From 6c9fb28c2f2cacb2019bc75b2553ef42a0108137 Mon Sep 17 00:00:00 2001 From: Noriu Date: Mon, 2 Sep 2024 12:01:41 +0800 Subject: [PATCH] =?UTF-8?q?2024=E5=B9=B49=E6=9C=882=E6=97=A5=2012:01:44?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- B. 第二阶段/拓扑练习/0902_NAPT.md | 187 +++++++++++++++++++++++++++ B. 第二阶段/拓扑练习/0902_动态NAT.md | 94 ++++++++++++++ 2 files changed, 281 insertions(+) create mode 100644 B. 第二阶段/拓扑练习/0902_NAPT.md create mode 100644 B. 第二阶段/拓扑练习/0902_动态NAT.md diff --git a/B. 第二阶段/拓扑练习/0902_NAPT.md b/B. 第二阶段/拓扑练习/0902_NAPT.md new file mode 100644 index 0000000..a2f1295 --- /dev/null +++ b/B. 第二阶段/拓扑练习/0902_NAPT.md @@ -0,0 +1,187 @@ +# NAPT + +![image-20240902111523228](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240902111523228.png) + +### 一、IP & Routing + +- **PC、Client、Server** + +- **AR1** + + ``` + [AR1]int g0/0/0 + [AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 + [AR1-GigabitEthernet0/0/0]int g0/0/1 + [AR1-GigabitEthernet0/0/1]ip add 100.1.1.1 29 + [AR1]ip route-static 0.0.0.0 0 100.1.1.2 + ``` + +- **IPX-dx** + + ``` + [ISP-dx]int g0/0/0 + [ISP-dx-GigabitEthernet0/0/0]ip add 100.1.1.2 29 + [ISP-dx-GigabitEthernet0/0/0]int g0/0/1 + [ISP-dx-GigabitEthernet0/0/1]ip add 200.1.1.254 24 + ``` + +### 二、ACL + NAPT(单一公网地址) + +- **AR1** + + ``` + [AR1]acl 2000 + [AR1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255 + [AR1-acl-basic-2000]quit + [AR1]nat address-group 1 100.1.1.3 100.1.1.3 //单公网地址 + [AR1]int g0/0/1 + [AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 + ``` + + *解析:* + + > 见 `0902_动态NAT.md` + +### 三、测试【NAPT(单一公网地址)】 + +- **PC PING Server** + + ``` + PC>ping 200.1.1.1 + + Ping 200.1.1.1: 32 data bytes, Press Ctrl_C to break + From 200.1.1.1: bytes=32 seq=1 ttl=253 time=63 ms + From 200.1.1.1: bytes=32 seq=2 ttl=253 time=78 ms + From 200.1.1.1: bytes=32 seq=3 ttl=253 time=62 ms + From 200.1.1.1: bytes=32 seq=4 ttl=253 time=47 ms + From 200.1.1.1: bytes=32 seq=5 ttl=253 time=63 ms + + --- 200.1.1.1 ping statistics --- + 5 packet(s) transmitted + 5 packet(s) received + 0.00% packet loss + round-trip min/avg/max = 47/62/78 ms + ``` + +- **Client** *【success】* + + ![image-20240902113419644](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240902113419644.png) + + > 多访问几次HTTP服务 + +- **AR1** + + > [AR1]dis nat session all //显示NAT会话表 + + ``` + dis nat session all + NAT Session Table Information: + + Protocol : TCP(6) + SrcAddr Port Vpn : 192.168.1.3 520 + DestAddr Port Vpn : 200.1.1.1 20480 + NAT-Info + New SrcAddr : 100.1.1.3 + New SrcPort : 10241 + New DestAddr : ---- + New DestPort : ---- + + Protocol : TCP(6) + SrcAddr Port Vpn : 192.168.1.3 1032 + DestAddr Port Vpn : 200.1.1.1 20480 + NAT-Info + New SrcAddr : 100.1.1.3 + New SrcPort : 10243 + New DestAddr : ---- + New DestPort : ---- + + Protocol : TCP(6) + SrcAddr Port Vpn : 192.168.1.3 776 + DestAddr Port Vpn : 200.1.1.1 20480 + NAT-Info + ``` + + ***解析: (以第一块信息为例)*** + + - NAT会话表的信息提供了关于当前活跃的NAT会话的详细信息。以下是输出内容的解释: + + - **Protocol**: 传输控制协议(TCP),其协议号为6。 + + - **SrcAddr Port Vpn**: 源地址和源端口号,以及VPN实例。在这里,源地址是192.168.1.3,源端口号是520。 + + - **DestAddr Port Vpn**: 目的地址和目的端口号,以及VPN实例。这里的目的地址是200.1.1.1,目的端口号是20480。 + + 在 **NAT-Info** 部分,显示了NAT转换后的信息: + + - **New SrcAddr**: 转换后的源地址,这里是100.1.1.3,这是地址组1中配置的公网IP地址。 + - **New SrcPort**: 转换后的源端口号,这里是10241。这表明源端口号也发生了转换,这在NAT过程中是常见的,称为端口映射(Port Mapping)或端口转发(Port Forwarding)。 + - **New DestAddr** 和 **New DestPort**: 目的地址和目的端口号在NAT转换过程中通常保持不变,因此这里显示为"----"。 + + > 这意味着来自192.168.1.3的源地址和端口号520的数据包在经过NAT转换后,会使用新的源地址100.1.1.3和新的端口号10241去访问目的地址200.1.1.1的端口号20480。这种转换允许内部网络中的主机通过公网IP地址访问外部网络。 + +### 四、ACL + NAPT(复数公网地址) + +- **AR1** + + > 删除之前的配置信息 + + ``` + [AR1]int g0/0/1 + [AR1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 + [AR1-GigabitEthernet0/0/1]quit + [AR1]undo acl 2000 + [AR1]undo nat address-group 1 + ``` + +- **AR1** + + ``` + [AR1]acl 2000 + [AR1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255 + [AR1-acl-basic-2000]quit + [AR1]nat address-group 1 100.1.1.3 100.1.1.5 //复数公网地址 + [AR1]int g0/0/1 + [AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 + ``` + + *解析:* + + - `[AR1]nat address-group 1 100.1.1.3 100.1.1.5`:创建或修改编号为1的NAT地址组将包含从100.1.1.3到100.1.1.5的IP地址范围 + +### 五、测试【NAPT(复数公网地址)】 + +- **AR1** + + ``` + dis nat session all + NAT Session Table Information: + + Protocol : TCP(6) + SrcAddr Port Vpn : 192.168.1.5 264 + DestAddr Port Vpn : 200.1.1.1 20480 + NAT-Info + New SrcAddr : 100.1.1.3 + New SrcPort : 10240 + New DestAddr : ---- + New DestPort : ---- + + Protocol : TCP(6) + SrcAddr Port Vpn : 192.168.1.4 264 + DestAddr Port Vpn : 200.1.1.1 20480 + NAT-Info + New SrcAddr : 100.1.1.5 + New SrcPort : 10250 + New DestAddr : ---- + New DestPort : ---- + + Protocol : TCP(6) + SrcAddr Port Vpn : 192.168.1.3 2568 + DestAddr Port Vpn : 200.1.1.1 20480 + NAT-Info + New SrcAddr : 100.1.1.4 + New SrcPort : 10244 + New DestAddr : ---- + New DestPort : ---- + ``` + + \ No newline at end of file diff --git a/B. 第二阶段/拓扑练习/0902_动态NAT.md b/B. 第二阶段/拓扑练习/0902_动态NAT.md new file mode 100644 index 0000000..4a9ee78 --- /dev/null +++ b/B. 第二阶段/拓扑练习/0902_动态NAT.md @@ -0,0 +1,94 @@ +# 动态NAT + +![image-20240830165842097](https://picgo-noriu.oss-cn-beijing.aliyuncs.com/Images/image-20240830165842097.png) + +### 一、IP & Routing + +- **PC** + +- **AR1** + + ``` + [AR1]int g0/0/0 + [AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24 + [AR1-GigabitEthernet0/0/0]int g0/0/1 + [AR1-GigabitEthernet0/0/1]ip add 100.1.1.1 29 + [AR1]ip route-static 0.0.0.0 0 100.1.1.2 + ``` + +- **IPX-dx** + + ``` + [ISP-dx]int g0/0/0 + [ISP-dx-GigabitEthernet0/0/0]ip add 100.1.1.2 29 + [ISP-dx-GigabitEthernet0/0/0]int g0/0/1 + [ISP-dx-GigabitEthernet0/0/1]ip add 200.1.1.254 24 + ``` + +### 二、动态NAT + ACL + +- **AR1** + + ``` + [AR1]acl 2000 + [AR1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255 + [AR1-acl-basic-2000]quit + [AR1]nat address-group 1 100.1.1.3 100.1.1.5 + [AR1]int g0/0/1 + [AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat + ``` + + *解析:* + + - `[AR1]acl 2000`:创建一个编号为2000的ACL。 + - `[AR1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255`:在ACL 2000中添加一条规则,允许源IP地址为192.168.1.0/24的流量。 + - `[AR1]nat address-group 1 100.1.1.3 100.1.1.5`:创建一个NAT地址组1,包含IP地址范围100.1.1.3到100.1.1.5。 + + - `[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat`:配置NAT出口,将ACL 2000中允许的流量转换为地址组1中的IP地址,并且不进行端口映射。 + + - `nat outbound`:这是命令的关键词,用于指定接口上的NAT转换应用于出向流量,即从接口发出的流量。 + + - `2000`:这是之前配置的访问控制列表(ACL)的编号,它定义了哪些流量应该被NAT转换。在这种情况下,只有ACL 2000中定义的流量会应用NAT规则。 + + - `address-group 1`:这是指明了用于NAT转换的地址组编号。地址组是在NAT配置中预先定义的一组公网IP地址,用于替换私网IP地址。在本例中,地址组1包含了IP地址范围100.1.1.3到100.1.1.5。 + + - `no-pat`:这个参数意味着执行的是NAT的“无端口地址转换”(No Port Address Translation),也就是说,在执行NAT时不会转换端口号。通常NAT会同时转换IP地址和端口号(称为PAT或NAPT),以允许多个私网地址共享一个公网IP地址。但在这里,`no-pat`指定了只转换IP地址,不转换端口号。 + + > 不进行端口映射,*不写`no-pat`这个就是NAPT* + +### 三、测试 + +- **PC PING Server** + + ``` + PC>ping 200.1.1.1 -T + + Ping 200.1.1.1: 32 data bytes, Press Ctrl_C to break + From 200.1.1.1: bytes=32 seq=1 ttl=253 time=63 ms + From 200.1.1.1: bytes=32 seq=2 ttl=253 time=47 ms + From 200.1.1.1: bytes=32 seq=3 ttl=253 time=78 ms + Request timeout! + Request timeout! + Request timeout! + Request timeout! + Request timeout! + Request timeout! + Request timeout! + Request timeout! + Request timeout! + Request timeout! + From 200.1.1.1: bytes=32 seq=14 ttl=253 time=46 ms + From 200.1.1.1: bytes=32 seq=15 ttl=253 time=63 ms + From 200.1.1.1: bytes=32 seq=16 ttl=253 time=47 ms + Request timeout! + Request timeout! + Request timeout! + + --- 200.1.1.1 ping statistics --- + 19 packet(s) transmitted + 6 packet(s) received + 68.42% packet loss + round-trip min/avg/max = 46/57/78 ms + ``` + + \ No newline at end of file