作者主页:点击!
ENSP专栏:点击!
创作时间:2024年4月15日17点30分
NAT服务器是一种在网络边界设备上配置的服务,它允许外部网络的用户访问内部网络中的服务或主机,同时隐藏了内部网络的真实IP地址。通过NAT服务器,内部网络中的服务或主机可以对外部网络提供服务,同时保护了内部网络的隐私和安全。
应用场景
-
NAT服务器通常用于以下场景:
-
提供对内部网络服务的访问:例如,内部网络中的Web服务器、邮件服务器或FTP服务器需要对外部网络提供服务,但内部网络使用的是私有IP地址,无法直接从外部网络访问。通过NAT服务器,外部网络用户可以使用公共IP地址和端口访问内部网络中的服务。
-
隐藏内部网络结构:通过NAT服务器,内部网络中的真实IP地址被隐藏起来,只暴露NAT服务器的公共IP地址。这样可以增强内部网络的安全性,防止攻击者直接访问内部网络中的主机。
-
节省公共IP地址资源:由于IPv4地址资源有限,使用NAT服务器可以在一定程度上节省公共IP地址资源,通过一个公共IP地址映射多个内部网络主机或服务。
NAT服务器可以实现三方面功能:对内部网络服务的访问提供了便捷,如Web、邮件、FTP服务器;隐藏了内部网络的真实IP地址,加强了安全性;并能有效节省公共IP地址资源,通过一个公共IP地址映射多个内部网络主机或服务。
实验拓扑
实验要求通过公网 访问内网的服务器应用
环境前配置
AR1的基本配置
//基本的IP地址和默认路由配置
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 202.96.0.1 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]ip route-static 0.0.0.0 0 202.96.0.2
[Huawei]
如图所示
AR2的基本配置
//基本的IP配置
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 202.96.0.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 6.6.6.6 24
[Huawei-GigabitEthernet0/0/1]
<Huawei>
内网服务器IP
公网客户端
Nat server配置
在AR1的G0/0/1接口配置
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]acl 2001
[Huawei-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2001]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2001
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global current-interface ww
w inside 192.168.1.2 www
Warning:The port 80 is well-known port. If you continue it may cause function fa
ilure.
Are you sure to continue?[Y/N]:y
[Huawei-GigabitEthernet0/0/1]
<Huawei>
ACL 2001规则
acl 2001
rule permit source 192.168.1.0 0.0.0.255
这段配置创建了一个名为2001的ACL,其中有一条允许规则。这条规则允许来自192.168.1.0/24子网
的所有流量通过。
NAT出站规则
int g0/0/1
nat outbound 2001
这段配置将接口GigabitEthernet0/0/1配置为出站NAT,即对从该接口发出的流量进行NAT转换。
该规则指定了
ACL 2001,因此只有ACL 2001允许的流量才会进行NAT转换。
这意味着只有来自192.168.1.0/24子网的流量才会被NAT转换为出站流量。
nat server protocol tcp
:指定了要配置的NAT服务器协议为TCP,即只对TCP流量进行映射。global current-interface ww
:global
关键词后指定了映射到的全局地址。current-interface
意味着使用当前接口的IP地址,而ww
则表示将映射到当前接口的所有IP地址上。这意味着所有进入该接口的TCP流量都将被映射到内部网络上的特定主机。inside 192.168.1.2 www
:指定了映射后的内部地址和端口。192.168.1.2
是内部网络中的目标主机的IP地址,而www
是端口号,表示该流量将转发到内部主机的TCP端口上。
测试
公网客户端访问内网的服务器
接下来我们把它下载到桌面 文本文档打开
实验结束谢谢大家