JS-WLJS-04-03-華為網(wǎng)絡技術

9深圳高技能人才公共訓練基地

WShenzhenPublicTrainingBaseforHi-skilledWorkers

新一代信息技術

華為網(wǎng)絡技術

《實現(xiàn)辦公網(wǎng)絡訪問Internet》訓練任務指導書

目錄

第一部分基本管理信息.............................................3

第二部分訓練任務的內(nèi)容...........................................4

第三部分訓練任務的實施...........................................7

一、目標描述......................................................7

二、任務描述......................................................9

三、知識準備.....................................................10

四、訓練活動.....................................................11

4活動一：知識抽查.............................................11

8活動二：示范操作.............................................11

8活動三：根據(jù)所講述和示范案例，綜合功能實現(xiàn)。.................32

臺活動四：根據(jù)完成結(jié)果交流、點評。.............................35

五、訓練效果評價.................................................36

第四部分附錄....................................................37

1.網(wǎng)絡基礎.....................................................37

2.防火墻......................................................78

3.NAT技術.....................................................82

NAT概述與原理......................................................82

NAT配置案例........................................................85

4.ACL原理.....................................................86

ACL的組成...........................................................86

ACL的分類...........................................................87

ACL的匹配機制......................................................88

ACL配置案例........................................................89

第五部分參考文獻................................................91

《辦公網(wǎng)絡訪問INTERNET》..........................................92

《辦公網(wǎng)絡訪問INTERNET》知識準備（答卷）..........................93

第一部分基本管理信息

基本管理信息

名稱實現(xiàn)辦公網(wǎng)絡訪問Internet代碼XXJS-WLJS-04-03

類型基礎類口專項類0綜合類口創(chuàng)新類口

崗位網(wǎng)絡工程師等級中級

類屬于

模塊項目華為網(wǎng)絡技術

版本VI.0編制人編制時間2022年6月

所屬單位批準人

學時幺個學時考核方式考核口考訓結(jié)合0

評價方式自我評價口小組評價口老師評價0

符合以下條件之一：

(1)取得本職業(yè)初級工層次資格證書。

(2)取得相關職業(yè)中級及以上職業(yè)資格證書滿1年。

(3)具有高等職業(yè)院校本職業(yè)對應專業(yè)或相關專業(yè)學歷。

(4)有1年以上計算機網(wǎng)絡/通信技術/移動通信技術從業(yè)經(jīng)歷。

適用對象(5)具有本職業(yè)或相關職業(yè)初級專業(yè)技術資格。

第二部分訓練任務的內(nèi)容

《實現(xiàn)辦公網(wǎng)絡訪問Internet》訓練任務的內(nèi)容

任

務

目前部門內(nèi)部和部門間都均可以互相通信，終端設備是需要能訪問公網(wǎng)的，

來

并且需要保證上網(wǎng)的安全性；

源

關

（1）能（會）實現(xiàn)辦公室訪問Internet中部署防火墻；

鍵

（2）能（會）實現(xiàn)辦公室訪問Internet中配置ACL；

技

技（3）能（會）實現(xiàn)辦公室訪問Internet中配置NAT；

能

能

（4）能（會）實現(xiàn)辦公室訪問Internet中配置Traffic-filter。

目

基

（1）能（會）配置ACL；

標

本

（2）能（會）配置NAT；

技

（3）能（會）配置Traffic-filter；

能

（4）能（會）配置防火墻策略。

知（1）熟悉防火墻的工作原理；

目

識（2）熟悉Internet基礎；

標

目（3）掌握NAT的分類和技術原理；

標（4）掌握ACL的分類和技術原理；

（5）掌握Traffic-filter原理。

職

業(yè)

素（1）不得惡意限制他人上網(wǎng)速度；

質(zhì)（2）不得泄露公司內(nèi)網(wǎng)重要設備的IP地址以及端口；

目（3）不得利用管理員權限更改公司資料；

標

1.講解：⑴教師講解訓練任務的內(nèi)容與要求；⑵教師講授項目設計思路與操作步

訓

驟、關鍵技術與相關知識。

練

2.示范：教師對關鍵技能和實訓操作難點進行示范操作（本任務的實訓操作內(nèi)容

方

法主要是部署防火墻,ACL,NAT,Traffic-filter開展實驗測試）。

及3.操練：⑴每人使用一臺計算機；⑵學員遵循教師的引導掌握軟件安裝、；

手4.巡回指導：教師巡回檢查和指導學員（個別指導和共性指導）。

段5.評價：小組檢查和評價訓練效果；教師點評和總結(jié)訓練效果。

6.過程考核：教師根據(jù)學員各實驗的完成程度給予評分。

時類另U示范操作時間（分鐘）訓練時間（分鐘）

間

分技能關鍵技能180180

配目標基本技能1515

職業(yè)素質(zhì)目標15

《實現(xiàn)辦公網(wǎng)絡訪問Internet》訓練任務的內(nèi)容(續(xù)1)

設

類別名稱規(guī)格及型號數(shù)量單位備注

備

備

預裝操作系

及WindowslO/H

具計算機1ZA

耗統(tǒng)、Office和PDFReader

耗材無

環(huán)

境(1)多媒體演示條件：電腦、投影儀、話筒等。

要(2)空間和光線條件：訓練室可容納25-50人，光線均勻明亮，最多每2人1

求臺實訓設備，每人0.5近以上的活動空間。

(1)掌握NAT的分類和技術原理；

掌握(2)掌握ACL的分類和技術原理；

知(3)掌握Traffic-fiIter原理。

識

準(1)熟悉防火墻的工作原理；

熟悉

備(2)熟悉Internet基礎；

了解(1)區(qū)分不同的網(wǎng)絡設備并了解其基本作用

類別名稱作者出版社書號備注

參參考

考教材

資

料

其他

參考

資料

《實現(xiàn)辦公網(wǎng)絡訪問Internet》訓練任務的內(nèi)容（續(xù)2）

教師

類別項目考核內(nèi)容評分標準配分得分

簽名

1、什么的防火墻（30分）

知識根據(jù)完成情況

理論2、NAT的實現(xiàn)方式有哪些（30分）100

準備打分。

3、描述ACL的匹配順序（40分）

任務完成情況完成口/未完成口1、未完成任務：

記為零分；

1、實現(xiàn)辦公室訪問Internet

中部署防火墻。會口/不會口2、完成任務：如

2、實現(xiàn)辦公室訪問Internet全部技能目標

技能會口/不會口

中配置ACL。為“會”,則為完

目標

3、實現(xiàn)辦公室訪問Internet成；否則，均為

會口/不會口

中配置NAT。未完成。

實操4、實現(xiàn)辦公室訪問Internet100

會口/不會口

中配置Traffic-filter。

1、命令邏輯清晰，語句正確若未完全達到

素質(zhì)要求，則從

2、拓撲設備擺放整齊

職業(yè)訓練活動成績

素質(zhì)3、尊重他人勞動，不竊取他人成果中扣分（總扣分

4、養(yǎng)成總結(jié)訓練過程和結(jié)果的習慣，為下次訓練不得超過50

總結(jié)經(jīng)驗分）。

知識準備評分說明：（這部分內(nèi)容僅限教師培訓使用，不在訓練任務指導書上體現(xiàn)）

知識準備成績是指訓練任務指導書上知識準備題目的完成情況，由教師當堂批改給出成績。

訓練活動（實操）評分說明：

1、在規(guī)定時間內(nèi)正確完成訓練任務則該項訓練活動成績?yōu)楹细瘢M分）。

評分

2、如果違反職業(yè)素質(zhì)目標要求，則根據(jù)實際情況給予扣分。原則上如未發(fā)生嚴重違反職業(yè)素質(zhì)目標要

說明

求的情況，不得使訓練活動最終成績?yōu)椴患案瘢?0分）。

3、在規(guī)定時間內(nèi)未完成訓練任務則該項訓練活動成績?yōu)椴缓细瘢惴郑?，教師必須當堂給學員指出錯

誤或未能掌握的技能。

備注：

1、評分表原則上不能出現(xiàn)涂改現(xiàn)象，若出現(xiàn)則必須在涂改之處簽字確認。

2、每次考核結(jié)束后，教師必須及時將成績錄入管理系統(tǒng)，并立即上交評分表至高訓中心存檔。

第三部分訓練任務的實施

一、目標描述

。技能目標：

完成本訓練任務后，你應當能（夠）：

關鍵技能：

?能（會）實現(xiàn)辦公室訪問Internet中部署防火墻；

?能（會）實現(xiàn)辦公室訪問Inteniet中配置ACL；

?能（會）實現(xiàn)辦公室訪問Inteniet中配置NAT；

?能（會）實現(xiàn)辦公室訪問Internet中配置Traffic-fiIter。

基本技能：

?能（會）配置ACL；

?能（會）配置NAT；

?能（會）配置Traffic-filter；

?能（會）配置防火墻策略。

。知識目標：

完成本訓練任務后，你應當能（夠）：

?熟悉防火墻的工作原理；

?熟悉Internet基礎；

?掌握NAT的分類和技術原理；

?掌握ACL的分類和技術原理；

?掌握Traffic-filter原理。

。職業(yè)素質(zhì)目標：

完成本訓練任務后，你應當能（夠）：

?不得惡意限制他人上網(wǎng)速度；

?不得泄露公司內(nèi)網(wǎng)重要設備的IP地址以及端口;

?不得利用管理員權限更改公司資料；

二、任務描述

通過對公司出口路由器和防火墻的配置，保證在上網(wǎng)的同時具備

安全性；需要配置防火墻的安全區(qū)域，配置ACL限制公司網(wǎng)絡訪問以

及配置NAT地址轉(zhuǎn)化保證上網(wǎng)；

三、知識準備

（見附件）

1.防火墻是什么？

答，

2.NAT的實現(xiàn)方式有哪些?

答：___________________

3.描述ACL的匹配順序？

答：

四、訓練活動

臺活動一：知識抽查

要求：

?老師對學員知識準備情況進行抽查具體抽查內(nèi)容見知識準備

的問題；

?抽查方式：0口答口試卷口操作

老師要記錄學員回答問題的情況。老師必要時做簡單的講解。

8活動二：示范操作

內(nèi)容：

部署防火墻，配置安全策略,ACL,NAT,保護內(nèi)網(wǎng)免受外部非法用戶的侵入。

任務要求：

1、部署防火墻。

2、配置防火墻策略。

3、配置ACL。

4、配置NAT。

?步驟一：部署配置防火墻

1、任務分析

防火墻用在內(nèi)外網(wǎng)絡邊緣處，防止外部網(wǎng)絡對內(nèi)部網(wǎng)絡的入侵。對于使用

私有地址的內(nèi)部網(wǎng)絡，可以通過NAT、ALG技術和防火墻技術結(jié)合，實現(xiàn)更進

一步的安全防護。

2、實驗拓撲

在教學文檔中找到并打開“實驗拓撲”文件夾，在其中找到防火墻實驗，打

開，并在ensp中啟動設備。

3、實驗接口編址

設備接口IP地址子網(wǎng)掩碼默認網(wǎng)關

PC1EO/O/1192.168.1.124192.168.1.254

CliendlEO/O/O192.168.1.224192.168.1.254

ServeriEO/O/O10.1.1.12410.1.1.254

Server2EO/O/O10.1.2.12410.1.2.254

Gl/0/0192.168.1.25424N/A

FWlGl/0/110.1.1.25424N/A

Gl/0/210.1.2.25424N/A

4、實驗步驟

1.導入防火墻鏡像包

將教學文檔中的防火墻鏡像包解壓到當前文件夾。

打開ensp,在防火墻中：選擇USG6000V,開啟防火墻，彈出導入鏡像，選

擇解壓的鏡像即可。

防火墻

0B

USG6000V

USG5500USG6000V

2.基礎配置

根據(jù)實驗規(guī)劃配置接口的IP地址。

初次進入防火墻需要輸入賬號及密碼

賬號：admin

密碼：Admin@123

會詢問是否需要修改密碼，可以修改相同的密碼。

當配置完后，在PClping測試網(wǎng)關是否可達。顯示如下。

當配置好了IP地址后發(fā)現(xiàn)訪問不了防火墻的網(wǎng)關地址，這時候要在防火墻

的接口中配置命令：

FW1：

interfaceGigabitEthernet1/0/0

undoshutdown

ipaddress192.168.1.254255.255.255.0

service-managepingpermit

interfaceGigabitEthernet1/0/1

undoshutdown

ipaddress10.1.1.254255.255.255.0

service-managepingpermit

interfaceGigabitEthernet1/0/2

undoshutdown

ipaddress10.1.2.254255.255.255.0

service-managepingpermit

3.定義trust>untrust>dmz區(qū)

配置命令如下：

FWl

firewallzonetrust

setpriority85

addinterfaceGigabitEthernet1/0/0

firewallzoneuntrust

setpriority5

addinterfaceGigabitEthernet1/0/1

firewallzonedmz

setpriority50

addinterfaceGigabitEthernet1/0/2

受信區(qū)（Trust）：較高級別的安全區(qū)域，其安全優(yōu)先級為85。

非軍事化區(qū)（DMZ）：中度級別的安全區(qū)域，其安全優(yōu)先級為50。

非受信區(qū)（Untrust）：低級的安全區(qū)域，其安全優(yōu)先級為5

4.定義安全策略

配置命令如下：

FW1

security-policy

rulenametrutountru

destination-zoneuntrust

source-address192.168.1.024

actionpermit

信任區(qū)訪問非信任區(qū)

rulenamelototru

source-zonelocal

destination-zonetrust

source-address24

actionpermit

本地訪問信任區(qū)

rulenameuntrutodmz

source-zoneuntrust

destination-zonedmz

destination-address10.1.2.132

servicetelnet

serviceftp

serviceicmp

actionpermit

非信任區(qū)訪問dmz可使用telnetftpicmp訪問

rulenametrutodmz

source-zonetrust

destination-zonedmz

destination-address10.1.2.132

actionpermit

信任區(qū)訪問dmz

rulenamedmztotru

source-zonedmz

destination-zonetrust

source-address192.168.1.024

actionpermit

dmz訪問信任區(qū)

?步驟二：使用基本ACL限制公司網(wǎng)絡訪問

1、任務分析

本實驗模擬企業(yè)網(wǎng)絡環(huán)境，AR1為分公司部門的網(wǎng)關，AR2為分公司部門的

網(wǎng)關，AR3為分公司去往總部出口的網(wǎng)關設備，AR4為總部核心路由器設備。整

網(wǎng)運行OSPF協(xié)議，并在區(qū)域0內(nèi)。企業(yè)設計通過遠程方式管理核心網(wǎng)路由器AR4,

要求只能由AR1所連的PC（本實驗使用環(huán)回接口模擬）訪問AR4,其他設備均不能

訪問。

2、實驗拓撲

在教學文檔中找到并打開“實驗拓撲”文件夾，在其中找到三使用基本ACL

限制公司網(wǎng)絡訪問實驗，打開，并在ensp中啟動設備。

AR2

3、實驗接口編址

設備接口IP地址子網(wǎng)掩碼默認網(wǎng)關

G0/0/010.1.1.124N/A

ARI

LoopbackO1.1.1.132N/A

AR2G0/0/010.1.2.224N/A

G0/0/010.1.1.324N/A

G0/0/110.1.2.324N/A

AR3

G0/0/210.1.3.324N/A

LoopbackO3.3.3.332N/A

G0/0/010.1.3.424N/A

AR4

LoopbackO4.4.4.432N/A

4、實驗任務配置

1.基礎配置

根據(jù)實驗編址表進行相應的基本配置，并使用ping命令檢測各直連鏈路的

連通性。在所有路由器上運行OSPF協(xié)議，通告相應網(wǎng)段至區(qū)域0中。

[ARl]ping10.1.1.3

PING10.1.1.3:56databytes,pressCTRL_Ctobreak

Replyfrom10.11.3:bytes=56Sequence=lttl=255time=30ms

Replyfrom10.11.3:bytes=56Sequence=2ttl=255time=30ms

Replyfrom10.11.3:bytes=56Sequence=3ttl=255time=20ms

Replyfrom10.11.3:bytes=56Sequence=4ttl=255time=30ms

Replyfrom10.11.3:bytes=56Sequence=5ttl=255time=10ms

—10.1.1.3pingstatistics—

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=10/24/30ms

配置完成之后，在RI的路由表上查看OSPF路由信息。

[ARl]displayiprouting-tableprotocolospf

RouteFlags:R-relay,D-downloadtofib

Publicroutingtable:OSPF

Destinations:5Routes:5

OSPFroutingtablestatus:<Active>

Destinations:5Routes:5

Destination/MaskProtoPreCostFlagsNextHop

Interface

2.2.2.2/32OSPF102D10.1.1.3

GigabitEthernet

0/0/0

3.3.3.3/32OSPF101D10.1.1.3

GigabitEthernet

0/0/0

4.4.4.4/32OSPF102D10.1.1.3

GigabitEthernet

0/0/0

10.1.2.0/24OSPF102D10.1.1.3

GigabitEthernet

0/0/0

10.1.3.0/24OSPF102D10.1.1.3

GigabitEthernet

0/0/0

OSPFroutingtablestatus:<Inactive>

Destinations:0Routes:0

路由器AR1已經(jīng)學習到了相關網(wǎng)段的路由條目，測試R1的環(huán)回口與R4的環(huán)回

口間的連通性。

[ARl]ping-a1.1.1.14.4.4.4

PING4.4.4.4:56databytes,pressCTRL_Ctobreak

Replyfrom4.4.4.4:bytes=56Sequence=lttl=254time=40ms

Replyfrom4.4.4.4:bytes=56Sequence=2ttl=254time=40ms

Replyfrom4.4.4.4:bytes=56Sequence=3ttl=254time=20ms

Replyfrom4.4.4.4:bytes=56Sequence=4ttl=254time=30ms

Replyfrom4.4.4.4:bytes=56Sequence=5ttl=254time=30ms

---4.4.4.4pingstatistics----

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=20/32/40ms

配置如下：

ARI

interfaceGigabitEthernet0/0/0

ipaddress10.1.1.1255.255.255.0

interfaceLoopBackO

ipaddress1.1.1.1255.255.255.255

ospf1

area0.0.0.0

network1.1.1.10.0.0.0

network10.1.1.10.0.0.0

AR2

interfaceGigabitEthernet0/0/0

ipaddress10.1.2.2255.255.255.0

interfaceLoopBackO

ipaddress2.2.2.2255.255.255.255

ospf1

area0.0.0.0

network2.2.2.20.0.0.0

network10.1.2.20.0.0.0

AR3

interfaceGigabitEthernet0/0/0

ipaddress10.1.1.3255.255.255.0

#

interfaceGigabitEthernet0/0/l

ipaddress10.1.2.3255.255.255.0

#

interfaceGigabitEthernetO/O/2

ipaddress10.1.3.3255.255.255.0

interfaceLoopBackO

ipaddress3.3.3.3255.255.255.255

ospf1

area0.0.0.0

network3.3.3.30.0.0.0

network10.1.1.30.0.0.0

network10.1.2.30.0.0.0

network10.1.3.30.0.0.0

AR4

interfaceGigabitEthernet0/0/0

ipaddress10.1.3.4255.255.255.0

interfaceLoopBackO

ipaddress4.4.4.4255.255.255.255

#

ospf1

area0.0.0.0

network4.4.4.40.0.0.0

network10.1.3.40.0.0.0

2.配置ACL

基本的ACL可以針對數(shù)據(jù)包的源IP地址進行過濾，在AR4上使用acl命令創(chuàng)建

一個編號型ACL,基本ACL的范圍是2000~2999。

當我們創(chuàng)建ACL拒絕全部后，并在接口應用。在AR1進行ping測試。

<ARl>ping4.4.4.4

PING4.4.4.4:56databytes,pressCTRL_Ctobreak

Requesttimeout

Requesttimeout

Requesttimeout

Requesttimeout

Requesttimeout

—4.4.4.4pingstatistics—

5packet(s)transmitted

0packet(s)received

100.00%packetloss

此時已經(jīng)不可達了。既上述配置已經(jīng)生效。

配置如下：

AR4

aclnumber2000

rule5deny

interfaceGigabitEthernet0/0/0

traffic-filterinboundacl2000

3.實現(xiàn)需求

ARI所連的PC（本實驗使用環(huán)回接口模擬）訪問AIM,其他設備不可訪問。

ACL的執(zhí)行是有順序性的，如果規(guī)則ID小的規(guī)則已經(jīng)被命中，并且執(zhí)行了允

許或者拒絕的動作，那么后續(xù)的規(guī)則就不再繼續(xù)匹配。

在AR4上使用displayaclall命令查看設備上所有的訪問控制列表。

[AR4]displayaclall

TotalquantityofnonemptyACLnumberis1

BasicACL2000,2rules

Acl'sstepis5

rule5permitsource1.1.1.10

rule10deny(2matches)

驗證現(xiàn)象：

[ARUping-a1.1.1.14.4.4.4

PING4.4.4.4:56databytes,pressCTRL_Ctobreak

Replyfrom4.4.4.4:bytes=56Sequence=lttl=254time=30ms

Replyfrom4.4.4.4:bytes=56Sequence=2ttl=254time=30ms

Replyfrom4.4.4.4:bytes=56Sequence=3ttl=254time=30ms

Replyfrom4.4.4.4:bytes=56Sequence=4ttl=254time=30ms

Replyfrom4.4.4.4:bytes=56Sequence=5ttl=254time=30ms

---4.4.4.4pingstatistics----

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=30/30/30ms

此時，訪問成功，證明配置生效，實現(xiàn)效果。

?步驟三：NAT

1、項目介紹

本實驗模擬企業(yè)網(wǎng)絡場景。AR1是公司的出口網(wǎng)關路由器，公司內(nèi)員工和服

務器都通過交換機SW1或SW2連接到R1上，R2模擬外網(wǎng)設備與R1直連。由于

公司內(nèi)網(wǎng)都使用私網(wǎng)IP地址，為了實現(xiàn)公司內(nèi)部分員工可以訪問外網(wǎng)，服務器

可以供外網(wǎng)用戶訪問，網(wǎng)絡管理員需要在路由器AR1上配置NAT:使用靜態(tài)NAT

和NATOutbound技術使部分員工可以訪問外網(wǎng)，使用NATServer技術使服務器

可以供外網(wǎng)用戶訪問。

2、實驗拓撲

在教學文檔中找到并打開“實驗拓撲”文件夾，在其中找到NAT實驗，打

開，并在ensp中啟動設備。

3、實驗規(guī)劃

設備接口IP地址子網(wǎng)掩碼默認網(wǎng)關

G0/0/010.1.1.124N/A

AR1G0/0/1192.168.1.25424N/A

G0/0/2192.168.2.25424N/A

G0/0/010.1.1.224N/A

AR2

LoopbackO2.2.2.224N/A

PC1E0/0/1192.168.1.124192.168.1.254

PC2E0/0/1192.168.2.224192.168.2.254

PC3E0/0/1192.168.2.324192.168.2.254

serverE0/0/0192.168.1.224192.168.1.254

4、實驗任務配置

1.配置步驟

根據(jù)實驗編址表進行相應的基本配置，并使用ping命令檢測各直連鏈路的

連通性。

[ARl]ping10.1.1.2

PING10.1.1.2:56databytes,pressCTRL_Ctobreak

Replyfrom10.11.2:bytes=56Sequence=lttl=255time=100ms

Replyfrom10.11.2:bytes=56Sequence=2ttl=255time=20ms

Replyfrom10.11.2:bytes=56Sequence=3ttl=255time=30ms

Replyfrom10.11.2:bytes=56Sequence=4ttl=255time=30ms

Replyfrom10.11.2:bytes=56Sequence=5ttl=255time=20ms

—10.1.1.2pingstatistics—

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=20/40/100ms

配置命令如下：

ARI

interfaceGigabitEthernet0/0/0

ipaddress10.1.1.1255.255.255.0

interfaceGigabitEthernetO/0/1

ipaddress192.168.1.254255.255.255.0

interfaceGigabitEthernetO/O/2

ipaddress192.168.2.254255.255.255.0

AR2

interfaceGigabitEthernet0/0/0

ipaddress10.1.1.2255.255.255.0

interfaceLoopBackO

ipaddress2.2.2.2255.255.255.0

其余直連網(wǎng)段的連通性測試省略。

2.配置靜態(tài)NAT

公司在網(wǎng)關路由器R1上配置訪問外網(wǎng)的默認路由。

AR1

iproute-static0.0.0.00.0.0.010.1.1.2

由于內(nèi)網(wǎng)使用的都是私有IP地址，員工無法直接訪問公網(wǎng)?，F(xiàn)需要在網(wǎng)關路

由器R1上配置NAT地址轉(zhuǎn)換，將私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址。

PC1為公司終端，不僅需要自身能訪問外網(wǎng)，還需要外網(wǎng)用戶也能夠直接訪

問他，因此網(wǎng)絡管理員分配了一個公網(wǎng)IP地址10.LL5給PC1做靜態(tài)NAT地

址轉(zhuǎn)換。在R1的GE0/0/0接口下使用natstatic命令配置內(nèi)部地址到外部地址

的一對一轉(zhuǎn)換。

interfaceGigabitEthernetO/0/0

natstaticglobal10.1.1.2inside192.168.1.1netmask255.255.255.255

配置完成后，在ARI上查看NAT靜態(tài)配置信息，并在PC1上使用ping命令

測試與外網(wǎng)的連通性。

[ARl]displaynatstatic

StaticNatInformation:

Interface:GigabitEthernet0/0/0

GlobalIP/Port:10.1.1.2/——

InsideIP/Port:192,168.1.1/——

Protocol:----

VPNinstance-name:----

Aclnumber:----

Netmask:255.255.255.255

Description:----

Total:1

PCI：

POping2.2.2.2

Ping2.2.2.2:32databytes,PressCtrl_Ctobreak

From2.2.2.2:bytes=32seq=lttl=255time=47ms

From2.2.2.2:bytes=32seq=2ttl=255time=31ms

From2.2.2.2:bytes=32seq=3ttl=255time=47ms

From2.2.2.2:bytes=32seq=4ttl=255time=47ms

From2.2.2.2:bytes=32seq=5ttl=255time=47ms

---2.2.2.2pingstatistics----

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=31/43/47ms

可以觀察到，PCI通過靜態(tài)NAT地址轉(zhuǎn)換已經(jīng)可以成功訪問外網(wǎng)。

在R2上使用環(huán)回口LoopbackO模擬外網(wǎng)用戶訪問PC-1。

3.配置NATOutbound

公司另外一個部門的員工都需要能夠訪問外網(wǎng)。IP地址192.168.2.0/24網(wǎng)

段，網(wǎng)絡管理員使用公網(wǎng)地址池10.1.L50—10.1.1.60.為該部門員工做NAT轉(zhuǎn)

換。

在AR1上使用nataddres-group命令配置NAT地址池，設置起始和結(jié)束地址

分別為10.L1.50和10.1.1.60o

[ARl]nataddress-group110.1.1.5010.1.1.60

創(chuàng)建基本ACL2000,匹配192.168.2.0,掩碼為24位的地址段。

aclnumber2000

rule5permitsource192.168.2.00.0.0.255

在GE0/0/0接口下使用natoutbound命令將ACL2000與地址池相關聯(lián)，使得

ACL中規(guī)定的地址可以使用地址池進行地址轉(zhuǎn)換。

interfaceGigabitEthernet0/0/0

natoutbound2000address-group1no-pat

測試連通性

POping2.2.2.2

Ping2.2.2.2:32databytes,PressCtrl_Ctobreak

From2.2.2.2:bytes=32seq=lttl=255time=47ms

From2.2.2.2:bytes=32seq=2ttl=255time=31ms

From2.2.2.2:bytes=32seq=3ttl=255time=47ms

From2.2.2.2:bytes=32seq=4ttl=255time=32ms

From2.2.2.2:bytes=32seq=5ttl=255time=46ms

---2.2.2.2pingstatistics----

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=31/40/47ms

4.配置NATEasy-IP

由于公司發(fā)展人員擴招，若繼續(xù)使用多對多的NAT轉(zhuǎn)換方式，就必須增加公

網(wǎng)地址池的地址數(shù)。為了節(jié)約公網(wǎng)地址，網(wǎng)絡管理員使用多對一的Easv-IP轉(zhuǎn)換

方式實現(xiàn)市場部員工訪問外網(wǎng)的需求。

Easy-IP是NAPT的一種方式，直接借用路由器出接口IP地址作為公網(wǎng)地址，

將不同的內(nèi)部地址映射到同一公有地址的不同端口號上，實現(xiàn)多對一地址轉(zhuǎn)換。

網(wǎng)絡管理員配置路由器R1的GE0/0/0接口為Easy-IP接口。

在R1的GE0/0/0接口上刪除NATOutbound配置，并使用natoutbound命

令配置Easy-IP特性，直接使用接口IP地址作為NAT轉(zhuǎn)換后的地址。

配置命令如下：

AR1

[ARl-GigabitEthernetO/0/0]undonatoutbound2000address-group1no-pat

[ARl-GigabitEthernetO/0/0]natoutbound2000

RI借用自身GE0/0/0接口的公網(wǎng)IP地址為所有私網(wǎng)地址做NAT轉(zhuǎn)換，使用

不同的端口號區(qū)分不同私網(wǎng)數(shù)據(jù)。此方式不需要創(chuàng)建地址池，大大節(jié)省了地址空

間。

5.配置NATServer

公司內(nèi)Server提供FTP服務供外網(wǎng)用戶訪問，配置NATServer并使用公網(wǎng)

IP地址10.1.1.6對外公布服務器地址，然后開啟NATALG功能。因為對于封裝

在IP數(shù)據(jù)報文中的應用層協(xié)議報文，正常的NAT轉(zhuǎn)換會導致錯誤，在開啟某應

用協(xié)議的NATALG功能后，該應用協(xié)議報文可以正常進行NAT轉(zhuǎn)換，否則該應用

協(xié)議不能正常工作。

在R1的GE0/0/0接口上，使用natserver命令定義內(nèi)部服務器的映射表，指定

服務器通信協(xié)議類型為TCP,配置服務器使用的公網(wǎng)IP地址為10.1.1.6,服務

器內(nèi)網(wǎng)地址為192.168.1.2,指定端口號為21,該常用端口號可以直接使用關鍵

字“ftp”代替。

配置命令如下：

AR1

natalgftpenable

interfaceGigabitEthernet0/0/0

natserverprotocoltcpglobal10.1.1.6ftpinsideftp

?步驟四：綜合實驗

1.項目介紹

在小型的公司網(wǎng)絡搭建中，需要配置NAT,ACL,防火墻，根據(jù)任務需求,

完成綜合功能實現(xiàn)。

2.實驗拓撲

在教學文檔中找到并打開“實驗拓撲”文件夾，在其中找到綜合實驗，打開,

并在ensp中啟動設備。

外網(wǎng)

3.實驗編址

設備接口IP地址子網(wǎng)掩碼默認網(wǎng)關

PC1E0/0/1192.168.1.124192.168.1.254

PC2E0/0/1192.168.1.224192.168.1.254

PC3E0/0/1192.168.2.324192.168.2.254

ServerlE0/0/0192.168.3.124192.168.3.254

G0/0/010.1.1.124N/A

AR1

LoopbackO1.1.1.124N/A

G0/0/010.1.1.224N/A

G1/0/0192.168.3.25424N/A

FW1

G1/0/1192.168.1.25424N/A

G1/0/2192.168.2.25424N/A

4.實驗任務配置

1.根據(jù)實驗編址配置IP