H3CNE学习---vlan、vlan间路由、NAT

配置vlan基本命令

[SW1]undo info-center enable 关闭信息中心 [SW1]vlan 10 [SW1-vlan10]name gongchengbu [SW1-vlan10]description gongchengbu [SW1]int g1/0/1 [SW1-GigabitEthernet1/0/1]port link-type trunk [SW1-GigabitEthernet1/0/1]port trunk permit vlan all

[H3C]int g1/0/1 [H3C-GigabitEthernet1/0/1]port link-type ? access Set the link type to access hybrid Set the link type to hybrid trunk Set the link type to trunk

R1配置命令：

[R1]int GE0/1.1 进入子接口 [R1-GigabitEthernet0/1.1]ip address 192.168.10.254 255.255.255.0 配置IP地址 [R1-GigabitEthernet0/1.1]vlan-type dot1q vid 10 关联vlan [R1]int GE0/1.2 [R1-GigabitEthernet0/1.2]ip address 192.168.20.254 255.255.255.0 [R1-GigabitEthernet0/1.2]vlan-type dot1q vid 20

SW1配置命令：

[H3C]int GE1/0/1 [H3C-GigabitEthernet1/0/1]port link-type trunk 上行链路设置为trunk [H3C-GigabitEthernet1/0/1]port trunk permit vlan 1 10 20 放行valn10 vlan20 [H3C]int GE1/0/2 [H3C-GigabitEthernet1/0/2]port link-type access 下行连接PC设置为access口 [H3C-GigabitEthernet1/0/2]port access vlan 10 划分为vlan10 [H3C]int GE1/0/3 [H3C-GigabitEthernet1/0/2]port link-type access [H3C-GigabitEthernet1/0/2]port access vlan 20

PC1、PC2配置命令：

[H3C]int GE0/1 [H3C-GigabitEthernet0/1]ip address 192.168.10.2 24 配置IP地址 [H3C]ip route-static 0.0.0.0 0 192.168.10.254 添加一条默认路由指向网关（设置网关）

2、SVI交换虚接口

SW1配置命令：

[H3C]int vlan 10 [H3C-Vlan-interface10]ip address 192.168.10.254 24 [H3C]int vlan 20 [H3C-Vlan-interface20]ip address 192.168.20.254 24

[H3C]int GE1/0/2 [H3C-GigabitEthernet1/0/2]port link-type access 下行连接PC设置为access口 [H3C-GigabitEthernet1/0/2]port access vlan 10 划分为vlan10 [H3C]int GE1/0/3 [H3C-GigabitEthernet1/0/2]port link-type access [H3C-GigabitEthernet1/0/2]port access vlan 20

PC1、PC2配置命令：

[H3C]int GE0/1 [H3C-GigabitEthernet0/1]ip address 192.168.10.2 24 配置IP地址 [H3C]ip route-static 0.0.0.0 0 192.168.10.254 添加一条默认路由指向网关（设置网关）

NAT技术

1、技术优点

作为一种过渡方案，NAT通过地址重用的方法来满足IP地址的需要，可以在一定程度上缓解IP地址空间枯竭的压力。它具备以下优点：

1） 对于内部通讯可以利用私网地址，如果需要与外部通讯或访问外部资源，则可通过将私网地址转换成公网地址来实现。

2）通过公网地址与端口的结合，可使多个私网用户共用一个公网地址。

3）通过静态映射，不同的内部服务器可以映射到同一个公网地址。外部用户可通过公网地址和端口访问不同的内部服务器，同时还隐藏了内部服务器的真实IP地址，从而防止外部对内部服务器乃至内部网络的攻击行为。

4）方便网络管理，如通过改变映射表就可实现私网服务器的迁移，内部网络的改变也很容易。

2、NAT技术实现

NAT的基本原理是仅在私网主机需要访问Internet时才会分配到合法的公网地址，而在内部互联时则使用私网地址。当访问Internet的报文经过NAT网关时，NAT网关会用一个合法的公网地址替换原报文中的源IP地址，并对这种转换

进行记录；之后，当报文从Internet侧返回时，NAT网关查找原有的记录，将报文的目的地址再替换回原来的私网地址，并送回发出请求的主机。这样，在私网侧或公网侧设备看来，这个过程与普通的网络访问并没有任何的区别。

3、实验拓扑

R1配置命令

第一种配置方法： [R1]int g0/1 [R1-GigabitEthernet0/1]ip address 192.168.10.1 255.255.255.0

[R1]int g0/0 [R1-GigabitEthernet0/0]ip address 12.1.1.1 255.255.255.0 [R1-GigabitEthernet0/0] [R1-GigabitEthernet0/0]nat outbound 出接口做nat [R1]ip route-static 0.0.0.0 0 12.1.1.2 第二种配置方法： [R1]nat address-group 1 配置nat地址池 [R1-address-group-1]address 12.1.1.3 12.1.1.4 划分地址池IP断 [R1]acl basic 2000 基本的acl2000 [R1-acl-ipv4-basic-2000]rule permit source 192.168.10.0 0.0.0.255 精确匹配源 [R1]int g0/0 [R1-GigabitEthernet0/0]nat outbound 2000 address-group 1 出接口调用

外网配置命令

[ww]int g0/0 [ww-GigabitEthernet0/0]ip add 12.1.1.2 24 [ww]int LoopBack 0 [ww-LoopBack0]ip address 8.8.8.8 24

PC配置命令

[PC]int g0/2 [PC-GigabitEthernet0/2]ip address 192.168.10.2 255.255.255.0 [PC]ip route-static 0.0.0.0 0 192.168.10.1

R1开启调试命令

<R1>terminal debugging <R1>terminal monitor <R1>debugging nat packet <R1>debugging nat event <R1>*Oct 23 21:14:30:072 2020 R1 NAT/7/COMMON: PACKET: (GigabitEthernet0/0-out) Protocol: ICMP 192.168.10.2: 0 - 8.8.8.8: 0(VPN: 0) ------> 12.1.1.1: 0 - 8.8.8.8: 0(VPN: 0) *Oct 23 21:14:30:073 2020 R1 NAT/7/COMMON: PACKET: (GigabitEthernet0/0-in) Protocol: ICMP 8.8.8.8: 0 - 12.1.1.1: 0(VPN: 0) ------> 8.8.8.8: 0 - 192.168.10.2: 0(VPN: 0) <R1>display nat session Slot 0: Initiator: Source IP/port: 192.168.10.2/219 Destination IP/port: 8.8.8.8/2048 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: ICMP(1) Inbound interface: GigabitEthernet0/1 Initiator: Source IP/port: 192.168.10.2/218 Destination IP/port: 8.8.8.8/2048 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: ICMP(1) Inbound interface: GigabitEthernet0/1 Total sessions found: 2

4、将内部PC的端口映射出去

[R1]int g0/0 [R1-GigabitEthernet0/0]nat server protocol tcp global 12.1.1.4 inside 192.168.10.2 23 PC配置: [PC]telnet server enable [PC]user-interface vty 0 4 [PC-line-vty0-4]authentication-mode scheme [PC]local-user hcnp [PC-luser-manage-hcnp]password simple 123 [PC]local-user hcnp [PC-luser-manage-hcnp]service-type telnet