文章目錄
- 前言
- 一、NAT概述
- 1.NAT的概念
- 2.公有網路地址與私有網路地址
- 3.NAT的作業原理
- 4.NAT功能
- 5.NAT的優缺點
- 6.靜態 NAT
- 二、NAT的配置
- 1.靜態NAT
- 2.動態NAT
- 3.PAT埠多路復用
- 4.NAPT
- 5.Easy IP
- 6.NAT server
- 三、華為實驗
- 1.拓撲圖
- 2.全域模式下配置NAT
- 3.動態NAT
- 4.Easy IP
- 5.NAT server
前言
- 公司的辦公網路需要訪問 Internet ,但是由于私網地址不允許在 Internet 上使用,全部使用公網 IP 地址又需要支付高額費用,于是很多公司都采用 AT 技術來訪問 Internet
- 通過本文,我們將學習 NAT 的原理及作業程序,掌握如何在 華為路由器上配置 NAT ,以實作公司內部網路訪問 Internet 的各種需求
一、NAT概述
- 隨著網路的發展,對公網 IP 地址的需求與日俱增
- 為了緩解公網 IP 地址的不足, 并且保護公司內部服務器的私網地址,可以使用網路地址轉換(Network Address Translation,NAT)技術將私網地址轉換為公網地址,以緩解公網 IP 的不足,并且可以隱藏內部服務器的私網地址
1.NAT的概念
- NAT 通過將內部網路的私網 IP 地址翻譯成全球唯一的公網 IP 地址,使內部網路可以連接到互聯網等外部網路上,廣泛應用于各種型別的互聯網接入方式和各種型別的網路中
- NAT 不僅解決了公網 IP 地址不足的問題,而且能夠隱藏內部網路的細節,避免來自網路外部的攻擊,可以起到一定的安全作用
- 借助 NAT ,私有保留地址的內部網路通過路由器發送資料包時,私有地址被轉換成合法的 IP 地址,這樣一個局域網只需要少量地址(甚至是一個)即可實作私有地址網路中的所有計算機與互聯網的通信需求
2.公有網路地址與私有網路地址
- 公有網路地址(以下簡稱公網地址)是指在互聯網上全球唯一的IP地址
- 2019年11月26日,是人類互聯網時代值得紀念的一天,全球近43億IPV4地址耗盡
- 私有網路地址(以下簡稱私網地址)是指內部網路或主機的IP地址, IANA (互聯網數字分配機構)規定將下列的IP地址保留用作私網地址,不在Internet上被分配,可在一個單位或公司內部使用
- RFC1918中規定私有地址如下:
A類私有地址: 10.0.0.0~10.255.255.255
B類私有地址: 172.16.0.0~172.31.255.255
C類私有地址: 192.168.0.0~192.168.255.255
3.NAT的作業原理
- NAT用來將內網地址和埠號轉換成合法的公網地址和埠號,建立一個會話,與公網主機進行通信
- NAT外部的主機無法主動跟位于NAT內部的主機通信,NAT內部主機想要通信,必須主動和公網的一個 IP 通信,路由器負責建立一個映射關系,從而實作資料的轉發
4.NAT功能
- 寬帶分享:這是NAT主機的最大功能
- 安全防護:NAT之內的PC聯機到Internet上面時,它所顯示的IP是NAT主機的公網IP,所有Client端的PC就具有一定程度的安全,外界再進行portscan(埠掃描)的時候,就偵測不到源Client端的PC
5.NAT的優缺點
- 優點:節省公有合法IP地址、處理地址重疊、增強靈活性、安全性
- 缺點:延遲增大、配置和維護的復雜性、不支持某些應用(比如VPN)
6.靜態 NAT
- 靜態NAT實作私網地址和公網地址的一對一轉換,有多少個私網地址就需要配置多少個公網地址,靜態NAT不能節約公網地址,但可以起到隱藏內部網路的作用
- 內部網路向外部網路發送報文時,靜態NAT將報文的源IP地址替換為對應的公網地址;外部網路向內部網路發送回應報文時,NAT將報文的目的地址替換為相應的私網地址
路由器3個表的作用
- 路由表: 資料包通過目的IP查路由表轉發
- ACL:訪問控制串列 、過濾資料包,拒絕,放行
- NAT轉換表: 內網到外網轉換源IP地址,外網到內網轉換目的IP地址
二、NAT的配置
1.靜態NAT
- 靜態NAT實作私網地址和公網地址的一對一轉換,有多少個私網地址就需要配置多少個公網地址,靜態NAT不能節約公網地址,但可以起到隱藏內部網路的作用
- 內部網路向外部網路發送報文時,靜態NAT將報文的源IP地址替換為對應的公網地址;外部網路向內部網路發送回應報文時,靜態NAT將報文的目的地址替換為相應的私網地址
有2種配置方法:
- 第一種:
全域模式下設定靜態NAT
[R1]nat static global 8.8.8.8 inside 192.168.10.10
[R1]int g0/0/1 ##外網口
[R1-GigabitEthernet0/0/1] nat static enable ###在網口上啟動nat static enable功能
- 第二種:
直接在介面上宣告nat static
[R1]int g0/0/1 ###外網口
[R1-GigabitEtherneto/0/1] nat static global 8.8.8.8 inside 192.168.10.10
[R1]dis nat static ###查看NAT靜態配置資訊
2.動態NAT
多個私網IP地址對應多個公網IP地址,基于地址池一對一映射
- 配置外部網口和內部網口的IP地址
- 定義合法IP地址池
[R1] nat address-group 1 212.0.0.100 212.0.0.200 #新建一個名為1的nat地址池
- 定義訪問控制串列
[R1] acl 2000
###創建ACL,允許源地址為192.168.20.0/24網段和11.0.0.0/24的資料通過
[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[R1-acl-basic-2000] rule permit source 11.0.0.0 0.0.0.255
4、在外網口上設定動態IP地址轉換
[R1-acl-basic-2000]int g0/0/1 ###外網口
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat ###將ACL
2000匹配的資料轉換為改介面的IP地址作為源地址(no pat不做埠轉換,只做IP地址轉換,默認為pat)
[R1] dis nat outbound ###查看NAT Outbound的資訊
3.PAT埠多路復用
- PAT又稱為NAPT (Network Address Port Translation) ,它實作一個公網地址和多個私網地址之間的映射,因此可以節約公網地址
- PAT的基本原理是將不同私網地址的報文的源IP地址轉換為同一公網地址,但他們被轉換為該地址的不同埠號,因而仍然能夠共享同一地址
PAT有以下作用:
- 改變資料包的ip地址和埠號
- 能夠大量節約公網IP地址
PAT的型別有以下:
- 動態PAT,包括NAPT和Easy IP
- 靜態PAT,包括NAT Server
4.NAPT
多個私網IP地址對應固定外網IP地址(比如200.1.1.10) ,配置方法與動態NAT類似
- 配置外部網口和內部網口的IP地址
- 定義合法IP地址池
[R1]nat address-group 1 200.1.1.10 200.1.1.10 ##使用一個固定IP
- 定義訪問控制串列
|[R1]acl 2000
###允許源地址為192.168.30.0/24網段的資料通過
[R1-acl-adv-2000] rule permit source 192.168.30.0 0.0.0.255
- 在外網口上設定1P地址轉換
[R1-acl-basic-2000]int g0/0/1 ###外網口
[R1-GigabitEthernet0/0/1] nat outbound 2000 address-group 1
5.Easy IP
多個私網IP地址對應外網口公網IP地址(比如12.0.0.1)
- 配置外部網口和內部網口的IP地址
- 定義合法IP地址池
由于直接實驗外網口IP地址所以不用再定義1P地址池 - 定義訪問控制串列
[R1] acl 3000 ##允許源地址為192.168.30.0/24網段的資料通過
[R1-acl-adv-3000]rule permit ip source 192.168.30.0 0.0.0.255
- 在外網口上設定IP地址轉換
[R1]int g0/0/1 ###外網口
[R1-GigabitEthernet0/0/1] nat outbound 3000
##當acl 3000匹配的源IP資料到達此介面時,轉換為該介面的IP地址做為源地址
[R1] display nat session all ####查看NAT的流表資訊
6.NAT server
埠映射,將私網地址埠映射到公網地址,實作內網服務器供外網用戶訪問
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www ###在連接公網的介面上將私網服務器地址和公網地址做一對NAT映射系結
[R1-GigabitEthernet0/0/1] nat server protocol tcp global current-interface 8080 inside 10.1.1.1 www
##在連接公網的介面上將私網服務器地址和外網介面做一對NAT映射系結
[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 2121 inside 10.1.1.2 ftp
###埠為21可以直接使用關鍵字"ftp"代替
三、華為實驗
1.拓撲圖
2.全域模式下配置NAT
- R1
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R1
[R1]un in en
Info: Information center is disabled.
##配置各埠IP
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0]un sh
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 12.0.0.254 24
[R1-GigabitEthernet0/0/1]un sh
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.2.254 24
[R1-GigabitEthernet0/0/2]un sh
Info: Interface GigabitEthernet0/0/2 is not shutdown.
[R1-GigabitEthernet0/0/2]q
##全域模式下將私網地址配置8.8.8.8公網地址
[R1]nat static global 8.8.8.8 inside 192.168.1.1
[R1]di th
[R1]int g0/0/1
##在此埠上啟用nat功能
[R1-GigabitEthernet0/0/1]nat static enable
3.動態NAT
多個私網IP地址對應多個公網IP地址,基于地址池一對一映射
##因為我們這里基于上一個實驗繼續往下面做,所以需要先洗掉舊配置
[R1-GigabitEthernet0/0/1]undo nat static enable
[R1-GigabitEthernet0/0/1]q
[R1]un nat static global 8.8.8.8 inside 192.168.1.1
##配置nat公網地址池
[R1]nat address-group 1 12.0.0.100 12.0.0.200
#創建acl
[R1]acl 2000
##篩選部分私網地址,避免全部私網地址進入導致路由崩潰
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]q
[R1]int g0/0/1
##將nat功能配置至此埠中
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
[R1-GigabitEthernet0/0/1]di th
4.Easy IP
多個私網IP地址對應外網口公網IP地址
##首先洗掉舊配置
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]un nat ou 2000 address-group 1 no-pat
##創建acl3000
[R1-GigabitEthernet0/0/1]acl 3000
##允許私網網段
[R1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255
[R1-acl-adv-3000]di th
[R1-acl-adv-3000]q
##進入配置埠
[R1]int g0/0/1
##將acl3000配置上埠
[R1-GigabitEthernet0/0/1]nat outbound 3000
[R1-GigabitEthernet0/0/1]q
##查看資訊
[R1]dis nat session all
5.NAT server
埠映射,將私網地址埠映射到公網地址,實作內網服務器供外網用戶訪問
[R1]int g0/0/0
[R1-GigabitEthernet0/0/1]un nat outbound 3000
[R1-GigabitEthernet0/0/1]di th
[R1-GigabitEthernet0/0/1]q
[R1]int g0/0/0
##在連接公網的介面上將私網服務器地址和外網介面做一對NAT映射系結
[R1-GigabitEthernet0/0/0]nat server protocol tcp global current-interface 8080 i
nside 12.0.0.1 www
[R1-GigabitEthernet0/0/0]di th
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/243962.html
標籤:其他
上一篇:我的2020總結----堅持