9深圳高技能人才公共訓練基地

WShenzhenPublicTrainingBaseforHi-skilledWorkers

新一代信息技術

華為網絡技術

《實現辦公網絡訪問Internet》訓練任務指導書

目錄

第一部分基本管理信息.............................................3

第二部分訓練任務的內容...........................................4

第三部分訓練任務的實施...........................................7

一、目標描述......................................................7

二、任務描述......................................................9

三、知識準備.....................................................10

四、訓練活動.....................................................11

4活動一：知識抽查.............................................11

8活動二：示范操作.............................................11

8活動三：根據所講述和示范案例，綜合功能實現。.................32

臺活動四：根據完成結果交流、點評。.............................35

五、訓練效果評價.................................................36

第四部分附錄....................................................37

1.網絡基礎.....................................................37

2.防火墻......................................................78

3.NAT技術.....................................................82

NAT概述與原理......................................................82

NAT配置案例........................................................85

4.ACL原理.....................................................86

ACL的組成...........................................................86

ACL的分類...........................................................87

ACL的匹配機制......................................................88

ACL配置案例........................................................89

第五部分參考文獻................................................91

《辦公網絡訪問INTERNET》..........................................92

《辦公網絡訪問INTERNET》知識準備（答卷）..........................93

第一部分基本管理信息

基本管理信息

名稱實現辦公網絡訪問Internet代碼XXJS-WLJS-04-03

類型基礎類口專項類0綜合類口創新類口

崗位網絡工程師等級中級

類屬于

模塊項目華為網絡技術

版本VI.0編制人編制時間2022年6月

所屬單位批準人

學時幺個學時考核方式考核口考訓結合0

評價方式自我評價口小組評價口老師評價0

符合以下條件之一：

(1)取得本職業初級工層次資格證書。

(2)取得相關職業中級及以上職業資格證書滿1年。

(3)具有高等職業院校本職業對應專業或相關專業學歷。

(4)有1年以上計算機網絡/通信技術/移動通信技術從業經歷。

適用對象(5)具有本職業或相關職業初級專業技術資格。

第二部分訓練任務的內容

《實現辦公網絡訪問Internet》訓練任務的內容

任

務

目前部門內部和部門間都均可以互相通信，終端設備是需要能訪問公網的，

來

并且需要保證上網的安全性；

源

關

（1）能（會）實現辦公室訪問Internet中部署防火墻；

鍵

（2）能（會）實現辦公室訪問Internet中配置ACL；

技

技（3）能（會）實現辦公室訪問Internet中配置NAT；

能

能

（4）能（會）實現辦公室訪問Internet中配置Traffic-filter。

目

基

（1）能（會）配置ACL；

標

本

（2）能（會）配置NAT；

技

（3）能（會）配置Traffic-filter；

能

（4）能（會）配置防火墻策略。

知（1）熟悉防火墻的工作原理；

目

識（2）熟悉Internet基礎；

標

目（3）掌握NAT的分類和技術原理；

標（4）掌握ACL的分類和技術原理；

（5）掌握Traffic-filter原理。

職

業

素（1）不得惡意限制他人上網速度；

質（2）不得泄露公司內網重要設備的IP地址以及端口；

目（3）不得利用管理員權限更改公司資料；

標

1.講解：⑴教師講解訓練任務的內容與要求；⑵教師講授項目設計思路與操作步

訓

驟、關鍵技術與相關知識。

練

2.示范：教師對關鍵技能和實訓操作難點進行示范操作（本任務的實訓操作內容

方

法主要是部署防火墻,ACL,NAT,Traffic-filter開展實驗測試）。

及3.操練：⑴每人使用一臺計算機；⑵學員遵循教師的引導掌握軟件安裝、；

手4.巡回指導：教師巡回檢查和指導學員（個別指導和共性指導）。

段5.評價：小組檢查和評價訓練效果；教師點評和總結訓練效果。

6.過程考核：教師根據學員各實驗的完成程度給予評分。

時類另U示范操作時間（分鐘）訓練時間（分鐘）

間

分技能關鍵技能180180

配目標基本技能1515

職業素質目標15

《實現辦公網絡訪問Internet》訓練任務的內容(續1)

設

類別名稱規格及型號數量單位備注

備

備

預裝操作系

及WindowslO/H

具計算機1ZA

耗統、Office和PDFReader

耗材無

環

境(1)多媒體演示條件：電腦、投影儀、話筒等。

要(2)空間和光線條件：訓練室可容納25-50人，光線均勻明亮，最多每2人1

求臺實訓設備，每人0.5近以上的活動空間。

(1)掌握NAT的分類和技術原理；

掌握(2)掌握ACL的分類和技術原理；

知(3)掌握Traffic-fiIter原理。

識

準(1)熟悉防火墻的工作原理；

熟悉

備(2)熟悉Internet基礎；

了解(1)區分不同的網絡設備并了解其基本作用

類別名稱作者出版社書號備注

參參考

考教材

資

料

其他

參考

資料

《實現辦公網絡訪問Internet》訓練任務的內容（續2）

教師

類別項目考核內容評分標準配分得分

簽名

1、什么的防火墻（30分）

知識根據完成情況

理論2、NAT的實現方式有哪些（30分）100

準備打分。

3、描述ACL的匹配順序（40分）

任務完成情況完成口/未完成口1、未完成任務：

記為零分；

1、實現辦公室訪問Internet

中部署防火墻。會口/不會口2、完成任務：如

2、實現辦公室訪問Internet全部技能目標

技能會口/不會口

中配置ACL。為“會”,則為完

目標

3、實現辦公室訪問Internet成；否則，均為

會口/不會口

中配置NAT。未完成。

實操4、實現辦公室訪問Internet100

會口/不會口

中配置Traffic-filter。

1、命令邏輯清晰，語句正確若未完全達到

素質要求，則從

2、拓撲設備擺放整齊

職業訓練活動成績

素質3、尊重他人勞動，不竊取他人成果中扣分（總扣分

4、養成總結訓練過程和結果的習慣，為下次訓練不得超過50

總結經驗分）。

知識準備評分說明：（這部分內容僅限教師培訓使用，不在訓練任務指導書上體現）

知識準備成績是指訓練任務指導書上知識準備題目的完成情況，由教師當堂批改給出成績。

訓練活動（實操）評分說明：

1、在規定時間內正確完成訓練任務則該項訓練活動成績為合格（滿分）。

評分

2、如果違反職業素質目標要求，則根據實際情況給予扣分。原則上如未發生嚴重違反職業素質目標要

說明

求的情況，不得使訓練活動最終成績為不及格（60分）。

3、在規定時間內未完成訓練任務則該項訓練活動成績為不合格（零分），教師必須當堂給學員指出錯

誤或未能掌握的技能。

備注：

1、評分表原則上不能出現涂改現象，若出現則必須在涂改之處簽字確認。

2、每次考核結束后，教師必須及時將成績錄入管理系統，并立即上交評分表至高訓中心存檔。

第三部分訓練任務的實施

一、目標描述

。技能目標：

完成本訓練任務后，你應當能（夠）：

關鍵技能：

?能（會）實現辦公室訪問Internet中部署防火墻；

?能（會）實現辦公室訪問Inteniet中配置ACL；

?能（會）實現辦公室訪問Inteniet中配置NAT；

?能（會）實現辦公室訪問Internet中配置Traffic-fiIter。

基本技能：

?能（會）配置ACL；

?能（會）配置NAT；

?能（會）配置Traffic-filter；

?能（會）配置防火墻策略。

。知識目標：

完成本訓練任務后，你應當能（夠）：

?熟悉防火墻的工作原理；

?熟悉Internet基礎；

?掌握NAT的分類和技術原理；

?掌握ACL的分類和技術原理；

?掌握Traffic-filter原理。

。職業素質目標：

完成本訓練任務后，你應當能（夠）：

?不得惡意限制他人上網速度；

?不得泄露公司內網重要設備的IP地址以及端口;

?不得利用管理員權限更改公司資料；

二、任務描述

通過對公司出口路由器和防火墻的配置，保證在上網的同時具備

安全性；需要配置防火墻的安全區域，配置ACL限制公司網絡訪問以

及配置NAT地址轉化保證上網；

三、知識準備

（見附件）

1.防火墻是什么？

答，

2.NAT的實現方式有哪些?

答：___________________

3.描述ACL的匹配順序？

答：

四、訓練活動

臺活動一：知識抽查

要求：

?老師對學員知識準備情況進行抽查具體抽查內容見知識準備

的問題；

?抽查方式：0口答口試卷口操作

老師要記錄學員回答問題的情況。老師必要時做簡單的講解。

8活動二：示范操作

內容：

部署防火墻，配置安全策略,ACL,NAT,保護內網免受外部非法用戶的侵入。

任務要求：

1、部署防火墻。

2、配置防火墻策略。

3、配置ACL。

4、配置NAT。

?步驟一：部署配置防火墻

1、任務分析

防火墻用在內外網絡邊緣處，防止外部網絡對內部網絡的入侵。對于使用

私有地址的內部網絡，可以通過NAT、ALG技術和防火墻技術結合，實現更進

一步的安全防護。

2、實驗拓撲

在教學文檔中找到并打開“實驗拓撲”文件夾，在其中找到防火墻實驗，打

開，并在ensp中啟動設備。

3、實驗接口編址

設備接口IP地址子網掩碼默認網關

PC1EO/O/1192.168.1.124192.168.1.254

CliendlEO/O/O192.168.1.224192.168.1.254

ServeriEO/O/O10.1.1.12410.1.1.254

Server2EO/O/O10.1.2.12410.1.2.254

Gl/0/0192.168.1.25424N/A

FWlGl/0/110.1.1.25424N/A

Gl/0/210.1.2.25424N/A

4、實驗步驟

1.導入防火墻鏡像包

將教學文檔中的防火墻鏡像包解壓到當前文件夾。

打開ensp,在防火墻中：選擇USG6000V,開啟防火墻，彈出導入鏡像，選

擇解壓的鏡像即可。

防火墻

0B

USG6000V

USG5500USG6000V

2.基礎配置

根據實驗規劃配置接口的IP地址。

初次進入防火墻需要輸入賬號及密碼

賬號：admin

密碼：Admin@123

會詢問是否需要修改密碼，可以修改相同的密碼。

當配置完后，在PClping測試網關是否可達。顯示如下。

當配置好了IP地址后發現訪問不了防火墻的網關地址，這時候要在防火墻

的接口中配置命令：

FW1：

interfaceGigabitEthernet1/0/0

undoshutdown

ipaddress192.168.1.254255.255.255.0

service-managepingpermit

interfaceGigabitEthernet1/0/1

undoshutdown

ipaddress10.1.1.254255.255.255.0

service-managepingpermit

interfaceGigabitEthernet1/0/2

undoshutdown

ipaddress10.1.2.254255.255.255.0

service-managepingpermit

3.定義trust>untrust>dmz區

配置命令如下：

FWl

firewallzonetrust

setpriority85

addinterfaceGigabitEthernet1/0/0

firewallzoneuntrust

setpriority5

addinterfaceGigabitEthernet1/0/1

firewallzonedmz

setpriority50

addinterfaceGigabitEthernet1/0/2

受信區（Trust）：較高級別的安全區域，其安全優先級為85。

非軍事化區（DMZ）：中度級別的安全區域，其安全優先級為50。

非受信區（Untrust）：低級的安全區域，其安全優先級為5

4.定義安全策略

配置命令如下：

FW1

security-policy

rulenametrutountru

destination-zoneuntrust

source-address192.168.1.024

actionpermit

信任區訪問非信任區

rulenamelototru

source-zonelocal

destination-zonetrust

source-address24

actionpermit

本地訪問信任區

rulenameuntrutodmz

source-zoneuntrust

destination-zonedmz

destination-address10.1.2.132

servicetelnet

serviceftp

serviceicmp

actionpermit

非信任區訪問dmz可使用telnetftpicmp訪問

rulenametrutodmz

source-zonetrust

destination-zonedmz

destination-address10.1.2.132

actionpermit

信任區訪問dmz

rulenamedmztotru

source-zonedmz

destination-zonetrust

source-address192.168.1.024

actionpermit

dmz訪問信任區

?步驟二：使用基本ACL限制公司網絡訪問

1、任務分析

本實驗模擬企業網絡環境，AR1為分公司部門的網關，AR2為分公司部門的

網關，AR3為分公司去往總部出口的網關設備，AR4為總部核心路由器設備。整

網運行OSPF協議，并在區域0內。企業設計通過遠程方式管理核心網路由器AR4,

要求只能由AR1所連的PC（本實驗使用環回接口模擬）訪問AR4,其他設備均不能

訪問。

2、實驗拓撲

在教學文檔中找到并打開“實驗拓撲”文件夾，在其中找到三使用基本ACL

限制公司網絡訪問實驗，打開，并在ensp中啟動設備。

AR2

3、實驗接口編址

設備接口IP地址子網掩碼默認網關

G0/0/010.1.1.124N/A

ARI

LoopbackO1.1.1.132N/A

AR2G0/0/010.1.2.224N/A

G0/0/010.1.1.324N/A

G0/0/110.1.2.324N/A

AR3

G0/0/210.1.3.324N/A

LoopbackO3.3.3.332N/A

G0/0/010.1.3.424N/A

AR4

LoopbackO4.4.4.432N/A

4、實驗任務配置

1.基礎配置

根據實驗編址表進行相應的基本配置，并使用ping命令檢測各直連鏈路的

連通性。在所有路由器上運行OSPF協議，通告相應網段至區域0中。

[ARl]ping10.1.1.3

PING10.1.1.3:56databytes,pressCTRL_Ctobreak

Replyfrom10.11.3:bytes=56Sequence=lttl=255time=30ms

Replyfrom10.11.3:bytes=56Sequence=2ttl=255time=30ms

Replyfrom10.11.3:bytes=56Sequence=3ttl=255time=20ms

Replyfrom10.11.3:bytes=56Sequence=4ttl=255time=30ms

Replyfrom10.11.3:bytes=56Sequence=5ttl=255time=10ms

—10.1.1.3pingstatistics—

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=10/24/30ms

配置完成之后，在RI的路由表上查看OSPF路由信息。

[ARl]displayiprouting-tableprotocolospf

RouteFlags:R-relay,D-downloadtofib

Publicroutingtable:OSPF

Destinations:5Routes:5

OSPFroutingtablestatus:<Active>

Destinations:5Routes:5

Destination/MaskProtoPreCostFlagsNextHop

Interface

2.2.2.2/32OSPF102D10.1.1.3

GigabitEthernet

0/0/0

3.3.3.3/32OSPF101D10.1.1.3

GigabitEthernet

0/0/0

4.4.4.4/32OSPF102D10.1.1.3

GigabitEthernet

0/0/0

10.1.2.0/24OSPF102D10.1.1.3

GigabitEthernet

0/0/0

10.1.3.0/24OSPF102D10.1.1.3

GigabitEthernet

0/0/0

OSPFroutingtablestatus:<Inactive>

Destinations:0Routes:0

路由器AR1已經學習到了相關網段的路由條目，測試R1的環回口與R4的環回

口間的連通性。

[ARl]ping-a1.1.1.14.4.4.4

PING4.4.4.4:56databytes,pressCTRL_Ctobreak

Replyfrom4.4.4.4:bytes=56Sequence=lttl=254time=40ms

Replyfrom4.4.4.4:bytes=56Sequence=2ttl=254time=40ms

Replyfrom4.4.4.4:bytes=56Sequence=3ttl=254time=20ms

Replyfrom4.4.4.4:bytes=56Sequence=4ttl=254time=30ms

Replyfrom4.4.4.4:bytes=56Sequence=5ttl=254time=30ms

---4.4.4.4pingstatistics----

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=20/32/40ms

配置如下：

ARI

interfaceGigabitEthernet0/0/0

ipaddress10.1.1.1255.255.255.0

interfaceLoopBackO

ipaddress1.1.1.1255.255.255.255

ospf1

area0.0.0.0

network1.1.1.10.0.0.0

network10.1.1.10.0.0.0

AR2

interfaceGigabitEthernet0/0/0

ipaddress10.1.2.2255.255.255.0

interfaceLoopBackO

ipaddress2.2.2.2255.255.255.255

ospf1

area0.0.0.0

network2.2.2.20.0.0.0

network10.1.2.20.0.0.0

AR3

interfaceGigabitEthernet0/0/0

ipaddress10.1.1.3255.255.255.0

#

interfaceGigabitEthernet0/0/l

ipaddress10.1.2.3255.255.255.0

#

interfaceGigabitEthernetO/O/2

ipaddress10.1.3.3255.255.255.0

interfaceLoopBackO

ipaddress3.3.3.3255.255.255.255

ospf1

area0.0.0.0

network3.3.3.30.0.0.0

network10.1.1.30.0.0.0

network10.1.2.30.0.0.0

network10.1.3.30.0.0.0

AR4

interfaceGigabitEthernet0/0/0

ipaddress10.1.3.4255.255.255.0

interfaceLoopBackO

ipaddress4.4.4.4255.255.255.255

#

ospf1

area0.0.0.0

network4.4.4.40.0.0.0

network10.1.3.40.0.0.0

2.配置ACL

基本的ACL可以針對數據包的源IP地址進行過濾，在AR4上使用acl命令創建

一個編號型ACL,基本ACL的范圍是2000~2999。

當我們創建ACL拒絕全部后，并在接口應用。在AR1進行ping測試。

<ARl>ping4.4.4.4

PING4.4.4.4:56databytes,pressCTRL_Ctobreak

Requesttimeout

Requesttimeout

Requesttimeout

Requesttimeout

Requesttimeout

—4.4.4.4pingstatistics—

5packet(s)transmitted

0packet(s)received

100.00%packetloss

此時已經不可達了。既上述配置已經生效。

配置如下：

AR4

aclnumber2000

rule5deny

interfaceGigabitEthernet0/0/0

traffic-filterinboundacl2000

3.實現需求

ARI所連的PC（本實驗使用環回接口模擬）訪問AIM,其他設備不可訪問。

ACL的執行是有順序性的，如果規則ID小的規則已經被命中，并且執行了允

許或者拒絕的動作，那么后續的規則就不再繼續匹配。

在AR4上使用displayaclall命令查看設備上所有的訪問控制列表。

[AR4]displayaclall

TotalquantityofnonemptyACLnumberis1

BasicACL2000,2rules

Acl'sstepis5

rule5permitsource1.1.1.10

rule10deny(2matches)

驗證現象：

[ARUping-a1.1.1.14.4.4.4

PING4.4.4.4:56databytes,pressCTRL_Ctobreak

Replyfrom4.4.4.4:bytes=56Sequence=lttl=254time=30ms

Replyfrom4.4.4.4:bytes=56Sequence=2ttl=254time=30ms

Replyfrom4.4.4.4:bytes=56Sequence=3ttl=254time=30ms

Replyfrom4.4.4.4:bytes=56Sequence=4ttl=254time=30ms

Replyfrom4.4.4.4:bytes=56Sequence=5ttl=254time=30ms

---4.4.4.4pingstatistics----

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=30/30/30ms

此時，訪問成功，證明配置生效，實現效果。

?步驟三：NAT

1、項目介紹

本實驗模擬企業網絡場景。AR1是公司的出口網關路由器，公司內員工和服

務器都通過交換機SW1或SW2連接到R1上，R2模擬外網設備與R1直連。由于

公司內網都使用私網IP地址，為了實現公司內部分員工可以訪問外網，服務器

可以供外網用戶訪問，網絡管理員需要在路由器AR1上配置NAT:使用靜態NAT

和NATOutbound技術使部分員工可以訪問外網，使用NATServer技術使服務器

可以供外網用戶訪問。

2、實驗拓撲

在教學文檔中找到并打開“實驗拓撲”文件夾，在其中找到NAT實驗，打

開，并在ensp中啟動設備。

3、實驗規劃

設備接口IP地址子網掩碼默認網關

G0/0/010.1.1.124N/A

AR1G0/0/1192.168.1.25424N/A

G0/0/2192.168.2.25424N/A

G0/0/010.1.1.224N/A

AR2

LoopbackO2.2.2.224N/A

PC1E0/0/1192.168.1.124192.168.1.254

PC2E0/0/1192.168.2.224192.168.2.254

PC3E0/0/1192.168.2.324192.168.2.254

serverE0/0/0192.168.1.224192.168.1.254

4、實驗任務配置

1.配置步驟

根據實驗編址表進行相應的基本配置，并使用ping命令檢測各直連鏈路的

連通性。

[ARl]ping10.1.1.2

PING10.1.1.2:56databytes,pressCTRL_Ctobreak

Replyfrom10.11.2:bytes=56Sequence=lttl=255time=100ms

Replyfrom10.11.2:bytes=56Sequence=2ttl=255time=20ms

Replyfrom10.11.2:bytes=56Sequence=3ttl=255time=30ms

Replyfrom10.11.2:bytes=56Sequence=4ttl=255time=30ms

Replyfrom10.11.2:bytes=56Sequence=5ttl=255time=20ms

—10.1.1.2pingstatistics—

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=20/40/100ms

配置命令如下：

ARI

interfaceGigabitEthernet0/0/0

ipaddress10.1.1.1255.255.255.0

interfaceGigabitEthernetO/0/1

ipaddress192.168.1.254255.255.255.0

interfaceGigabitEthernetO/O/2

ipaddress192.168.2.254255.255.255.0

AR2

interfaceGigabitEthernet0/0/0

ipaddress10.1.1.2255.255.255.0

interfaceLoopBackO

ipaddress2.2.2.2255.255.255.0

其余直連網段的連通性測試省略。

2.配置靜態NAT

公司在網關路由器R1上配置訪問外網的默認路由。

AR1

iproute-static0.0.0.00.0.0.010.1.1.2

由于內網使用的都是私有IP地址，員工無法直接訪問公網。現需要在網關路

由器R1上配置NAT地址轉換，將私網地址轉換為公網地址。

PC1為公司終端，不僅需要自身能訪問外網，還需要外網用戶也能夠直接訪

問他，因此網絡管理員分配了一個公網IP地址10.LL5給PC1做靜態NAT地

址轉換。在R1的GE0/0/0接口下使用natstatic命令配置內部地址到外部地址

的一對一轉換。

interfaceGigabitEthernetO/0/0

natstaticglobal10.1.1.2inside192.168.1.1netmask255.255.255.255

配置完成后，在ARI上查看NAT靜態配置信息，并在PC1上使用ping命令

測試與外網的連通性。

[ARl]displaynatstatic

StaticNatInformation:

Interface:GigabitEthernet0/0/0

GlobalIP/Port:10.1.1.2/——

InsideIP/Port:192,168.1.1/——

Protocol:----

VPNinstance-name:----

Aclnumber:----

Netmask:255.255.255.255

Description:----

Total:1

PCI：

POping2.2.2.2

Ping2.2.2.2:32databytes,PressCtrl_Ctobreak

From2.2.2.2:bytes=32seq=lttl=255time=47ms

From2.2.2.2:bytes=32seq=2ttl=255time=31ms

From2.2.2.2:bytes=32seq=3ttl=255time=47ms

From2.2.2.2:bytes=32seq=4ttl=255time=47ms

From2.2.2.2:bytes=32seq=5ttl=255time=47ms

---2.2.2.2pingstatistics----

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=31/43/47ms

可以觀察到，PCI通過靜態NAT地址轉換已經可以成功訪問外網。

在R2上使用環回口LoopbackO模擬外網用戶訪問PC-1。

3.配置NATOutbound

公司另外一個部門的員工都需要能夠訪問外網。IP地址192.168.2.0/24網

段，網絡管理員使用公網地址池10.1.L50—10.1.1.60.為該部門員工做NAT轉

換。

在AR1上使用nataddres-group命令配置NAT地址池，設置起始和結束地址

分別為10.L1.50和10.1.1.60o

[ARl]nataddress-group110.1.1.5010.1.1.60

創建基本ACL2000,匹配192.168.2.0,掩碼為24位的地址段。

aclnumber2000

rule5permitsource192.168.2.00.0.0.255

在GE0/0/0接口下使用natoutbound命令將ACL2000與地址池相關聯，使得

ACL中規定的地址可以使用地址池進行地址轉換。

interfaceGigabitEthernet0/0/0

natoutbound2000address-group1no-pat

測試連通性

POping2.2.2.2

Ping2.2.2.2:32databytes,PressCtrl_Ctobreak

From2.2.2.2:bytes=32seq=lttl=255time=47ms

From2.2.2.2:bytes=32seq=2ttl=255time=31ms

From2.2.2.2:bytes=32seq=3ttl=255time=47ms

From2.2.2.2:bytes=32seq=4ttl=255time=32ms

From2.2.2.2:bytes=32seq=5ttl=255time=46ms

---2.2.2.2pingstatistics----

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=31/40/47ms

4.配置NATEasy-IP

由于公司發展人員擴招，若繼續使用多對多的NAT轉換方式，就必須增加公

網地址池的地址數。為了節約公網地址，網絡管理員使用多對一的Easv-IP轉換

方式實現市場部員工訪問外網的需求。

Easy-IP是NAPT的一種方式，直接借用路由器出接口IP地址作為公網地址，

將不同的內部地址映射到同一公有地址的不同端口號上，實現多對一地址轉換。

網絡管理員配置路由器R1的GE0/0/0接口為Easy-IP接口。

在R1的GE0/0/0接口上刪除NATOutbound配置，并使用natoutbound命

令配置Easy-IP特性，直接使用接口IP地址作為NAT轉換后的地址。

配置命令如下：

AR1

[ARl-GigabitEthernetO/0/0]undonatoutbound2000address-group1no-pat

[ARl-GigabitEthernetO/0/0]natoutbound2000

RI借用自身GE0/0/0接口的公網IP地址為所有私網地址做NAT轉換，使用

不同的端口號區分不同私網數據。此方式不需要創建地址池，大大節省了地址空

間。

5.配置NATServer

公司內Server提供FTP服務供外網用戶訪問，配置NATServer并使用公網

IP地址10.1.1.6對外公布服務器地址，然后開啟NATALG功能。因為對于封裝

在IP數據報文中的應用層協議報文，正常的NAT轉換會導致錯誤，在開啟某應

用協議的NATALG功能后，該應用協議報文可以正常進行NAT轉換，否則該應用

協議不能正常工作。

在R1的GE0/0/0接口上，使用natserver命令定義內部服務器的映射表，指定

服務器通信協議類型為TCP,配置服務器使用的公網IP地址為10.1.1.6,服務

器內網地址為192.168.1.2,指定端口號為21,該常用端口號可以直接使用關鍵

字“ftp”代替。

配置命令如下：

AR1

natalgftpenable

interfaceGigabitEthernet0/0/0

natserverprotocoltcpglobal10.1.1.6ftpinsideftp

?步驟四：綜合實驗

1.項目介紹

在小型的公司網絡搭建中，需要配置NAT,ACL,防火墻，根據任務需求,

完成綜合功能實現。

2.實驗拓撲

在教學文檔中找到并打開“實驗拓撲”文件夾，在其中找到綜合實驗，打開,

并在ensp中啟動設備。

外網

3.實驗編址

設備接口IP地址子網掩碼默認網關

PC1E0/0/1192.168.1.124192.168.1.254

PC2E0/0/1192.168.1.224192.168.1.254

PC3E0/0/1192.168.2.324192.168.2.254

ServerlE0/0/0192.168.3.124192.168.3.254

G0/0/010.1.1.124N/A

AR1

LoopbackO1.1.1.124N/A

G0/0/010.1.1.224N/A

G1/0/0192.168.3.25424N/A

FW1

G1/0/1192.168.1.25424N/A

G1/0/2192.168.2.25424N/A

4.實驗任務配置

1.根據實驗編址配置IP