文章目录
- NAT(Network Address Translation,网络地址转换)
- 思科:
- 1)PAT
- 2)静态端口转换
- 华为:
- 1)EasyIP
- 2)NAT Server
- 静态NAT:
- 动态NAT:
- 实验1:在R1上配置NAPT让内网所有私有地址通过122.1.2.1访问公网。
- 实验2:Easy IP配置
- 实验3:NATserver配置
NAT(Network Address Translation,网络地址转换)
主要用于实现位于内部网络的主机访问外部网络的功能。局域网内的主机需要访问外部网络时,通过NAT技术可以将私网地址转换成公网地址,并且多个私网用户可共用一个公网地址,这样既可以保证网络互通,又节省了公网地址。一般部署在连接内网与外网的网关设备(边界设备)上。
NAT也是一种安全手段。
静态NAT:实现了私有地址和公有地址的一对一映射,一个公网IP只会分配给唯一且固定的内网主机。
动态NAT:基于地址池来实现私有地址和公网地址的转换。(多对多)方法:1、用ACL匹配(数据抓取)
EasyIP允许将多个内部地址映射到网关出接口地址上的不同端口。
思科:
1)PAT
实验:要求10.1.10.0/28,10.1.10.16/28,10.1.10.32/28可以访问公网8.8.8.8,但是不允许10.1.11.0/29,10.1.12.0/29访问公网。
R1(config)# int e0/0 #进入边缘路由的出接口(配置公网地址的一侧)
R1(config-if)# ip nat outside #定义为nat的外部接口 (卡住1分钟)
R1(config)# int e0/1 #进入内部接口e0/1接口
R1(config-if)# ip nat inside #定义为nat的内部接口
R1(config)# int e0/2 #进入内部接口e0/2接口
R1(config-if)# ip nat inside #定义为nat的内部接口
R1(config)# ip access-list standard 2 #配置标准acl命名为2
R1(config-std-nacl)# 5 permit 10.1.10.0 0.0.0.255 #允许此网段通过(可以把三条规则合为一条)。
R1(config)# ip nat inside source list 2 interface e0/0 overload #把内部的多个地址重复使用e0/0的公网地址
R1(config)# router ospf 110 #进入ospf进程
R1(config-router)# default-information originate (always) #ospf(永久)下放默认路由
R1# show ip nat translations #查看nat转换的信息
2)静态端口转换
还是按照005章的方法在需要被telnet的内部设备如交换机或PC上,把telnet打开后
R1(config)# ip nat inside source static tcp 10.1.11.2 23 202.100.1.1 23 #做静态端口转换
华为:
1)EasyIP
实验:要求10.1.10.0/28,10.1.10.16/28,10.1.10.32/28可以访问公网8.8.8.8,但是不允许10.1.11.0/29,10.1.12.0/29访问公网。
[R1] acl 2000 #创建基本acl命名为2000
[R1-acl-basic-2000] rule permit source 10.1.10.0 0.0.0.15 #允许此网段通过
[R1-acl-basic-2000] rule permit source 10.1.10.16 0.0.0.15 #允许此网段通过
[R1-acl-basic-2000] rule permit source 10.1.10.32 0.0.0.15 #允许此网段通过
[R1-acl-basic-2000] int g0/0/0 #进入边缘路由的出接口(配置公网地址的一侧)
[R1-g0/0/0] nat outbound 2000 #应用acl2000
[R1] ospf 10 #进入ospf进程
[R1-ospf-10] default-ro ute-advertise (always) #ospf(永久)下放默认路由
[R1] display ip routing-table #ospf区域内所有设备均产生了默认路由
[R1] display nat outbound #查看nat的外部接口信息
[R1] display nat session all #查看nat的所有会话
2)NAT Server
还是按照005章的方法在需要被telnet的内部设备如交换机或PC上,把telnet打开后
[R1] g0/0/0 #进入边缘路由的出接口
[R1-g0/0/0] nat server protocol tcp global current-interface 23 inside 10.1.11.2 23 #做NAT Server
静态NAT:
nat static global 122.1.2.1 inside 192.168.1.1 #配置静态NAT(接口视图和系统视图都可)
nat static enable #若在系统视图配置的静态NAT,则还要进入接口下使能nat static功能。
动态NAT:
实验1:在R1上配置NAPT让内网所有私有地址通过122.1.2.1访问公网。
acl 2000 #创建acl
rule 5 permit source 192.168.1.0 0.0.0.255 #允许某网段。
nat address-group 1 122.1.2.1 122.1.2.1 #创建地址池1,加入一个IP地址
interface g0/0/1
ip address 12.1.1.1 24
nat outbound 2000 address-group 1
#将ACL2000的流量引入NAT技术,并保证内部流量可以使用合法地址池的地址来做映射访问外部网络
实验2:Easy IP配置
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 一般企业写rule permit source any 允许所有即可
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000
实验3:NATserver配置
在R1上配置NAT Server将内网服务器192.168.1.10的23端口映射到公有地址122.1.2.1的9999端口。
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip address 122.1.2.1 24
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 202.10.10.1 9999 inside 192.168.1.1 23
#上述命令 nat server 表示启用 NAT server服务,通过protocol关键字来控制NAT是针对TCP协议的
