一、瞭解NAT
網絡地址轉換NAT(network address translation),用於實現內部網絡(私有ip地址)的主機訪問外部網絡(公有ip地址)的功能。NAT一般部署在連接內網絡和外網的網關設備上,NAT的實現方式有:靜態NAT,動態NAT,網絡地址端口轉換NAPT(Network Address Port Translation),Easy Ip ,配置NAT服務器。
-
1、靜態NAT
靜態NAT實現了私有地址和公有地址的一一映射,這種方式可實現外部網絡使用一個指定的公網地址訪問內部服務器,但此種方式無法解決公網地址短缺。 -
2、動態NAT
動態NAT是基於地址池來實現私網地址和公網地址的轉換,實際上也是一種一一映射的關係,區別在於,每臺主機都會隨機分配到地址池中的一個唯一地址,當主機不再需要連接時,對應的地址映射將會被刪除,當地址池中的地址用盡後,其他主機只能等待被佔用的公有地址釋放後才能使用。 -
3、NAPT
網絡地址端口轉換NAPT允許多個內部地址映射到同一個公有地址的不同端口。 -
4、Easy Ip
Easy Ip 允許將多個內部地址映射到網關出接口地址上的不同端口。 -
5、配置NAT服務器
通過配置NAT服務器,可實現外網用戶訪問內網服務器。
接下來我們以實例講解,NAT在PPPOE中的應用配置,拓撲圖如下
二、PPPOE的配置
PPPOE的配置,請參考如下鏈接,此處不在做過多詳細的解釋與說明。
華爲pppoe配置實戰演練
注意:在pppoe的配置中,IP地址爲10.1.12.254並不是公網地址,只是在實驗中,我們假設它是一個公網地址。
三、NAT的配置
- 3.1 基礎工作
開啓AR1的接口IP地址以及接口dhcp
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysn AR1
[AR1]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.1.254 24
Aug 4 2018 22:40:19-08:00 AR1 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
on the interface GigabitEthernet0/0/1 has entered the UP state.
[AR1-GigabitEthernet0/0/1]dhcp select interface
[AR1-GigabitEthernet0/0/1]quit
[AR1]
查看電腦終端是否自動獲取到IP地址,並測試是否能相互通信
PC1:IP地址對應192.168.1.251
PC2:IP地址對應192.168.1.253
PC3:IP地址對應192.168.1.252
-
3.2 靜態nat轉換
1、在AR1和AR2上查看PPPOE的接口簡單配置
AR1:AR2:pppoe server
2、創建靜態NAT地址轉換
[AR1]int dialer 1
[AR1-Dialer1]nat static global 10.1.12.101 inside 192.168.1.251
[AR1-Dialer1]nat static global 10.1.12.102 inside 192.168.1.252
[AR1-Dialer1]nat static global 10.1.12.103 inside 192.168.1.253
[AR1-Dialer1]quit
[AR1]
3、在PC端上ping PPPOE服務器的地址10.1.12.254,驗證效果。以PC1爲例。
在PPPOE服務器的g0/0/0口上進行抓包:
- 3.3 動態nat轉換
1、先刪除原先的靜態nat配置
[AR1]int dialer 1
[AR1-Dialer1]undo nat static global 10.1.12.101 inside 192.168.1.251
[AR1-Dialer1]undo nat static global 10.1.12.102 inside 192.168.1.252
[AR1-Dialer1]undo nat static global 10.1.12.103 inside 192.168.1.253
[AR1-Dialer1]quit
[AR1]
2、動態nat配置
[AR1]nat address-group 1 10.1.12.101 10.1.12.120 //配置地址池
[AR1]acl 2000
[AR1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[AR1-acl-basic-2000]quit
[AR1]int dialer 1
[AR1-Dialer1]nat outbound 2000 address-group 1 no-pat
[AR1-Dialer1]quit
[AR1]display nat address-group 1
NAT Address-Group Information:
--------------------------------------
Index Start-address End-address
--------------------------------------
1 10.1.12.101 10.1.12.120
--------------------------------------
Total : 1
[AR1]
3、驗證效果
-
3.4 網絡地址端口轉換:NAPT
NAPT的配置,只需要將第五步驟中的nat outbound 2000 address-group 1 no-pat命令中的no-pat(不使用端口轉換)去掉即可。 - 3.5 easy ip配置
AR1]int dialer 1
[AR1-Dialer1]undo nat outbound 2000 address-group 1 no-pat
[AR1-Dialer1]q
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000
Info: The NAT address pool is empty
[AR1-GigabitEthernet0/0/0]quit
[AR1]dis nat outbound
NAT Outbound Information:
---------------------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
--------------------------------------------------------------------------
GigabitEthernet0/0/0 2000 0.0.0.0 easyip
--------------------------------------------------------------------------
Total : 1
驗證:使用PC端去ping 10.1.12.254,此處省略。
- 3.6 nat服務器配置
1、首先在AR2的g0/0/1接口上配置IP地址爲10.1.24.254,配置client 1的IP地址爲10.1.24.200,網關爲10.1.24.254。
[SERVER]int g0/0/1
[SERVER-GigabitEthernet0/0/1]ip add 10.1.24.254 24
[SERVER-GigabitEthernet0/0/1]
Aug 5 2018 10:18:57-08:00 SERVER %%01IFNET/4/LINK_STATE(l)[0]:The line protocol
IP on the interface GigabitEthernet0/0/1 has entered the UP state.
client 1 :
2、配置server1爲http服務,並啓動http服務器
3、配置AR1爲NAT服務器
[AR1]int Dialer 1
[AR1-Dialer1]nat server protocol tcp global 10.1.12.200 80 inside 192.168.1.200
0 80
[AR1-Dialer1]quit
[AR1]dis nat server
Nat Server Information:
Interface : Dialer1
Global IP/Port : 10.1.12.200/80(www)
Inside IP/Port : 192.168.1.200/80(www)
Protocol : 6(tcp)
××× instance-name : ----
Acl number : ----
Description : ----
Total : 1
4、在client 1 上獲取服務器地址。當我們訪問10.1.12.200的服務IP地址時,nat服務器會將10.1.12.200的ip地址轉換爲內網IP地址192.168.1.200,即http服務器。