模块五 广域网技术

Module5广域网技术《网络互联技术》任务5.1

CHAP和PAP认证广域网概述PPP基本概念PPP报文格式PPP协商阶段PPP链路建立过程PPP链路认证PPP认证配置流程PPP认证协议配置命令广域网通常覆盖很大的地理范围，提供远距离数据通信的网络。PPP（Point-to-PointProtocol，点到点协议）是一种常见的广域网数据链路层协议，主要用于在全双工的链路上进行点到点的数据传输封装。PPP因支持多种网络层协议，无重传机制、支持多种验证方式等特点得到了广泛应用。本次任务介绍PPP协议的工作原理及CHAP、PAP认证配置方法。任务背景准备知识广域网通常使用因特网服务提供商提供的设备作为信息传输平台，对网络通信的要求较高。常见的广域网通信协议包括点到点协议（PPP）、高级数据链路控制协议（HDLC）等。不同的链路可以使用不同的数据链路层协议，每种数据链路层协议都定义了相应的数据链路层封装的帧格式，数据包经过不同的链路，就要封装成对应的帧。广域网协议对应OSI的三层模型1.广域网概述2.PPP基本概念PPP是TCP/IP网络中最重要的点到点数据链路层协议，主要用于在全双工的同/异步链路上进行点到点的数据传输。PPP主要由三类协议族组成：链路控制协议族LCP（LinkControlProtocol），主要用来建立、拆除和监控PPP数据链路。网络层控制协议族NCP（NetworkControlProtocol），用来协商在该数据链路上所传输的数据包的格式与类型。扩展协议族CHAP（Challenge-HandshakeAuthenticationProtocol）和PAP（PasswordAuthenticationProtocol），主要用于网络安全方面的验证。PPP协议相对与其它链路层协议有如下优点：PPP既支持同步链路又支持异步链路，而X.25、帧中继等数据链路层协议仅支持同步链路，SLIP仅支持异步链路。PPP协议具有良好的扩展性，如在以太网链路承载PPP协议时，可扩展为PPPoE。支持链路层、网络层参数的协商。支持认证功能，提升网络的安全性。无重传机制，网络开销小，速度快。3.PPP报文格式PPP报文封装格式PPP帧各字段含义字段名称含义Flag标识一个物理帧的起始和结束，该字节为0x7EAddress值为全1的广播地址，对于PPP协议来说，该字段无实际意义Control该字段默认值为0x03，表明为无序号帧Protocol用来区分PPP数据帧中信息域所承载的数据包类型，如0021表示为IP数据包，C021表示为LCP报文、C023表示为PAP报文、C223表示为CHAP报文InformationPPP帧的载荷数据，包含协议字段中指定协议的数据包，默认最大长度是1500字节FCS主要对PPP数据帧传输的正确性进行检测4.PPP协商阶段PPP链路的建立存在五个协商阶段Dead阶段：物理层不可用阶段。当通信双方的两端检测到物理线路激活时，就会从Dead阶段跃迁至Establish阶段。链路被断开后也同样会返回到Dead阶段。Establish阶段：链路建立阶段。PPP链路进行LCP协商。Authenticate阶段：验证阶段。PPP提供密码验证协议PAP（PasswordAuthenticationProtocol）和质询握手验证协议CHAP（Challenge-HandshakeAuthenticationProtocol）两种验证方式。Network阶段：网络层协商阶段。PPP通过NCP协商来选择和配置一个网络层协议并进行网络层参数协商。Terminate阶段：网络终止阶段。PPP运行过程中，物理链路断开、认证失败、超时定时器时间到、管理员通过配置关闭连接等动作都可能导致链路进入Terminate阶段。5.PPP链路建立过程建立过程：通信双方开始建立PPP链路时，由Dead阶段进入到Establish阶段。然后开始进行LCP协商，协商成功后链路处于Opened状态，表示底层链路已经建立。若协商失败则退回Dead阶段。LCP协商过程中，若不存在认证，链路直接进入Network阶段。若存在认证，链路进入Authenticate认证阶段。验证成功，进入Network阶段；验证失败，进入Terminate阶段，拆除链路，LCP状态转为Down。在Network阶段双方进行NCP协商，协商成功后，便可通过这条PPP链路发送报文。PPP链路建立的流程6.PPP链路认证PAP认证过程PAP认证PAP认证为两次握手方式，口令以明文方式在链路上发送。PAP认证过程被认证方将携带本端用户名及密码的Authenticate-Request报文发给认证方；认证方收到被认证方发送的用户名和密码信息后，根据本地配置的用户名和密码数据库检查用户名和密码信息是否匹配。如果匹配，则返回Authenticate-Ack报文，表示认证成功；否则，返回Authenticate-Nak报文，表示认证失败。6.PPP链路认证CHAP认证过程CHAP认证CHAP认证过程为三次握手机制，在链路上不传输用户密码。CHAP认证过程：认证方主动发起认证请求，向被认证方发送Challenge报文，报文包含认证方的用户名、随机数（Random）和ID字段（认证序列号）。被认证方收到此Challenge报文之后，根据报文中的用户名查找对应的密码，并结合随机数和ID字段进行哈希运算，然后将生成的HASH值和本端的用户名封装在Response报文中发回认证方。认证方接收到被认证方发送的Response报文之后，按照报文中的用户名在本地查找对应的密码，然后结合随机数和ID字段进行哈希运算，最后将运算得到的HASH值和Response报文中封装的HASH值做比较，相同则认证成功，返回Success报文；不相同则认证失败，返回Failure报文。7.PPP认证配置流程PAP认证配置流程如下：设置接口封装协议为PPP，华为设备默认串口封装模式为PPP，此步可忽略；认证方配置本地用户，该用户即为被认证方的用户信息；认证方配置链路认证方式为PAP；被认证方配置向认证方发送用于认证的自身用户信息。CHAP认证配置流程（认证方配置用户名）如下：设置接口封装协议为PPP，华为设备默认串口封装模式为PPP，此步可忽略；认证方配置本地用户数据库，创建被认证方的用户信息；认证方配置链路认证方式CHAP；认证方配置用户名，该用户名将被封装在Challenge报文中发送给被认证方；被认证方创建认证方的用户信息；被认证方配置用于认证的自身用户名。（1）配置接口封装的链路层协议命令：link-protocol{PPP|HDLC}说明：缺省情况下，接口封装的链路层协议为PPP视图：接口视图举例：配置路由器R1接口S1/0/0的链路层封装协议为PPP。[R1]interfaceSerial1/0/0[R1-Serial1/0/0]link-protocolPPP8.PPP认证协议配置命令（2）创建本地用户创建AAA本地用户命令：local-userusernamepasswordcipherpassword

说明：PAP认证方式下，在认证方创建本地用户，该用户为被认证方的用户信息；CHAP认证方式下，认证方和被认证方都需要创建对端的用户信息，且两端密码要一致视图：AAA视图配置AAA用户的服务类型为PPP命令：local-useruser-nameservice-typePPP说明：缺省情况下，本地用户关闭所有的服务类型视图：AAA视图举例：R1配置本地AAA用户（huawei，huawei@123），服务类型为PPP。[R1]aaa[R1-aaa]local-userhuaweipasswordcipherhuawei@123

[R1-aaa]local-userhuaweiservice-typeppp8.PPP认证协议配置命令（3）配置PPP认证类型命令：pppauthentication-mode{PAP|CHAP}说明：缺省情况下，PPP协议不进行认证视图：接口视图举例1：配置路由器R1接口S1/0/0的认证方式为PAP。举例2：配置路由器R1接口S1/0/1的认证方式为CHAP。[R1-Serial1/0/0]pppauthentication-modepap[R1-Serial1/0/1]pppauthentication-modechap8.PPP认证协议配置命令（4）配置PAP认证下，被认证方配置用于认证方验证的PAP用户名及密码命令：ppppaplocal-userusernamepasswordcipherpassword

说明：被认证方发送的PAP用户信息要与认证方创建的本地用户一致才能认证成功视图：接口视图举例：被认证方R2接口S1/0/0配置发送用于PAP认证的用户信息，用户名为huawei，密码为huawei@123。[R2-Serial1/0/0]ppppaplocal-userhuaweipasswordcipherhuawei@1238.PPP认证协议配置命令（5）配置CHAP认证下的认证用户名命令：pppchapuserusername

说明：该命令配置在认证方，用户名将被封装在Challenge报文中发送给被认证方，且被认证方要存在与该用户名一致的本地用户。该命令配置在被认证方，认证方将对此用户进行认证，认证方要存在与该用户名一致的本地用户视图：接口视图举例：认证方R1接口S1/0/0上配置的CHAP用户名huawei。[R1-Serial1/0/0]ppppaplocal-userhuaweipasswordcipherhuawei@1238.PPP认证协议配置命令9.任务实施：CHAP和PAP认证配置（1）掌握PPP协议的工作原理；（2）掌握PAP、CHAP认证的配置方法。（一）任务目的

某公司总部与分支机构通过PPP链路连接，出于安全的考虑，分支机构在接入总部网络时需进行PPP认证，认证通过后，总、分支网络之间才能正常通信。（二）任务描述（1）拓扑图（2）操作流程总分支路由器配置网络参数；公司总部路由器R1作为PPP认证方，对分支接入设备（被认证方）进行单向认证：分支1接入时采用PAP认证；分支2接入时采用CHAP认证。具体认证信息如下：（三）实施规划认证方式R1配置本地用户名/密码R2R3配置本地用户名/密码PAPbranch1/huawei@123————————CHAPbranch2/huawei@456——core/huawei@4569.任务实施：CHAP和PAP认证配置（四）操作步骤配置网络参数[R1]interfaceSerial1/0/0[R1-Serial1/0/0]ipadd30[R1-Serial1/0/0]ints1/0/1[R1-Serial1/0/1]ipadd30R1配置接口IP地址：

配置PAP单向认证

配置CHAP单向认证[R2]intSerial1/0/0[R2-Serial1/0/0]ipadd30R2配置接口IP地址：[R3]intSerial1/0/0[R3-Serial1/0/0]ipadd30R3配置接口IP地址：9.任务实施：CHAP和PAP认证配置（四）操作步骤[R1]aaa[R1-aaa]local-userbranch1passwordcipherhuawei@123//创建本地用户信息，与被认证方的用户信息一致。[R1-aaa]local-userbranch1service-typeppp//用户可使用的服务为PPP[R1-aaa]ints1/0/0[R1-Serial1/0/0]pppauthentication-modepap

//指定认证方式为PAP，此时该设备为PAP认证方R1配置PAP认证方：[R2]ints1/0/0[R2-Serial1/0/0]ppppaplocal-userbranch1passwordcipherhuawei@123

//配置被认证方发送的PAP认证用户信息R2配置PAP被认证方：配置网络参数配置PAP单向认证

配置CHAP单向认证9.任务实施：CHAP和PAP认证配置（四）操作步骤[R1]aaa[R1-aaa]local-userbranch2passwordcipherhuawei@456[R1-aaa]local-userbranch2service-typeppp[R1-aaa]ints1/0/1[R1-Serial1/0/1]pppchapusercore

//配置CHAP认证用户名，与被认证方的本地用户信息一致[R1-Serial1/0/1]pppauthentication-modechap

//指定认证方式为CHAP，此时该设备为CHAP认证方R1配置CHAP认证方：[R3]aaa[R3-aaa]local-usercorepasswordcipherhuawei@456[R3-aaa]local-usercoreservice-typeppp[R3-aaa]ints1/0/0[R3-Serial1/0/0]pppchapuserbranch2R3配置CHAP被认证方：配置网络参数配置PAP单向认证配置CHAP单向认证9.任务实施：CHAP和PAP认证配置（五）实验测试查看接口状态信息R1查看接口S1/0/0信息：[R1]disints1/0/0Serial1/0/0currentstate:UPLineprotocolcurrentstate:UPLastlineprotocoluptime:2021-05-0312:21:28UTC-08:00Description:HUAWEI,ARSeries,Serial1/0/0InterfaceRoutePort,TheMaximumTransmitUnitis1500,Holdtimeris10(sec)InternetAddressis/30LinklayerprotocolisPPPLCPopened,IPCPopenedLastphysicaluptime:2021-05-0312:21:22UTC-08:00Lastphysicaldowntime:2021-05-0312:21:21UTC-08:00Currentsystemtime:2021-05-0313:56:57-08:00Physicallayerissynchronous,Virtualbaudrateis64000bpsInterfaceisDTE,CabletypeisV11,ClockmodeisTCLast300secondsinputrate6bytes/sec48bits/sec0packets/secLast300secondsoutputrate2bytes/sec16bits/sec0packets/sec......9.任务实施：CHAP和PAP认证配置（五）实验测试查看接口信息R1查看接口S1/0/1信息：[R1]disints1/0/1Serial1/0/1currentstate:UPLineprotocolcurrentstate:UPLastlineprotocoluptime:2021-05-0313:54:10UTC-08:00Description:HUAWEI,ARSeries,Serial1/0/1InterfaceRoutePort,TheMaximumTransmitUnitis1500,Holdtimeris10(sec)InternetAddressis/30LinklayerprotocolisPPPLCPopened,IPCPopenedLastphysicaluptime:2021-05-0313:44:54UTC-08:00Lastphysicaldowntime:2021-05-0313:44:49UTC-08:00Currentsystemtime:2021-05-0314:00:20-08:00Physicallayerissynchronous,Virtualbaudrateis64000bpsInterfaceisDTE,CabletypeisV11,ClockmodeisTCLast300secondsinputrate6bytes/sec48bits/sec0packets/secLast300secondsoutputrate2bytes/sec16bits/sec0packets/sec......9.任务实施：CHAP和PAP认证配置在PPP链路建立过程中，R1作为认证方，分别对分支R2、R3进行了认证。结果显示R1接口S1/0/0和S1/0/1的物理层和链路层状态都是Up，并且PPP的LCP和IPCP都是opened状态，说明链路的PPP协商已经成功。（六）结果分析CHAP认证分为两种方式：认证方配置了用户名（pppchapuserusername）和认证方没有配置用户名。本例采用第一种方式，认证方和被认证方都需要创建对端的用户信息，且密码必须一致。推荐使用第一种的方式，这样可以对认证方的用户名进行确认；配置PPP认证后，可以在接口视图下执行shutdown和undoshutdown，使认证立即生效。（七）注意事项9.任务实施：CHAP和PAP认证配置Module5广域网技术《网络互联技术》任务5.2

动态NAPT及静态

NAT配置NAT技术基本概念NAT技术分类NAPT配置流程NAT配置命令连接到互联网的设备都需要一个唯一的、合法的IP地址来标识，但随着互联网的发展，终端数量的增多，以及IPv4地址空间本身的限制，IPv4地址无法实现一对一的分配。NAT技术有效缓解了IP地址紧张的局面。通过将多个私有地址转化为一个或多个公有地址，解决内网用户数量多而公有IP地址数量少的情况。本次任务介绍NAT技术的分类、工作原理及配置方法。任务背景准备知识内网主机访问互联网时，必须要有一个公网地址身份标识。NAT（NetworkAddressTranslation）技术可以实现IP数据报文头中的IP地址的转换，当内部网络访问外部网络时，将IP数据包头中的私有地址（源IP地址）转化为公网地址。通过NAT技术部署，可以实现公网地址和私有地址的“一对多”的映射关系，以此缓解IPv4地址紧张的局面。1.NAT技术基本概念地址类型私有地址范围A～55B～55C～55私有地址是从A、B、C三类地址中各划取一段作为私有地址空间。私有地址不能被互联网识别，仅供局域网内部通信使用，并且在不同的局域网中可以复用。2.NAT技术分类静态NAT将内网中的一个私有IP固定地转换为一个公网IP（固定转换）。通常应用在允许外网主机访问内网服务器的环境中，外网主机可通过其所映射的公网地址来访问内网服务器。静态NAT工作过程示意图2.NAT技术分类动态NAT将内网中的一个私有IP转换为公网IP地址池中的一个地址（临时转换）。内网主机访问外网时，若地址池有可用地址，转换使用；若无可用地址，主机将无法访问外网，直到其它主机通信结束，映射关系解除，公网地址重新释放地址池中才可转化使用。动态NAT实现“一对一”的地址转换，并不能起到节约公网地址的作用，并且公网IP地址池中的地址个数限制了同时访问外部网络的内网用户数量，因此不适应于目前网络部署。动态NAT工作过程示意图2.NAT技术分类NAPTNAPT基于“IP地址+端口号”的转换方式，实现一个公网地址可以同时与多个私有地址形成映射关系，不同的映射关系通过端口号来区分。NAPT分为：动态NAPT：动态NAPT的映射关系是临时的，主要应用于为内网主机提供外网访问服务的环境中。静态NAPT：静态NAT映射关系是固定的，应用于外网用户访问内部服务器指定服务的环境中。端口号分类端口号分类端口范围描述公认端口0～1023这些端口明确地表明了某种服务的协议。如FTP服务端口为20、21，HTTP通信端口为80注册端口1024～49151这些端口大多数没有明确定义的服务对象,应用程序会根据自己的实际需要进行定义动态/私有端口49152～65535理论上不为服务分配这些端口，机器通常从1024起分配动态端口2.NAT技术分类NAPTNAPT基于“IP地址+端口号”的转换方式，实现一个公网地址可以同时与多个私有地址形成映射关系，不同的映射关系通过端口号来区分。NAPT分为：动态NAPT：动态NAPT的映射关系是临时的，主要应用于为内网主机提供外网访问服务的环境中。静态NAPT：静态NAT映射关系是固定的，应用于外网用户访问内部服务器指定服务的环境中。动态NAPT工作过程示意图2.NAT技术分类NAPTNAPT基于“IP地址+端口号”的转换方式，实现一个公网地址可以同时与多个私有地址形成映射关系，不同的映射关系通过端口号来区分。NAPT分为：动态NAPT：动态NAPT的映射关系是临时的，主要应用于为内网主机提供外网访问服务的环境中。静态NAPT：静态NAT映射关系是固定的，应用于外网用户访问内部服务器指定服务的环境中。静态NAPT工作过程示意图3.NAPT配置流程NAPT配置流程如下：创建公网地址池；配置ACL，定义允许进行NAT转换的内网私有地址范围；外网出接口上配置ACL匹配的内网地址与公网地址池的转换关系。（1）配置静态NAT命令：natstaticglobalglobal-addressinsidehost-address

说明：该命令用于将内网IP地址映射成为公网IP地址视图：接口视图举例：路由器R1将内网映射成。[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natstaticglobalinside4.NAT配置命令（2）创建公网IP地址池命令：nataddress-groupgroup-index

start-address

end-address

说明：group-index为NAT地址池索引号，在定义NAT映射关系时被调用；地址池内IP不可与设备已有IP重复视图：系统视图举例：路由器R1创建地址池，索引号为1，起始地址为，终止地址为。[R1]nataddress-group14.NAT配置命令（3）配置动态NAT/动态NAPT命令：natoutboundacl-numberaddress-groupgroup-index[no-pat]说明：acl-number为通过ACL定义的允许进行NAT转化的内网私有地址范围；携带no-pat参数为动态NAT转换，不携带no-pat为NAPT模式视图：接口视图举例：在路由器R1出接口G0/0/1上配置ACL2000与索引号为1的NAT地址池的映射关系。[R1-GigabitEthernet0/0/1]natoutbound2000address-group14.NAT配置命令（4）配置静态NAPT命令：natstaticprotocol{tcp|udp}global{

global-address

|

current-interface

}global-portinsidehost-address

host-port

说明：将“私有地址+端口”映射成为“公网地址+指定端口”视图：接口视图举例：R1配置静态NAPT，外网用户可通过访问到内网的WEB服务器（）。[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natstaticprotocoltcpglobal80inside804.NAT配置命令5.任务实施：动态NAPT及静态NAT配置（1）掌握动态NAPT及静态NAT的工作原理；（2）掌握NAT技术的配置方法。（一）任务目的

某公司网络用户数量较多，通过路由器接入运营商，申请了公网地址段/29用于内网用户访问互联网。同时公司内部部署了一台WWW服务器，能够对外提供访问服务。（二）任务描述（1）拓扑图（2）操作流程终端及服务器配置网络参数；路由器配置网络参数，网络出口配置IP地址/29，运营商侧配置IP地址/29；R1配置默认路由，下一跳指向运营商；R1配置NAT：配置公网地址池：/29-/29；配置ACL2000，定义允许转换的内网地址；定义转化过程，采用NAPT方式，实现公网地址一对多的转化；配置静态NAT，将WWW服务器映射至。（三）实施规划5.任务实施：动态NAPT及静态NAT配置（四）操作步骤路由器配置网络参数终端配置网络参数[R1]intg0/0/0[R1-GigabitEthernet0/0/0]ipadd29[R1-GigabitEthernet0/0/0]intg0/0/1[R1-GigabitEthernet0/0/1]ipadd5424[R1-GigabitEthernet0/0/1]quitR1配置接口IP地址：R1配置默认路由R1配置NAT[R2]intg0/0/0[R2-GigabitEthernet0/0/0]ipadd29[R2-GigabitEthernet0/0/0]intg0/0/1[R2-GigabitEthernet0/0/1]ipadd5424[R2-GigabitEthernet0/0/1]intg0/0/2[R2-GigabitEthernet0/0/2]ipadd5424[R2-GigabitEthernet0/0/2]quitR2配置接口IP地址：5.任务实施：动态NAPT及静态NAT配置（四）操作步骤路由器配置网络参数终端配置网络参数[R1]iproute-staticR1配置默认路由：R1配置默认路由R1配置NAT5.任务实施：动态NAPT及静态NAT配置（四）操作步骤路由器配置网络参数终端配置网络参数[R1]nataddress-group1//指定公网地址池[R1]acl2000//定义允许转换的内网地址[R1-acl-basic-2000]rulepermitsource55[R1-acl-basic-2000]intg0/0/0[R1-GigabitEthernet0/0/0]natoutbound2000address-group1

//配置转换过程，采用NAPT方式[R1-GigabitEthernet0/0/0]natstaticglobalinside0

//配置一对一静态映射R1配置NAT：R1配置默认路由R1配置NAT5.任务实施：动态NAPT及静态NAT配置（五）实验测试访问测试PC1访问互联网ISP-WWW服务器：R1查看NAT映射表项5.任务实施：动态NAPT及静态NAT配置（五）实验测试访问测试PC2访问企业网WWW服务器：R1查看NAT映射表项5.任务实施：动态NAPT及静态NAT配置（五）实验测试访问测试R1查看NAT映射表项R1查看动态映射表项：[R1]disnatsessionallNATSessionTableInformation:Protocol:TCP(6)SrcAddrPortVpn:1544DestAddrPortVpn:020480NAT-InfoNewSrcAddr:NewSrcPort:10254NewDestAddr:----NewDestPort:----Total:15.任务实施：动态NAPT及静态NAT配置（五）实验测试访问测试R1查看NAT映射表项R1查看静态映射表项：[R1]disnatstaticStaticNatInformation:Interface:GigabitEthernet0/0/0GlobalIP/Port:/----InsideIP/Port:0/----Protocol:----VPNinstance-name:----Aclnumber:----Netmask:55Description:----Total:15.任务实施：动态NAPT及静态NAT配置从NAT动态映射表项可以看出，内网用户访问Internet上的WEB服务器时，其私有地址转换为公网地址池中的地址。从静态映射表项可以看出，内网WEB服务器地址0映射到了公网地址。外网主机可以通过访问来实现对内网WEB服务器的访问。（六）结果分析动态NAPT可实现公网地址一对多的映射关系。如果用户在配置了NAT设备出接口的IP和其他应用之后，还有空闲公网IP地址，可以选择此方式；地址池是一些连续的IP地址集合，且地址池的起始地址必须小于等于结束地址。（七）注意事项5.任务实施：动态NAPT及静态NAT配置Module5广域网技术《网络互联技术》任务5.3

静态NAPT及Easy

IP配置EasyIP基本概念EasyIP配置流程EasyIP配置命令对于小型网络而言，通常只有一个公网地址配置在网络出口设备的外网接口上，这个公网地址可能是静态地址，也可以实通过拨号方式获取的动态地址。EasyIP可以将外网接口的公网地址和内网用户的私有地址进行一对多映射，满足用户的外网访问需求。本次任务介绍EasyIP的工作原理及配置方法。任务背景准备知识EasyIP是NAPT的一种简化情况。公网地址不再由公网地址池提供，而是使用连接公网的接口IP作为转化的公网地址。EasyIP同样基于“IP地址+端口号”的映射方式，内网主机映射为“出接口IP+随机端口”访问外网。同时还可以将内网服务器映射为“出接口IP+指定端口”，对外提供访问服务。1.EasyIP

基本概念EasyIP

工作过程示意图2.EasyIP

配置流程EasyIP配置流程如下：配置ACL：定义允许进行NAT转换的内网私有地址范围；配置EasyIP地址转换：ACL匹配的内网地址转换为出接口公网地址。

配置

EasyIP命令：natoutboundacl-number说明：EasyIP无需创建公有地址池，将ACL匹配内网地址直接转化为出接口地址视图：接口视图举例：内网用户访问外网时（ACL2000定义），转化为R1出接口Gi0/0/1地址。[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natoutbound20003.NAT配置命令4.任务实施：静态NAPT及EasyIP配置（1）掌握静态NAPT及EasyIP的工作原理；（2）掌握静态NAPT及EasyIP的配置方法。（一）任务目的

某公司网络通过路由器接入运营商，只申请了一个公网地址/30用于内网用户访问互联网。同时公司内部部署了一台WWW服务器，要对外提供访问服务。（二）任务描述（1）拓扑图（2）操作流程终端及服务器配置网络参数；路由器配置网络参数，网络出口配置/30，运营商侧配置/30；R1配置默认路由，下一跳指向运营商；R1配置NAT：配置ACL2000，定义允许转换的内网地址；定义转化过程，采用EasyIP方式，实现公网地址一对多转化；配置静态NAPT，将WWW服务器0:80映射至:80。（三）实施规划4.任务实施：静态NAPT及EasyIP配置（四）操作步骤路由器配置网络参数终端配置网络参数[R1]intg0/0/0[R1-GigabitEthernet0/0/0]ipadd30[R1-GigabitEthernet0/0/0]intg0/0/1[R1-GigabitEthernet0/0/1]ipadd5424[R1-GigabitEthernet0/0/1]quitR1配置接口IP地址：R1配置默认路由R1配置NAT[R2]intg0/0/0[R2-GigabitEthernet0/0/0]ipadd30[R2-GigabitEthernet0/0/0]intg0/0/1[R2-GigabitEthernet0/0/1]ipadd5424[R2-GigabitEthernet0/0/1]intg0/0/2[R2-GigabitEthernet0/0/2]ipadd5424[R2-GigabitEthernet0/0/2]quitR2配置接口IP地址：4.任务实施：静态NAPT及EasyIP配置（四）操作步骤路由器配置网络参数终端配置网络参数[R1]iproute-staticR1配置默认路由：R1配置默认路由R1配置NAT4.任务实施：静态NAPT及EasyIP配置（四）操作步骤路由器配置网络参数终端配置网络参数[R1]acl2000//定义允许转换的内网地址[R1-acl-basic-2000]rulepermitsourc