注:在华为模拟器(eNSP)上做的实验
其中,在内网实验:Vlan/DHCP/VWeb/HTTP,在外网实验:动态PAT/静态NAT
一、拓扑结构
1. 核心设备与连接
|-------------------------|-------------------------|---------------------|---------------|---------------|
| 设备 | 接口 | 连接对象 | VLAN/IP | 角色 |
| LSW2 / LSW3 | Ethernet 0/0/1-2 | PC1/PC4 | VLAN10/VLAN20 | 用户VLAN划分 |
| | Ethernet 0/0/3 | DHCP中继 | VLAN ALL | |
| | Ethernet 0/0/4 | AR5 | VLAN8 | Telnet |
| LSW4 | GE-0/0/1 | DHCP中继(三层交换机) | VLAN ALL | 网关/路由核心 |
| | GE-0/0/2-4 | AR1、Server1、Server2 | VLAN100 | DHCP、HPPT、DNS |
| DHCP中继(三层交换机) | GE-0/0/1 | LSW4 | VLAN ALL | 连接服务器区域 |
| | Ethernet 0/0/2-3 | LSW2、LSW3 | VLAN ALL | |
| | Ethernet 0/0/4 | AR2 | VLAN9 | 连接边界路由器 |
| AR2边界路由器 | GE-0/0/0(192.168.200.1) | DHCP中继 | VLAN9 | 连接内网 |
| | GE-0/0/1(55.0.0.1) | AR4 | | 连接外网 |
2. IP地址
SW1网关
vlan10:192.168.10.1 24
vlan20:192.168.20.1 24
vlan100:192.168.100.1 24
vlan8:192.168.8.1 24
vlan9:192.168.200.2 24
DHCP接口:192.168.100.2
DNS:192.168.100.3
HPPT:192.168.100.4
Telnet接口:192.168.8.254 24
Lsw3:vlan8接口:192.168.8.2 24
Client3:56.0.0.2 24
Client1:192.168.20.253 24
二、配置逻辑
1.其中的DHCP中继工作流程
2.其中的NAT、PAT原理
NAT/PAT核心作用:1.解决IPv4地址枯竭:将私有IP(如 192.168.x.x)映射为公有IP访问互联网。2.隐藏内网拓扑:外部网络只能看到NAT设备的公网IP,无法直接访问内网主机。
i. 动态NAT:只转换IP地址,没有节省地址。路由器的 NAT地址转换表由内网设备上公网
的数据流触发形成的。
ii. 动态PAT:转换IP地址和端口,节省公网IP地址。路由器的 NAT地址转换表由内网设备
上公网的数据流触发形成的。
iii. 静态NAT:只转换IP地址,没有节省地址。路由器的 NAT地址转换表由管理员手工固定。
iv. 静态PAT:转换IP地址和端口,节省公网IP地址。路由器的 NAT地址转换表由管理员手工固定。
三、内网设备配置(Vlan、DHCP、Telnet、HPPT、DNS)
-
LSW3/LSW2交换机:
vlan batch 10 20 8
interface Eth0/0/1
port link-type access
port default vlan 10
interface Eth0/0/2
port link-type access
port default vlan 20
interface Eth0/0/3 # 连接DHCP中继
port link-type trunk
port trunk allow-pass vlan all
interface Eth0/0/4
port link-type access
port default vlan 8
interface vlan 8 # 连接Telnet
ip address 129.168.8.2 24
user-interface vty 0 4
authentication-mode aaa
quit
aaa
local-user huawei password cipher huawei #用户密码都是:huawei
local-user huawei sservice-type telnet
local-user huawei privilege level 15 #设置最高权限15
#其中user privilege level 15,为整个链路全设置权限15
ip route-static 0.0.0.0 0 192.168.8.1 #网关用默认路由
-
LSW1:
vlan batch 10 20 100 200 8 9
port-group group-member g0/0/0 to g0/0/3 #同时配置多个一样接口时#或写成port-group group-member g0/0/0 g0/0/2 g0/0/3port link-type trunk
port trunk allow-pass vlan all
quit
interface GigabitEthernet 0/0/4
port link-type access
port default vlan 9interface vlan 10
ip address 129.168.10.1 24
interface vlan 20
ip address 129.168.20.1 24
interface vlan 100
ip address 129.168.100.1 24
dhcp enable
interface vlan 10
dhcp select relay
dhcp relay server-ip 192.168.100.2
interface vlan 20
dhcp select relay
dhcp relay server-ip 192.168.100.2
interface vlan 8
ip address 129.168.8.1 24
interface vlan 9
ip address 129.168.200.2 24
quitip route-static 0.0.0.0 0 192.168.200.1
-
LSW4 :
vlan 100
quit
port-group group-member g0/0/2 to g0/0/4
port link-type access
port default vlan 100
interface Ethernet 0/0/1
port link-type trunk
port trunk allow-pass vlan all -
AR1:
interface GigabitEthernet 0/0/0
undo shutdown
ip address 192.168.100.2 24
quit
dhcp enable
ip pool vlan10
network 192.168.10.0 mask 24
gateway-list 192.168.10.1
dns-list 192.168.100.3
ip pool vlan20
network 192.168.20.0 mask 24
gateway-list 192.168.20.1
dns-list 192.168.100.3
ip route-static 192.168.10.0 24 192.168.100.1
ip route-static 192.168.20.0 24 192.168.100.1
int g0/0/0
dhcp select global -
AR5:
interface GigabitEthernet 0/0/0
ip address 192.168.8.254 24
quit
ip route-static 0.0.0.0 0 192.168.8.1 -
Server2(DNS服务器)
- Server1(HPPT服务器),选文件夹(需要有文件)
四、外网设备配置(动态PAT/静态NAT)
-
AR2:
interface GigabitEthernet 0/0/0
ip address 192.168.200.1 24
interface GigabitEthernet 0/0/1
ip address 55.0.0.1 24
quit
ip route-static 0.0.0.0 0.0.0.0 55.0.0.2
ip route-static 192.168.10.0 24 192.168.200.2
ip route-static 192.168.20.0 24 192.168.200.2
ip route-static 192.168.100.0 24 192.168.200.2 -
AR4:
interface GigabitEthernet 0/0/0
ip address 55.0.0.2 24
interface GigabitEthernet 0/0/1
ip address 56.0.0.1 24
1. 动态PAT配置(客户端访问客户端情况下)。
#动态PAT方法1 出接口转换(1对1)
acl 2000
rule 10 permit source 192.168.10.0 0.0.0.255
rule 20 permit source 192.168.20.0 0.0.0.255
quit
interface GigabitEthernet 0/0/1
nat outbound 2000
quit
dis nat session protocol icmp #查看nat转换
#动态PAT方法2 地址池转换(多对一)
acl 2000
rule 10 permit source 192.168.10.0 0.0.0.255
rule 20 permit source 192.168.20.0 0.0.0.255
quit
nat address-group 1 55.0.0.5 55.0.0.8
interface GigabitEthernet 0/0/1
nat outbound 2000 address-group 1 #如果后面加no-pat就成nat了.对比Cisco模拟器加overload成Pat
dis nat session protocol icmp #查看nat转换2. 静态NAT(外网服务器访问内网服务器情况下)
#静态NAT (1对1)
interface GigabitEthernet 0/0/1
nat static global 55.0.0.9 inside 192.168.100.33. 静态PAT(外网服务器访问内网服务器情况下)
(1)端口转换端口(外网服务器访问内网服务器情况下)
#静态NAT (1对1) 正常写会失败,由于模拟器问题,端口不转换
# interface GigabitEthernet 0/0/1
# nat static protocol tcp global 55.0.0.9 8888 inside 192.168.100.3 80
#由于端口不转换,于是我们直接写80,不换端口写
interface GigabitEthernet 0/0/1
nat static protocol tcp global 55.0.0.9 80 inside 192.168.100.4 80
# 55.0.0.9为公网地址 192.168.100.3为内网服务器地址(2)域名转换端口,外网DNS服务器访问内网服务器
在(1)基础上,把Client域名访问器写好,给Server3配置:
五、实验验证步骤
1. 内网实验:Vlan、DHCP、Telnet、HTTP、DNS
(1)Vlan实验连通性测试 ,vlan20的Client分别去ping vlan10 PC1、vlan20 PC4。(都通因为vlan间没有设置ACL)
(2)1/2服务区域连通性测试
Client不支持DHCP,Client配置需要手动给地址、网关、域名,然后去ping DHCP、HPPT、DNS服务器
2/2 Client访问HTTP服务(Web服务器)
(3)DHCP、DNS验证
在PC通过DHCP获取IP,并点击应用,然后在命令行查看是否获取到
(4)Telnet服务验证,AR5远程连接LSW3(输入用户、密码)
2. 外网实验:动态PAT/静态NAT
(1) 内网Client1去访问外网Client3,可以看出成功ping通,并在AR2看到PAT转换。
动态PAT方法1 出接口转换(1对1) 动态PAT方法2 地址池转换(多对一)
(2)静态NAT,外网Client3访问内网Web服务器,抓包如下:
(3)静态PAT
i. 端口转换端口(外网服务器访问内网服务器情况下):
正常写,结果失败了,然后抓包(一个入口一个出口),可以看出端口没转换,还是8888 端口,这是模拟器问题。
于是直接写80端口,不换端口写,成功了
ii. 域名转换端口,外网DNS服务器访问内网服务器
六、关键命令
ping [目标IP] #测试连通性
undo info-center enable #关闭日志中心功能,防止消息覆盖命令
display current-configuration #显示设备当前运行的所有配置(含全局、接口、协议等)
display this #显示当前配置视图下的生效命令
display ip routing-table #显示设备IPv4路由表。
display user-interface #显示用户登录会话信息。
display ip interface brief #查看所有接口的IP状态摘要。
dis nat session protocol icmp #显示基于ICMP协议的NAT会话表项。
save #保存当前配置到启动文件。
注意:eNSP设备需要先save保存再保存拓扑图,有时需要多点一下回车键
建议:在思科Cisco、华为eNSP或H3C CloudLab中复现拓扑,重点关注中继设备与路由器间的路由可达性及交换机Trunk口配置。实际配置时需注意不同厂商命令差异
附:思科设备对应命令参考
| 功能 | 华为 eNSP 命令 | Cisco IOS 命令 | |
|---|---|---|---|
| 关闭日志消息 | undo info-center enable |
no logging console |
|
| 查看运行配置 | display current-configuration |
show running-config |
|
| 查看当前视图配置 | display this |
`show running-config | section <视图>` |
| 查看路由表 | display ip routing-table |
show ip route |
|
| 查看用户会话 | display user-interface |
show users |
|
| 查看接口IP摘要 | display ip interface brief |
show ip interface brief |
|
| 查看NAT会话 | display nat session protocol icmp |
show ip nat translations protocol icmp |
|
| 保存配置 | save |
write memory 或 copy run start |
|
| 查看ARP表 | display arp |
show arp |
|
| 接口状态诊断 | display interface GigabitEthernet0/0/1 |
show interfaces GigabitEthernet0/1 |