動態NAT、靜態NAT和華爲NAT
一、NAT概述
1、(network address translation )網絡地址轉換。
2、NAT的工作過程:
NAT設備收到內網的數據包以後,
1、首先查看本地是否有去往數據包目地地址的路由;
2、再次查看本地設備是否存在對應的nat轉換條目;
-- 如果有,則進行地質轉換,然後發送出去;
-- 如果無,則不進行地質轉換,然後發送出去。
3、靜態NAT:
私有-公有 1:1,不節省IP地址;
4、配置靜態NAT:
1、給R1(即內部最末端的路由器)配置一個去往運營商的缺省路由
[R1]Ip route-static 0.0.0.0 0.0.0.0 100.1.12.2
2、在R1(即內部最末端的路由器)上創建“靜態NAT轉換條目”
[R1] nat static global 100.1.12.3 inside 192.168.1.1 可以創建多條
3、在R1(即內部最末端的路由器)上數據包的出端口,啓用“靜態NAT”功能
[R1]interface gi0/0/1
[R1-gi0/0/1] nat static enable
5、動態NAT:不節省IP地址,不做細緻講解
私有-公有 1:1,不節省IP地址;
6、PAT/PNAT/NAT-Port/端口複用/端口NAT/ port NAT
私有-公有 多:1,節省IP地址;
7、配置思路
1、搭建拓撲圖,給終端設備和服務器配置IP地址和網關
2、給各路由器各端口配置IP地址
3、配置終端路由器到運營商服務器的默認路由
4、在終端路由器的出口或者入口配置ACL,無需在接口下調用
5、在終端路由器的出口上配置動態NAT(即在出口上調用ACL)
8、配置命令:
1、定義感興趣的流量,即創建ACL
[R1] acl 2000
[R1-acl-basic-2000] rule 5 permit source 192.168.1.1 0.0.0.0
2、在出端口上調用 NAT 命令
[R1]interface gi0/0/1
[R1-gi0/0/1] nat outbound + ACL的號碼
-->在改端口發送出去的數據包,如果被 acl 2000 匹配,並且執行 permit 動作,
則對這些數據的 源IP地址進行 NAT 轉換,轉換成該接口的 公網IP 地址;
注意:
在 NAT 中調用的 ACL與在接口上調用的 ACL ,稍有不同:
NAT中調用的ACL的最後一個隱含的默認動作是 --- 拒絕所有;
接口上調用的ACL的最後一個隱含的默認動作是 --- 允許所有;
案例1:
-環境
內網有2臺主機,PC-1/2,IP:192.168.1./24 和 192.168.1.2/24
網關IP:192.168.1.254
公司購買的公網IP地址:100.1.12.1/24 和 100.1.12.3/24
-要求:
PC-1可以訪問外網的服務器:200.1.1.2/24
並測試 PC-2 是否可以訪問外網的服務器
-配置:
1、配置PC-1,PC-2以及 網關設備的 IP 地址信息
2、配置網關去往外網的路由 -- 默認路由
[R1] ip route-static 0.0.0.0 0.0.0.0 100.1.12.2
3、在網關設備上配置 靜態 NAT :
[R1] nat static global 100.1.12.3 inside 192.168.1.1
[R1] interface gi0/0/1
[R1-gi0/0/1] nat static enable
4、測試
PC-1:
ping 200.1.1.2 ,OK ;
PC-2:
ping 200.1.1.2 ,不通;因爲沒有進行 NAT 轉換。
-結論:
靜態 NAT 中,私有地址與公有地址的關係是:1:1 , 不節省IP地址;
靜態 NAT 需要在 數據包的出接口 “啓用”,才能實現數據互通。
-優化方案:
使用“PNAT”,即端口 NAT ,來替換原來的“靜態NAT”。
配置思路如下:
創建感興趣流量 -- 通過 ACL 實現;
acl 2000
rule 5 permit source 192.168.1.1 0.0.0.0
&&以上的 ACL 條目僅僅能匹配 PC-1 發送的數據包,
然後進行 NAT 轉換,從而實現 PC-1 可以訪問外網;
# 創建 NAT 轉換條目
interface gi0/0/1
nat outbound 2000
&& 通過該接口發送出去的數據,都要經過 ACL 2000 的檢查,
能被 ACL 匹配,並且執行 permit 動作的,則進行 NAT
轉換,即最終可以實現上網。此案例中,PC-1可以上網,
PC-2不可以。
如果想實驗 PC-2 上網,則必須修改 ACL 2000 的配置,
如下:
acl 2000
rule 5 permit 192.168.1.0 0.0.0.255案例2:
-- 環境
內網有一臺 web 服務器,IP:192.168.1.8/24 ,使用的默認端口;
內網有2臺主機,PC-1/2,IP:192.168.1.1/24、192.168.1.2/24
網關IP:192.168.1.254/24
公司購買了2個公網IP地址:100.1.12.1/24 100.1.12.3/24
-- 要求
PC-1可以訪問外網的服務器(200.1.1.1/24)
PC-2不可以訪問外網
外網的 http-client 可以直接通過外網IP的 8080 訪問到內部的 web服務器;(100.1.12.3/24)
-- 配置步驟
1、PC-1/2/Web-server 配置好對應的IP地址和網關IP地址;
給PC機和Web-server配置好IP地址和網關IP地址
2、配置網關設備 R1 的出現路由 --- 默認路由
<R1>system-view
[R1]ip route-static 0.0.0.0 0.0.0.0 100.1.12.2
3、配置好 模擬器的 ISP 端的設備
4、配置路由器R1、R2的各端口配置相應的IP地址
<Huawei>system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 100.1.12.1 24
<Huawei>system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip address 100.1.12.2 24
[R2]interface GigabitEthernet 0/0/2
[R2-GigabitEthernet0/0/2]ip address 200.1.1.254 24
5、在邊界設備上配置 - NAT
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.1 0.0.0.0
[R1-acl-basic-2000]rule 10 permit source 192.168.1.2 0.0.0.0
6、在數據包的出端口配置 NAT ,實現 PNAT
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000
7、NAT-Server (端口映射)
在數據包的出端口上配置
[R1]interface GigabitEthernet 0/0/1 (公司所購買的公網段內IP地址除了兩端的IP地址)
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 100.1.12.3 8080
inside 192.168.1.8 80
8、在桌面上新建一個文本文檔,文件書寫格式如下: (Server的IP + 端口號)
<html><head><title> + 內容 </title></head></html>寫完之後(保存在一個文件夾裏)另存爲
隨便取一個名字 + 後綴是.html
保存類型選所有文件
9、打開Server1,選擇HttpServer --- 選擇保存Html文件的文件夾 -- 啓動
10、打開Client --- 客戶端信息 -- 輸入http://100.1.12.10:8080 -- 獲取 就可以了