网络安全工程(实验7)PNAT动态端口地址转换(删除no-pat)

 

 

 

实验目的:使用传统的动态NAT使PC1与PC2能够与Server1通信

SW1配置:

vlan 10 

interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/2
port link-type access
port default vlan 10
#
interface GigabitEthernet0/0/3
port link-type access
port default vlan 10

AR1的配置:

创建acl,抓取感兴趣的流量:

acl number 2000 
rule 10 permit source 10.1.1.1 0.0.0.0
rule 20 permit source 10.1.1.2  0.0.0.0

配置NAT地址组(包含用于转换的公网IP)

nat address-group 1 110.1.1.3 110.1.1.4
#
interface GigabitEthernet0/0/0
ip address 10.1.1.254 255.255.255.0 
#
interface GigabitEthernet0/0/1
ip address 110.1.1.1 255.255.255.0

配置NAT转换条目(将acl与NAT地址组结合调用)
nat outbound 2000 address-group 1 

配置静态路由:

ip route-static 0.0.0.0 0.0.0.0 110.1.1.2

AR2的配置:

interface GigabitEthernet0/0/0
ip address 110.1.1.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
ip address 200.1.1.254 255.255.255.0

 

验证与测试:

PC1 ping Server1 :ping 200.1.1.1

 

 

 

PC2 ping Server1 :ping 200.1.1.1

 

 

当PC1:ping 200.1.1.1 -t  时:

 

 

 

 

 

 在AR1上输入命令 display nat session all 显示:

 

 

 

通过wireshark抓包分析得:

 

 

 利用这种删除no-pat的动态NAT,不丢包了

 

(以上这种动态NAT还可以继续进行优化)

    仅仅需要一个公网ip即<见下一篇文章>

posted @ 2022-01-11 20:58  Stary_tx  阅读(379)  评论(0)    收藏  举报