文章目录
前言
今天这篇文章随着上一期结尾来讲讲小型企业网络的搭建,也就是内外网的搭建以及NAT的使用方法
一、设备清单以及需求
4台PC、俩台路由、一台交换机
如图:
如图:
PC1、PC2、PC在内网,地址段位192.168.10.x,网关为192.168.10.1,AR1为网络出口路由器,内网口为192.168.10.1,外网口为64.1.1.1
AR2和PC4属于外网设备,已完成配置
需求:
1、给内网PC可自动获取IP地址
2、各内网PC可ping通6.6.6.6
二、使用的命令
IP、网段和网关已经配置好了,具体的配置命令和方法在我前俩篇文章里都有提到
dhcp enable 开启dhcp功能
dhcp select interface 开启dhcp,这个接口下的电脑自动获取ip
ip route-static 要增加一条路由信息
dis ip routing-taba 查看路由表
undo ip route-static 删除路由
acl 2000
acl:访问控制列表,功能非常多,在这里用来挑选数据包(挑选需要nat的包)
2000:只是一个编号,cal的功能非常多,一个设备可能有多个acl,需要用编号区分
三、配置步骤
1.给内网PC可自动获取IP地址
命令如下:在边缘路由器AR1里配置
[Huawei]dhcp enable 开启dhcp功能
[Huawei]int GigabitEthernet 0/0/0 进入内网0/0/0接口
[Huawei-GigabitEthernet0/0/0]dhcp select interface 让g0/0/0口,开启dhcp,这个接口下的电脑自动获取ip
2.查看一下内网PC的IP和网段
配图如下:
DHCP:是一个局域网的网络协议。指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。
命令行里输入ipconfig,可以看到这里的IP地址是:192.168.10.252,是属于192.168.10.x地址段位内的,网关是192.168.10.1,和之前配置的一样,说明这里的DHCP已经配置完成了。
3.配置各内网PC可ping通6.6.6.6
思路:
1、pc1是192.168.10.x网段,给64.1.1.1发包的时候,先判断对方和自己是否同网段。
如果不是。如下
2、pc1把数据包交给网关,交给192.168.10.1,也就是那台边缘(AR1)路由器
3、路由器收到这个包,会做什么?
网络设备,收到一个数据包,看数据包的目标ip
然后再查路由表,查到,去这个目标ip,应该怎么走。路由表就是指导去往各个目标网段怎么走。
(1).查看边缘路由器里面的路由表
[Huawei]dis ip routing-table 64.1.1.1
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface
64.1.1.1/32 Direct 0 0 D 127.0.0.1 GigabitEthernet
0/0/1
<Huawei>dis ip routing-table 192.168.10.252
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.10.0/24 Direct 0 0 D 192.168.10.1 GigabitEthernet
0/0/0
这里我们可以看到我们
要去64.1.1.1的话就得从0/0/1接口出去
要去192.168.10.254的话就得从0/0/0接口出去
现在用PC1试着ping一下64.1.1.1
我们这里能ping通是因为192.168.1.254到64.1.1.1有一条直连路由,是可以直接连接的。
(2).添加路由
那我们再查看一下6.6.6.6有没有路由
<Huawei>dis ip routing-table 6.6.6.6
<Huawei>
<Huawei>dis ip routing-table 6.6.6.6
<Huawei>dis ip routing-table 6.6.6.6
<Huawei>
<Huawei>dis ip routing-table 6.6.6.6
<Huawei>
<Huawei>dis ip routing-table 6.6.6.6
<Huawei>
很明显没有,如果查不到的话想ping通是不可能得,这样的话就需要我们手动添加一条路由(静态路由)。
手动添加很简单,就一条命令
[Huawei]ip route-static 6.6.6.0 255.255.255.0 64.1.1.10
拆开解释:
ip route-static 要增加一条路由信息
6.6.6.0 255.255.255.0 目标网段
64.1.1.10 下一跳,收到一个目标6.6.6.6的包,应该把这个包交给64.1.1.10
为什么要交给64.1.1.10 ?
因为在我们此次实验的网路拓扑图里,64.1.1.10与6.6.6.6有一条直连路由,可以通过64.1.1.10,把数据包转交给6.6.6.6
再来查看一下有没有6.6.6.6的路由
[Huawei]dis ip routing-table 6.6.6.6
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask Proto Pre Cost Flags NextHop Interface
6.6.6.0/24 Static 60 0 RD 64.1.1.10 GigabitEthernet
0/0/1
这里能看到要去往6.6.6.6的话要交给64.1.1.1从0/0/1接口出去。
路由表添加成功后再来试着ping一下,看看能不能ping通
我们明明已经给它手动添加了一个路由,已经告诉它了去6.6.6.6怎么走,为什么还ping不过去呢?
因为一个数据包有去有回才是正常的通信。
我们已经告诉192.168.10.x网段的设备怎么去往6.6.6.6。但是还没告诉6.6.6.6的设备怎么去往192.168.10.x网段的设备。
这里有俩个方法
1.在AR2的路由器里手动写一条去往192.168.120.X网段的路由
2.在AR1里使用NAT(网络地址转换)
但是此次实验AR2是模拟运营商的,一般情况下运行商是不会给权限进行配置的,没有权限的情况下:
使用NAT
AR2,没有关于192.168.10.x的路由,我也没有权限,不能添加路由
AR2,有关于64.1.1.1的路由
NAT,网络地址转换,把192.168.10.x的包,转成64.1.1.1
(3).NAT配置
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
Error: The rule already exists.
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2000
acl 2000
rule permit source 192.168.10.0 0.0.0.255
acl:访问控制列表,功能非常多,在这里用来挑选数据包(挑选需要nat的包)
2000:只是一个编号,cal的功能非常多,一个设备可能有多个acl,需要用编号区分
rule permit source 192.168.10.0 0.0.0.255
acl的掩码是反着写的 普通掩码255.255.255.0 = 0.0.0.255
int g0/0/1
nat outbound 2000
int g0/0/1 外网口,配的公网ip
nat outbound 2000 如果从1口出发的包,而且是acl 2000所挑选的,将做nat地址转换,转成1口的ip
再来试试ping一下6.6.6.6
到这里我们可以看到已经ping通,完成了上面所给的需求2。
这章的知识点主要是NAT的实际运用和配置,还介绍了如何查询路由表,添加路由,尽可能的模拟还原实际工作状态,感兴趣的朋友可以跟着配置一下,eNSP的安装包在我主页资源里能找到。
总结
以上就是今天要讲的内容,本文仅仅简单介绍了NAT简单的使用,以及怎样搭建一个小型的企业网络。下一章将会在此章节的基础上升华一下,讲一讲防火墙的进阶。