计网：端口映射

计网：端口映射

最近做学校的计网实验弄了好久才给弄完，感觉这个实验有点麻烦，就写了这个博客分享下（可能还有错，欢迎指出）

一.题目和要求

一、任务描述

本项目之目的是在学习了解OSI/RM中网络层和传输层的基础理论基础上，利用华为设备的模拟环境eNSP，利用端口映射技术实现仅配置私有地址设备与互联网的通信。

设备要求：选择一台华为的三层交换机（S5700），并将其所有端口平均划分为四个VLAN的成员，每个VLAN分配不同网段的IP地址。在每一VLAN选择一个端口连接一台PC设备，此PC设备的IP地址属于此VLAN成员所属IP网段。要求全部IP地址选用私有地址。

拓扑图要求如下：

设备要求：按照拓扑图选用相关网络设备，完成网络环境的搭建，并配置所需参数。

任务实现要求：

1、完成路由器AR1的配置及进行验证分析；

AR1：定义ACL，配置允许的内网网段，将AR1的右侧接口配置为outbound接口。

AR1上配置一条静态默认路由，下一跳为12.2.2.254。

企业内部网ping 外网的20.1.2.2：针对AR2的左侧接口和AR1的左侧接口抓包分析。

对内网和外网源IP地址和目标IP地址的变化情况，通过抓包截图进行分析。

2、利用HTTP服务验证端口映射的实现；

（1）选中Web服务器（拓扑图右上角），启动HTTP服务；

（2）AR1上配置NAPT和端口映射：

（3）右侧Client1 客户端信息，httpclient，输入地址http://20.1.2.2/default.htm（服务器的根目录），点击获取，提示信息为HTTP/ OK 的字样，证明网页获取成功。

二.实现

1.基础配置和NAT配置

1.1 基础配置

首先很抽象的是，题目中要求配置vlan划分4个vlan，通常，每个VLAN应当有自己独立的IP子网，以便通过三层交换机进行路由。但是接口对应的地址分别为192.168.0.1 192.168.0.2 192.168.0.3 192.168.0.4 他们在同一个网段（192.168.0.0/24）内，交换机无法通过IP地址来区分它们属于哪个VLAN，从而难以配置正确的SVI接口和对应的网关。因而我没有做这一步。

然后是对各个主机的配置，记得配置好IP地址，网关，以及子网掩码。

1.2NAT配置

NAT配置有多种方式：

• 静态NAT(一个内网地址对一个公网地址)

• 动态NAT–PAT(多个内网地址对多个公网地址）

• Easyip(多个内网地址对一个接口)

• 静态PAT(一对一，但外网口ip和服务映射内网服务器的IP和服务)

在此我们使用EasyIP的方式配置NAT

首先是对AR1的配置：

[AR1]int g0/0/0 //进入接口g0/0/0
[AR1-GigabitEthernet0/0/0]undo shut //开启物理接口
[AR1-GigabitEthernet0/0/0]ip add 192.168.0.1 255.255.255.0 //配置IP地址及子网掩码长度
[AR1-GigabitEthernet0/0/0]int g0/0/1 //进入接口g0/0/1
[AR1-GigabitEthernet0/0/1]undo shut //开启物理接口
[AR1-GigabitEthernet0/0/1]ip add 12.2.2.1 255.255.255.0 //配置IP地址及子网掩码长度
[AR1]acl 2000 //创建标准访问控制列表2000
[AR1-acl-basic-2000]rule permit source 192.168.0.0 0.0.0.255 //配置ACL抓取内网地址段
[AR1-acl-basic-2000]int g0/0/1 //进入接口g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 //在外网口打下此命令
[AR1-GigabitEthernet0/0/1]display nat outbound//查看是否成

其次是对AR2的配置：

[AR2]int g0/0/0 //进入接口g0/0/0
[AR2-GigabitEthernet0/0/0]undo shut //开启物理接口
[AR2-GigabitEthernet0/0/0]ip add 12.2.2.254 255.255.255.0 //配置IP地址及子网掩码长度
[AR2-GigabitEthernet0/0/0]int g0/0/1 //进入接口g0/0/1
[AR2-GigabitEthernet0/0/1]undo shut //开启物理接口
[AR2-GigabitEthernet0/0/1]ip add 20.1.2.1 255.255.255.0 //配置IP地址及子网掩码长度

PS:别忘了AR1和AR2配置静态路由

[AR1]ip route-static 0.0.0.0 0.0.0.0 12.2.2.254 //内网中的设备（如PC2）在访问外网（如Srv1）时，数据包能够通过AR2进一步转发到外网
[AR2]ip route-static 192.168.0.0 255.255.255.0 12.2.2.1 //这条路由用于确保从外网返回的数据包能够正确地传递到内网

1.3结果抓包分析

抓包分析

1. 在AR1的g0/0/0接口（192.168.0.1）进行抓包

• 源IP地址：192.168.0.3（PC2）
• 目标IP地址：20.1.2.2（Server1）
  这是因为在内网，PC2直接向目标地址20.1.2.2发送ICMP请求包。

2. 在AR2的g0/0/0接口（12.2.2.254）进行抓包

• 源IP地址：12.2.2.1（AR1的外部接口）
• 目标IP地址：20.1.2.2（Server1）
  这是因为经过AR1的NAPT转换，内部网络的私有IP地址（192.168.0.3）被替换为AR1的外部接口IP地址（12.2.2.1）。

3.分析结果总结
3.1在内网中，源IP地址保持为私有地址（如192.168.0.3）。
3.2经过AR1的NAPT转换后，源IP地址被替换为AR1的外部接口地址（如12.2.2.1）。
3.3目标IP地址在整个通信过程中保持不变（如20.1.2.2）。
3.4回应包中的源IP地址和目标IP地址也会相应转换。

2.端口映射配置

在AR1上配置：

interface Gigabitpthernet0/0/1
nat server protocol tcp global 12.2.2.200 www inside 192.168.0.2 www //将web服务器的内网地址（192.168.0.2）映射到公网上
nat outbound 2000

此处题目应该出错了，应该是左上角的web服务器，而不是右上角。同时选择映射的地址在公网上即可，不一定非是12.2.2.200，12.2.2.210也可以