server protocol tcp 110.1.1.3 80 inside 10.1.1.2 80
       //如果外部用户访问110.1.1.3 的 80 端口，则会转发到内网
       IP地址为10.1.1.2的 80 端口，即访问的是该设备的web 服务。

nat server protocol tcp global 110.1.1.3 99  inside 10.1.1.11 23
       //如果外部用户 通过 telnet 协议访问 110.1.1.3 的 99 端口，
       则直接远程登录到内部设备 SW1 上 ，密码是 HCIE .