JS-WLJS-04-03-华为网络技术

9深圳高技能人才公共训练基地

WShenzhenPublicTrainingBaseforHi-skilledWorkers

新一代信息技术

华为网络技术

《实现办公网络访问Internet》训练任务指导书

目录

第一部分基本管理信息.............................................3

第二部分训练任务的内容...........................................4

第三部分训练任务的实施...........................................7

一、目标描述......................................................7

二、任务描述......................................................9

三、知识准备.....................................................10

四、训练活动.....................................................11

4活动一：知识抽查.............................................11

8活动二：示范操作.............................................11

8活动三：根据所讲述和示范案例，综合功能实现。.................32

台活动四：根据完成结果交流、点评。.............................35

五、训练效果评价.................................................36

第四部分附录....................................................37

1.网络基础.....................................................37

2.防火墙......................................................78

3.NAT技术.....................................................82

NAT概述与原理......................................................82

NAT配置案例........................................................85

4.ACL原理.....................................................86

ACL的组成...........................................................86

ACL的分类...........................................................87

ACL的匹配机制......................................................88

ACL配置案例........................................................89

第五部分参考文献................................................91

《办公网络访问INTERNET》..........................................92

《办公网络访问INTERNET》知识准备（答卷）..........................93

第一部分基本管理信息

基本管理信息

名称实现办公网络访问Internet代码XXJS-WLJS-04-03

类型基础类口专项类0综合类口创新类口

岗位网络工程师等级中级

类属于

模块项目华为网络技术

版本VI.0编制人编制时间2022年6月

所属单位批准人

学时幺个学时考核方式考核口考训结合0

评价方式自我评价口小组评价口老师评价0

符合以下条件之一：

(1)取得本职业初级工层次资格证书。

(2)取得相关职业中级及以上职业资格证书满1年。

(3)具有高等职业院校本职业对应专业或相关专业学历。

(4)有1年以上计算机网络/通信技术/移动通信技术从业经历。

适用对象(5)具有本职业或相关职业初级专业技术资格。

第二部分训练任务的内容

《实现办公网络访问Internet》训练任务的内容

任

务

目前部门内部和部门间都均可以互相通信，终端设备是需要能访问公网的，

来

并且需要保证上网的安全性；

源

关

（1）能（会）实现办公室访问Internet中部署防火墙；

键

（2）能（会）实现办公室访问Internet中配置ACL；

技

技（3）能（会）实现办公室访问Internet中配置NAT；

能

能

（4）能（会）实现办公室访问Internet中配置Traffic-filter。

目

基

（1）能（会）配置ACL；

标

本

（2）能（会）配置NAT；

技

（3）能（会）配置Traffic-filter；

能

（4）能（会）配置防火墙策略。

知（1）熟悉防火墙的工作原理；

目

识（2）熟悉Internet基础；

标

目（3）掌握NAT的分类和技术原理；

标（4）掌握ACL的分类和技术原理；

（5）掌握Traffic-filter原理。

职

业

素（1）不得恶意限制他人上网速度；

质（2）不得泄露公司内网重要设备的IP地址以及端口；

目（3）不得利用管理员权限更改公司资料；

标

1.讲解：⑴教师讲解训练任务的内容与要求；⑵教师讲授项目设计思路与操作步

训

骤、关键技术与相关知识。

练

2.示范：教师对关键技能和实训操作难点进行示范操作（本任务的实训操作内容

方

法主要是部署防火墙,ACL,NAT,Traffic-filter开展实验测试）。

及3.操练：⑴每人使用一台计算机；⑵学员遵循教师的引导掌握软件安装、；

手4.巡回指导：教师巡回检查和指导学员（个别指导和共性指导）。

段5.评价：小组检查和评价训练效果；教师点评和总结训练效果。

6.过程考核：教师根据学员各实验的完成程度给予评分。

时类另U示范操作时间（分钟）训练时间（分钟）

间

分技能关键技能180180

配目标基本技能1515

职业素质目标15

《实现办公网络访问Internet》训练任务的内容(续1)

设

类别名称规格及型号数量单位备注

备

备

预装操作系

及WindowslO/H

具计算机1ZA

耗统、Office和PDFReader

耗材无

环

境(1)多媒体演示条件：电脑、投影仪、话筒等。

要(2)空间和光线条件：训练室可容纳25-50人，光线均匀明亮，最多每2人1

求台实训设备，每人0.5近以上的活动空间。

(1)掌握NAT的分类和技术原理；

掌握(2)掌握ACL的分类和技术原理；

知(3)掌握Traffic-fiIter原理。

识

准(1)熟悉防火墙的工作原理；

熟悉

备(2)熟悉Internet基础；

了解(1)区分不同的网络设备并了解其基本作用

类别名称作者出版社书号备注

参参考

考教材

资

料

其他

参考

资料

《实现办公网络访问Internet》训练任务的内容（续2）

教师

类别项目考核内容评分标准配分得分

签名

1、什么的防火墙（30分）

知识根据完成情况

理论2、NAT的实现方式有哪些（30分）100

准备打分。

3、描述ACL的匹配顺序（40分）

任务完成情况完成口/未完成口1、未完成任务：

记为零分；

1、实现办公室访问Internet

中部署防火墙。会口/不会口2、完成任务：如

2、实现办公室访问Internet全部技能目标

技能会口/不会口

中配置ACL。为“会”,则为完

目标

3、实现办公室访问Internet成；否则，均为

会口/不会口

中配置NAT。未完成。

实操4、实现办公室访问Internet100

会口/不会口

中配置Traffic-filter。

1、命令逻辑清晰，语句正确若未完全达到

素质要求，则从

2、拓扑设备摆放整齐

职业训练活动成绩

素质3、尊重他人劳动，不窃取他人成果中扣分（总扣分

4、养成总结训练过程和结果的习惯，为下次训练不得超过50

总结经验分）。

知识准备评分说明：（这部分内容仅限教师培训使用，不在训练任务指导书上体现）

知识准备成绩是指训练任务指导书上知识准备题目的完成情况，由教师当堂批改给出成绩。

训练活动（实操）评分说明：

1、在规定时间内正确完成训练任务则该项训练活动成绩为合格（满分）。

评分

2、如果违反职业素质目标要求，则根据实际情况给予扣分。原则上如未发生严重违反职业素质目标要

说明

求的情况，不得使训练活动最终成绩为不及格（60分）。

3、在规定时间内未完成训练任务则该项训练活动成绩为不合格（零分），教师必须当堂给学员指出错

误或未能掌握的技能。

备注：

1、评分表原则上不能出现涂改现象，若出现则必须在涂改之处签字确认。

2、每次考核结束后，教师必须及时将成绩录入管理系统，并立即上交评分表至高训中心存档。

第三部分训练任务的实施

一、目标描述

。技能目标：

完成本训练任务后，你应当能（够）：

关键技能：

•能（会）实现办公室访问Internet中部署防火墙；

•能（会）实现办公室访问Inteniet中配置ACL；

•能（会）实现办公室访问Inteniet中配置NAT；

•能（会）实现办公室访问Internet中配置Traffic-fiIter。

基本技能：

•能（会）配置ACL；

•能（会）配置NAT；

•能（会）配置Traffic-filter；

•能（会）配置防火墙策略。

。知识目标：

完成本训练任务后，你应当能（够）：

•熟悉防火墙的工作原理；

•熟悉Internet基础；

•掌握NAT的分类和技术原理；

•掌握ACL的分类和技术原理；

•掌握Traffic-filter原理。

。职业素质目标：

完成本训练任务后，你应当能（够）：

•不得恶意限制他人上网速度；

•不得泄露公司内网重要设备的IP地址以及端口;

•不得利用管理员权限更改公司资料；

二、任务描述

通过对公司出口路由器和防火墙的配置，保证在上网的同时具备

安全性；需要配置防火墙的安全区域，配置ACL限制公司网络访问以

及配置NAT地址转化保证上网；

三、知识准备

（见附件）

1.防火墙是什么？

答，

2.NAT的实现方式有哪些?

答：___________________

3.描述ACL的匹配顺序？

答：

四、训练活动

台活动一：知识抽查

要求：

•老师对学员知识准备情况进行抽查具体抽查内容见知识准备

的问题；

•抽查方式：0口答口试卷口操作

老师要记录学员回答问题的情况。老师必要时做简单的讲解。

8活动二：示范操作

内容：

部署防火墙，配置安全策略,ACL,NAT,保护内网免受外部非法用户的侵入。

任务要求：

1、部署防火墙。

2、配置防火墙策略。

3、配置ACL。

4、配置NAT。

•步骤一：部署配置防火墙

1、任务分析

防火墙用在内外网络边缘处，防止外部网络对内部网络的入侵。对于使用

私有地址的内部网络，可以通过NAT、ALG技术和防火墙技术结合，实现更进

一步的安全防护。

2、实验拓扑

在教学文档中找到并打开“实验拓扑”文件夹，在其中找到防火墙实验，打

开，并在ensp中启动设备。

3、实验接口编址

设备接口IP地址子网掩码默认网关

PC1EO/O/1192.168.1.124192.168.1.254

CliendlEO/O/O192.168.1.224192.168.1.254

ServeriEO/O/O10.1.1.12410.1.1.254

Server2EO/O/O10.1.2.12410.1.2.254

Gl/0/0192.168.1.25424N/A

FWlGl/0/110.1.1.25424N/A

Gl/0/210.1.2.25424N/A

4、实验步骤

1.导入防火墙镜像包

将教学文档中的防火墙镜像包解压到当前文件夹。

打开ensp,在防火墙中：选择USG6000V,开启防火墙，弹出导入镜像，选

择解压的镜像即可。

防火墙

0B

USG6000V

USG5500USG6000V

2.基础配置

根据实验规划配置接口的IP地址。

初次进入防火墙需要输入账号及密码

账号：admin

密码：Admin@123

会询问是否需要修改密码，可以修改相同的密码。

当配置完后，在PClping测试网关是否可达。显示如下。

当配置好了IP地址后发现访问不了防火墙的网关地址，这时候要在防火墙

的接口中配置命令：

FW1：

interfaceGigabitEthernet1/0/0

undoshutdown

ipaddress192.168.1.254255.255.255.0

service-managepingpermit

interfaceGigabitEthernet1/0/1

undoshutdown

ipaddress10.1.1.254255.255.255.0

service-managepingpermit

interfaceGigabitEthernet1/0/2

undoshutdown

ipaddress10.1.2.254255.255.255.0

service-managepingpermit

3.定义trust>untrust>dmz区

配置命令如下：

FWl

firewallzonetrust

setpriority85

addinterfaceGigabitEthernet1/0/0

firewallzoneuntrust

setpriority5

addinterfaceGigabitEthernet1/0/1

firewallzonedmz

setpriority50

addinterfaceGigabitEthernet1/0/2

受信区（Trust）：较高级别的安全区域，其安全优先级为85。

非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。

非受信区（Untrust）：低级的安全区域，其安全优先级为5

4.定义安全策略

配置命令如下：

FW1

security-policy

rulenametrutountru

destination-zoneuntrust

source-address192.168.1.024

actionpermit

信任区访问非信任区

rulenamelototru

source-zonelocal

destination-zonetrust

source-address24

actionpermit

本地访问信任区

rulenameuntrutodmz

source-zoneuntrust

destination-zonedmz

destination-address10.1.2.132

servicetelnet

serviceftp

serviceicmp

actionpermit

非信任区访问dmz可使用telnetftpicmp访问

rulenametrutodmz

source-zonetrust

destination-zonedmz

destination-address10.1.2.132

actionpermit

信任区访问dmz

rulenamedmztotru

source-zonedmz

destination-zonetrust

source-address192.168.1.024

actionpermit

dmz访问信任区

•步骤二：使用基本ACL限制公司网络访问

1、任务分析

本实验模拟企业网络环境，AR1为分公司部门的网关，AR2为分公司部门的

网关，AR3为分公司去往总部出口的网关设备，AR4为总部核心路由器设备。整

网运行OSPF协议，并在区域0内。企业设计通过远程方式管理核心网路由器AR4,

要求只能由AR1所连的PC（本实验使用环回接口模拟）访问AR4,其他设备均不能

访问。

2、实验拓扑

在教学文档中找到并打开“实验拓扑”文件夹，在其中找到三使用基本ACL

限制公司网络访问实验，打开，并在ensp中启动设备。

AR2

3、实验接口编址

设备接口IP地址子网掩码默认网关

G0/0/010.1.1.124N/A

ARI

LoopbackO1.1.1.132N/A

AR2G0/0/010.1.2.224N/A

G0/0/010.1.1.324N/A

G0/0/110.1.2.324N/A

AR3

G0/0/210.1.3.324N/A

LoopbackO3.3.3.332N/A

G0/0/010.1.3.424N/A

AR4

LoopbackO4.4.4.432N/A

4、实验任务配置

1.基础配置

根据实验编址表进行相应的基本配置，并使用ping命令检测各直连链路的

连通性。在所有路由器上运行OSPF协议，通告相应网段至区域0中。

[ARl]ping10.1.1.3

PING10.1.1.3:56databytes,pressCTRL_Ctobreak

Replyfrom10.11.3:bytes=56Sequence=lttl=255time=30ms

Replyfrom10.11.3:bytes=56Sequence=2ttl=255time=30ms

Replyfrom10.11.3:bytes=56Sequence=3ttl=255time=20ms

Replyfrom10.11.3:bytes=56Sequence=4ttl=255time=30ms

Replyfrom10.11.3:bytes=56Sequence=5ttl=255time=10ms

—10.1.1.3pingstatistics—

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=10/24/30ms

配置完成之后，在RI的路由表上查看OSPF路由信息。

[ARl]displayiprouting-tableprotocolospf

RouteFlags:R-relay,D-downloadtofib

Publicroutingtable:OSPF

Destinations:5Routes:5

OSPFroutingtablestatus:<Active>

Destinations:5Routes:5

Destination/MaskProtoPreCostFlagsNextHop

Interface

2.2.2.2/32OSPF102D10.1.1.3

GigabitEthernet

0/0/0

3.3.3.3/32OSPF101D10.1.1.3

GigabitEthernet

0/0/0

4.4.4.4/32OSPF102D10.1.1.3

GigabitEthernet

0/0/0

10.1.2.0/24OSPF102D10.1.1.3

GigabitEthernet

0/0/0

10.1.3.0/24OSPF102D10.1.1.3

GigabitEthernet

0/0/0

OSPFroutingtablestatus:<Inactive>

Destinations:0Routes:0

路由器AR1已经学习到了相关网段的路由条目，测试R1的环回口与R4的环回

口间的连通性。

[ARl]ping-a1.1.1.14.4.4.4

PING4.4.4.4:56databytes,pressCTRL_Ctobreak

Replyfrom4.4.4.4:bytes=56Sequence=lttl=254time=40ms

Replyfrom4.4.4.4:bytes=56Sequence=2ttl=254time=40ms

Replyfrom4.4.4.4:bytes=56Sequence=3ttl=254time=20ms

Replyfrom4.4.4.4:bytes=56Sequence=4ttl=254time=30ms

Replyfrom4.4.4.4:bytes=56Sequence=5ttl=254time=30ms

---4.4.4.4pingstatistics----

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=20/32/40ms

配置如下：

ARI

interfaceGigabitEthernet0/0/0

ipaddress10.1.1.1255.255.255.0

interfaceLoopBackO

ipaddress1.1.1.1255.255.255.255

ospf1

area0.0.0.0

network1.1.1.10.0.0.0

network10.1.1.10.0.0.0

AR2

interfaceGigabitEthernet0/0/0

ipaddress10.1.2.2255.255.255.0

interfaceLoopBackO

ipaddress2.2.2.2255.255.255.255

ospf1

area0.0.0.0

network2.2.2.20.0.0.0

network10.1.2.20.0.0.0

AR3

interfaceGigabitEthernet0/0/0

ipaddress10.1.1.3255.255.255.0

#

interfaceGigabitEthernet0/0/l

ipaddress10.1.2.3255.255.255.0

#

interfaceGigabitEthernetO/O/2

ipaddress10.1.3.3255.255.255.0

interfaceLoopBackO

ipaddress3.3.3.3255.255.255.255

ospf1

area0.0.0.0

network3.3.3.30.0.0.0

network10.1.1.30.0.0.0

network10.1.2.30.0.0.0

network10.1.3.30.0.0.0

AR4

interfaceGigabitEthernet0/0/0

ipaddress10.1.3.4255.255.255.0

interfaceLoopBackO

ipaddress4.4.4.4255.255.255.255

#

ospf1

area0.0.0.0

network4.4.4.40.0.0.0

network10.1.3.40.0.0.0

2.配置ACL

基本的ACL可以针对数据包的源IP地址进行过滤，在AR4上使用acl命令创建

一个编号型ACL,基本ACL的范围是2000~2999。

当我们创建ACL拒绝全部后，并在接口应用。在AR1进行ping测试。

<ARl>ping4.4.4.4

PING4.4.4.4:56databytes,pressCTRL_Ctobreak

Requesttimeout

Requesttimeout

Requesttimeout

Requesttimeout

Requesttimeout

—4.4.4.4pingstatistics—

5packet(s)transmitted

0packet(s)received

100.00%packetloss

此时已经不可达了。既上述配置已经生效。

配置如下：

AR4

aclnumber2000

rule5deny

interfaceGigabitEthernet0/0/0

traffic-filterinboundacl2000

3.实现需求

ARI所连的PC（本实验使用环回接口模拟）访问AIM,其他设备不可访问。

ACL的执行是有顺序性的，如果规则ID小的规则已经被命中，并且执行了允

许或者拒绝的动作，那么后续的规则就不再继续匹配。

在AR4上使用displayaclall命令查看设备上所有的访问控制列表。

[AR4]displayaclall

TotalquantityofnonemptyACLnumberis1

BasicACL2000,2rules

Acl'sstepis5

rule5permitsource1.1.1.10

rule10deny(2matches)

验证现象：

[ARUping-a1.1.1.14.4.4.4

PING4.4.4.4:56databytes,pressCTRL_Ctobreak

Replyfrom4.4.4.4:bytes=56Sequence=lttl=254time=30ms

Replyfrom4.4.4.4:bytes=56Sequence=2ttl=254time=30ms

Replyfrom4.4.4.4:bytes=56Sequence=3ttl=254time=30ms

Replyfrom4.4.4.4:bytes=56Sequence=4ttl=254time=30ms

Replyfrom4.4.4.4:bytes=56Sequence=5ttl=254time=30ms

---4.4.4.4pingstatistics----

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=30/30/30ms

此时，访问成功，证明配置生效，实现效果。

•步骤三：NAT

1、项目介绍

本实验模拟企业网络场景。AR1是公司的出口网关路由器，公司内员工和服

务器都通过交换机SW1或SW2连接到R1上，R2模拟外网设备与R1直连。由于

公司内网都使用私网IP地址，为了实现公司内部分员工可以访问外网，服务器

可以供外网用户访问，网络管理员需要在路由器AR1上配置NAT:使用静态NAT

和NATOutbound技术使部分员工可以访问外网，使用NATServer技术使服务器

可以供外网用户访问。

2、实验拓扑

在教学文档中找到并打开“实验拓扑”文件夹，在其中找到NAT实验，打

开，并在ensp中启动设备。

3、实验规划

设备接口IP地址子网掩码默认网关

G0/0/010.1.1.124N/A

AR1G0/0/1192.168.1.25424N/A

G0/0/2192.168.2.25424N/A

G0/0/010.1.1.224N/A

AR2

LoopbackO2.2.2.224N/A

PC1E0/0/1192.168.1.124192.168.1.254

PC2E0/0/1192.168.2.224192.168.2.254

PC3E0/0/1192.168.2.324192.168.2.254

serverE0/0/0192.168.1.224192.168.1.254

4、实验任务配置

1.配置步骤

根据实验编址表进行相应的基本配置，并使用ping命令检测各直连链路的

连通性。

[ARl]ping10.1.1.2

PING10.1.1.2:56databytes,pressCTRL_Ctobreak

Replyfrom10.11.2:bytes=56Sequence=lttl=255time=100ms

Replyfrom10.11.2:bytes=56Sequence=2ttl=255time=20ms

Replyfrom10.11.2:bytes=56Sequence=3ttl=255time=30ms

Replyfrom10.11.2:bytes=56Sequence=4ttl=255time=30ms

Replyfrom10.11.2:bytes=56Sequence=5ttl=255time=20ms

—10.1.1.2pingstatistics—

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=20/40/100ms

配置命令如下：

ARI

interfaceGigabitEthernet0/0/0

ipaddress10.1.1.1255.255.255.0

interfaceGigabitEthernetO/0/1

ipaddress192.168.1.254255.255.255.0

interfaceGigabitEthernetO/O/2

ipaddress192.168.2.254255.255.255.0

AR2

interfaceGigabitEthernet0/0/0

ipaddress10.1.1.2255.255.255.0

interfaceLoopBackO

ipaddress2.2.2.2255.255.255.0

其余直连网段的连通性测试省略。

2.配置静态NAT

公司在网关路由器R1上配置访问外网的默认路由。

AR1

iproute-static0.0.0.00.0.0.010.1.1.2

由于内网使用的都是私有IP地址，员工无法直接访问公网。现需要在网关路

由器R1上配置NAT地址转换，将私网地址转换为公网地址。

PC1为公司终端，不仅需要自身能访问外网，还需要外网用户也能够直接访

问他，因此网络管理员分配了一个公网IP地址10.LL5给PC1做静态NAT地

址转换。在R1的GE0/0/0接口下使用natstatic命令配置内部地址到外部地址

的一对一转换。

interfaceGigabitEthernetO/0/0

natstaticglobal10.1.1.2inside192.168.1.1netmask255.255.255.255

配置完成后，在ARI上查看NAT静态配置信息，并在PC1上使用ping命令

测试与外网的连通性。

[ARl]displaynatstatic

StaticNatInformation:

Interface:GigabitEthernet0/0/0

GlobalIP/Port:10.1.1.2/——

InsideIP/Port:192,168.1.1/——

Protocol:----

VPNinstance-name:----

Aclnumber:----

Netmask:255.255.255.255

Description:----

Total:1

PCI：

POping2.2.2.2

Ping2.2.2.2:32databytes,PressCtrl_Ctobreak

From2.2.2.2:bytes=32seq=lttl=255time=47ms

From2.2.2.2:bytes=32seq=2ttl=255time=31ms

From2.2.2.2:bytes=32seq=3ttl=255time=47ms

From2.2.2.2:bytes=32seq=4ttl=255time=47ms

From2.2.2.2:bytes=32seq=5ttl=255time=47ms

---2.2.2.2pingstatistics----

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=31/43/47ms

可以观察到，PCI通过静态NAT地址转换已经可以成功访问外网。

在R2上使用环回口LoopbackO模拟外网用户访问PC-1。

3.配置NATOutbound

公司另外一个部门的员工都需要能够访问外网。IP地址192.168.2.0/24网

段，网络管理员使用公网地址池10.1.L50—10.1.1.60.为该部门员工做NAT转

换。

在AR1上使用nataddres-group命令配置NAT地址池，设置起始和结束地址

分别为10.L1.50和10.1.1.60o

[ARl]nataddress-group110.1.1.5010.1.1.60

创建基本ACL2000,匹配192.168.2.0,掩码为24位的地址段。

aclnumber2000

rule5permitsource192.168.2.00.0.0.255

在GE0/0/0接口下使用natoutbound命令将ACL2000与地址池相关联，使得

ACL中规定的地址可以使用地址池进行地址转换。

interfaceGigabitEthernet0/0/0

natoutbound2000address-group1no-pat

测试连通性

POping2.2.2.2

Ping2.2.2.2:32databytes,PressCtrl_Ctobreak

From2.2.2.2:bytes=32seq=lttl=255time=47ms

From2.2.2.2:bytes=32seq=2ttl=255time=31ms

From2.2.2.2:bytes=32seq=3ttl=255time=47ms

From2.2.2.2:bytes=32seq=4ttl=255time=32ms

From2.2.2.2:bytes=32seq=5ttl=255time=46ms

---2.2.2.2pingstatistics----

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=31/40/47ms

4.配置NATEasy-IP

由于公司发展人员扩招，若继续使用多对多的NAT转换方式，就必须增加公

网地址池的地址数。为了节约公网地址，网络管理员使用多对一的Easv-IP转换

方式实现市场部员工访问外网的需求。

Easy-IP是NAPT的一种方式，直接借用路由器出接口IP地址作为公网地址，

将不同的内部地址映射到同一公有地址的不同端口号上，实现多对一地址转换。

网络管理员配置路由器R1的GE0/0/0接口为Easy-IP接口。

在R1的GE0/0/0接口上删除NATOutbound配置，并使用natoutbound命

令配置Easy-IP特性，直接使用接口IP地址作为NAT转换后的地址。

配置命令如下：

AR1

[ARl-GigabitEthernetO/0/0]undonatoutbound2000address-group1no-pat

[ARl-GigabitEthernetO/0/0]natoutbound2000

RI借用自身GE0/0/0接口的公网IP地址为所有私网地址做NAT转换，使用

不同的端口号区分不同私网数据。此方式不需要创建地址池，大大节省了地址空

间。

5.配置NATServer

公司内Server提供FTP服务供外网用户访问，配置NATServer并使用公网

IP地址10.1.1.6对外公布服务器地址，然后开启NATALG功能。因为对于封装

在IP数据报文中的应用层协议报文，正常的NAT转换会导致错误，在开启某应

用协议的NATALG功能后，该应用协议报文可以正常进行NAT转换，否则该应用

协议不能正常工作。

在R1的GE0/0/0接口上，使用natserver命令定义内部服务器的映射表，指定

服务器通信协议类型为TCP,配置服务器使用的公网IP地址为10.1.1.6,服务

器内网地址为192.168.1.2,指定端口号为21,该常用端口号可以直接使用关键

字“ftp”代替。

配置命令如下：

AR1

natalgftpenable

interfaceGigabitEthernet0/0/0

natserverprotocoltcpglobal10.1.1.6ftpinsideftp

・步骤四：综合实验

1.项目介绍

在小型的公司网络搭建中，需要配置NAT,ACL,防火墙，根据任务需求,

完成综合功能实现。

2.实验拓扑

在教学文档中找到并打开“实验拓扑”文件夹，在其中找到综合实验，打开,

并在ensp中启动设备。

外网

3.实验编址

设备接口IP地址子网掩码默认网关

PC1E0/0/1192.168.1.124192.168.1.254

PC2E0/0/1192.168.1.224192.168.1.254

PC3E0/0/1192.168.2.324192.168.2.254

ServerlE0/0/0192.168.3.124192.168.3.254

G0/0/010.1.1.124N/A

AR1

LoopbackO1.1.1.124N/A

G0/0/010.1.1.224N/A

G1/0/0192.168.3.25424N/A

FW1

G1/0/1192.168.1.25424N/A

G1/0/2192.168.2.25424N/A

4.实验任务配置

1.根据实验编址配置IP