网络地址转换技术

最新推荐文章于 2024-08-28 21:39:09 发布
最新推荐文章于 2024-08-28 21:39:09 发布
阅读量919 收藏 20
点赞数 21
分类专栏: 防火墙技术 文章标签: 网络 网络安全 华为 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Limit_23/article/details/140701757
版权

一、实验日期与地址

1、实验日期:2024年xx月xx日

2、实验地址:xxx

二、实验目的

1、理解源NAT应用场景及原理;

2、掌握NAT Server的配置方法;

3、掌握NAT双出口的配置方法;

4、掌握域内NAT的配置方法。

三、实验环境

华为eNSP模拟器,实验拓扑如下:

四、实验内容

1、实验规划:

设备

接口

IP地址

安全区域

FW

GE 1/0/0

10.1.1.1/24

trust

GE 1/0/1

1.1.1.1/24

untrust

GE 1/0/2

2.2.2.1//24

untrust

AR1

GE 0/0/0

1.1.1.2/24

ISP1

GE 0/0/1

3.3.3.1/24

untrust

AR2

GE 0/0/0

4.4.4.1/24

untrust

GE 0/0/1

2.2.2.2/24

ISP2

AR3

GE 0/0/0

4.4.4.2/24

untrust

GE 0/0/1

3.3.3.2/24

untrust

GE 2/0/0

5.5.5.1/24

untrust

GE 2/0/1

6.6.6.1/24

untrust

PC1

Eth 0/0/1

10.1.1.2/24

trust

PC2

Eth 0/0/1

5.5.5.2/24

untrust

Server1

Eth 0/0/0

10.1.1.3/32

trust

2、配置步骤:

步骤 1 配置各个设备及接口的IP地址

# 配置防火墙的接口IP地址

[FW]interface GigabitEthernet 1/0/0

[FW-GigabitEthernet1/0/0]ip address 10.1.1.1 24

[FW-GigabitEthernet1/0/0]q

[FW]interface GigabitEthernet 1/0/1

[FW-GigabitEthernet1/0/1]ip address 1.1.1.1 255.255.255.0

[FW-GigabitEthernet1/0/1]q

[FW]interface GigabitEthernet 1/0/2

[FW-GigabitEthernet1/0/2]ip address 2.2.2.1 255.255.255.0

[FW-GigabitEthernet1/0/2]q

# 配置路由器的接口IP地址

[R1]interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]ip address 1.1.1.2 255.255.255.0

[R1-GigabitEthernet0/0/0]q

[R1]interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/1]ip address 3.3.3.1 255.255.255.0

[R1-GigabitEthernet0/0/1]q

[R2]interface GigabitEthernet 0/0/0

[R2-GigabitEthernet0/0/0]ip address 4.4.4.1 255.255.255.0

[R2-GigabitEthernet0/0/0]q

[R2]interface GigabitEthernet 0/0/1

[R2-GigabitEthernet0/0/1]ip address 2.2.2.2 255.255.255.0

[R2-GigabitEthernet0/0/1]q

[R3]interface GigabitEthernet 0/0/0

[R3-GigabitEthernet0/0/0]ip address 4.4.4.2 255.255.255.0

[R3-GigabitEthernet0/0/0]q

[R3]interface GigabitEthernet 0/0/1

[R3-GigabitEthernet0/0/1]ip address 3.3.3.2 255.255.255.0

[R3-GigabitEthernet0/0/1]q

[R3]interface GigabitEthernet 2/0/0

[R3-GigabitEthernet2/0/0]ip address 5.5.5.1 255.255.255.0

[R3-GigabitEthernet2/0/0]q

[R3]interface GigabitEthernet 2/0/1

[R3-GigabitEthernet2/0/1]ip address 6.6.6.1 255.255.255.0

[R3-GigabitEthernet2/0/1]q

# 配置PC和Server的网络参数,如下图

步骤 2 配置防护墙的安全区域

[FW]firewall zone trust

[FW-zone-trust]add interface g1/0/0

[FW-zone-trust]quit

[FW]firewall zone name isp1

[FW-zone-isp1]set priority 10

[FW-zone-isp1]add interface g1/0/1

[FW-zone-isp1]quit

[FW]firewall zone name isp2

[FW-zone-isp2]set priority 20

[FW-zone-isp2]add interface g1/0/2

[FW-zone-isp2]quit

步骤 3 配置防火墙的默认路由

[FW]ip route-static 0.0.0.0 0 2.2.2.1

[FW]ip route-static 0.0.0.0 0 1.1.1.1

步骤 4 路由器上部署OSPF路由协议,并引入静态路由

# AR1

[AR1]ospf 1

[AR1-ospf-1]import-route static

[AR1-ospf-1]area 0.0.0.0

[AR1-ospf-1-area-0.0.0.0 ]network 1.1.1.0 0.0.0.255

[AR1-ospf-1-area-0.0.0.0 ]network 3.3.3.0 0.0.0.255

# AR2

[AR2]ospf 1

[AR2-ospf-1]import-route static

[AR2-ospf-1]area 0.0.0.0

[AR2-ospf-1-area-0.0.0.0 ]network 2.2.2.0 0.0.0.255

[AR2-ospf-1-area-0.0.0.0 ]network 4.4.4.0 0.0.0.255

# AR3

[AR3]ospf 1

[AR3-ospf-1]area 0.0.0.0

[AR3-ospf-1-area-0.0.0.0 ]network 3.3.3.0 0.0.0.255

[AR3-ospf-1-area-0.0.0.0 ]network 4.4.4.0 0.0.0.255

[AR3-ospf-1-area-0.0.0.0 ]network 5.5.5.0 0.0.0.255

步骤 5 配置安全策略

# 在防火墙上配置安全策略,允许内网用户访问Internet外网。

[FW]security-policy

[FW-policy-security]rule name trust_isp1

[FW-policy-security-rule-trust_isp1]source-zone trust

[FW-policy-security-rule-trust_isp1]source-address 10.1.1.0 24

[FW-policy-security-rule-trust_isp1]destination-zone isp1

[FW-policy-security-rule-trust_isp1]action permit

[FW-policy-security-rule-trust_isp1]quit

[FW-policy-security]rule name trust_isp2

[FW-policy-security-rule-trust_isp2]source-zone trust

[FW-policy-security-rule-trust_isp2]source-address 10.1.1.0 24

[FW-policy-security-rule-trust_isp2]destination-zone isp2

[FW-policy-security-rule-trust_isp2]action permit

[FW-policy-security-rule-trust_isp2]quit

[FW-policy-security]quit

# 在防火墙上配置安全策略,允许外网用户访问内网服务器。

[FW]security-policy

[FW-policy-security]rule name isp1_trust

[FW-policy-security-rule-isp1_trust]source-zone isp1

[FW-policy-security-rule-isp1_trust]destination-zone trust

[FW-policy-security-rule-isp1_trust]destination-address 10.1.1.3 32 

[FW-policy-security-rule-isp1_trust]action permit

[FW-policy-security-rule-isp1_trust]quit

[FW-policy-security]rule name isp2_trust

[FW-policy-security-rule-isp2_trust]source-zone isp2

[FW-policy-security-rule-isp2_trust]destination-zone trust

[FW-policy-security-rule-isp2_trust]destination-address 10.1.1.3 32 

[FW-policy-security-rule-isp2_trust]action permit

[FW-policy-security]quit

步骤 6 配置NAT Server

# 在防火墙上配置NAT Server,创建服务器的公网IP与私网IP的映射。

[FW]nat server zone isp1 global 1.1.1.1 inside 10.1.1.3  

[FW]nat server zone isp2 global 2.2.2.1 inside 10.1.1.3  

步骤 7 配置Easy-IP,使内网用户可以访问外网。

# 配置源NAT策略

[FW]nat-policy

[FW-policy-nat]rule name trust_isp1

[FW-policy-nat-rule-trust_isp1]source-zone trust

[FW-policy-nat-rule-trust_isp1]destination-zone isp1

[FW-policy-nat-rule-trust_isp1]source-address 10.1.1.0 24

[FW-policy-nat-rule-trust_isp1]action source-nat easy-ip   

[FW-policy-nat-rule-trust_isp1]quit

[FW-policy-nat]rule name trust_isp2

[FW-policy-nat-rule-trust_isp2]source-zone trust

[FW-policy-nat-rule-trust_isp2]destination-zone isp2

[FW-policy-nat-rule-trust_isp2]source-address 10.1.1.0 24

[FW-policy-nat-rule-trust_isp2]action source-nat easy-ip  

[FW-policy-nat]quit

步骤 8 NAT调试

# 在外网主机上访问内网服务器,查看防火墙Server-Map表项。

注意:这里访问的应该是nat后的地址。

以上输出信息显示,通过配置NAT Server,已经成功将内网的10.1.1.3服务器映射为2.2.2.1/1.1.1.1。

# 查看防火墙Session表项

在PC终端ping测试外网终端Host;在外网终端Host上访问内网服务器(2.2.2.1),成功访问后,查看防火墙Session表项。

以上输出信息显示,防火墙中当前会话表数为13条,分别是外网访问内网ftp服务器、内网用户访问外网(icmp)的会话表项;相应的地址都进行了NAT转换。其中,“[]”标识NAT转换后的地址。

综上,实验成功!

五、实验总结

本次实验旨在通过在华为的ENSP模拟器上配置防火墙NAT技术,实现理解NAT原理、不同NAT类型的应用场景及其配置方法。实验内容包括配置源NAT Easy-IP、静态NAT和NAT Server,测试内网用户的上网情况以及外网访问内网服务的情况。实验步骤包括配置防火墙的接口IP地址,配置NAT地址池和转换规则,以及测试不同内网和外网IP地址的通信情况。

实验结果显示,通过配置源NAT Easy-IP,成功实现了内网用户共享公共IP地址访问外网;通过配置静态NAT,实现了内网服务器对外提供服务的能力;通过配置NAT Server,成功实现了外网用户对内网特定服务的访问。测试结果表明,各设备间通信符合预期结果,达到了实验目标。

然而,在实验过程中也遇到了一些问题。其中包括:

  1. 配置错误导致地址转换失败:在初次配置中,存在部分配置错误导致部分内网用户无法访问外网。
  2. 端口映射冲突:在设置NAT Server时,未清晰地定义端口映射规则,导致部分服务无法按预期提供。

针对以上问题,我们采取了以下解决方案:

  1. 仔细检查配置:对于配置错误的部分,进行了仔细检查和修正,确保配置的准确性和完整性。
  2. 加强对端口映射的理解:加强对NAT Server端口映射规则的理解,确保端口映射的唯一性和正确性。

通过以上措施,最终成功解决了实验过程中遇到的问题,并取得了预期的实验结果。这次实验为我们提供了宝贵的实践经验,加深了对防火墙NAT技术配置的理解,提升了我们在网络地址转换和安全领域的能力。

这里是苏同学
关注
  • 21
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
03-网络地址转换技术
qianlai22的博客
03-05 2477
IP地址分类 私网地址: A类地址:10.0.0.0~10.255.255.255 B类地址:172.16.0.0~172.31.255.255 C类地址:192.168.0.0~192.168.255.255 NAT(网络地址转换技术) NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网 优点: 实现IP地址复用,节约宝贵的地址资源。 地址转换过程对用户透明。 对内网用户提供隐私保护。 可实现对内部服务器的负载均衡。
NAT网络地址转换技术原理介绍:NAT原理及其应用,Basic NAT、NAPT、NAT Serve
zhongyuanjy的博客
03-29 2948
什么是NAT技术? NAT(Network Address Translation,网络地址转换)是将IP数据报文中的IP地址转换为另一个IP地址的过程。当内部IP想要访问外网时,NAT主要实现内部网络和外部网络之间IP的转换,这种通过使用少量的公网IP地址代表较多的私网IP地址的方式,将有助于减缓可用IP地址空间的枯竭。 为什么要用NAT? IPv4即网际网协议第四版,IPv4定义了一个跨域各种不同网络互联的超级网络。IPv4使用32bit整数表达一个地址,32bit大约可以排列成43亿的不同的数据。以I
NAT网络地址转换技术
B站:众元网络
09-12 1591
NAT(Network Address Translation,网络地址转换)是一种网络地址转换技术, NAT使用少量公网IP地址代表比较多的私有IP地址这种方式方式,减缓可用的IP地址空间的枯竭,它不仅能解决IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。NAT技术常见的转换方式:(1) 静态NAT:每个私有地址都有与之对应并且固定的共有地址,他们的关系是一对一的,如下图所示,在网关NAT映射表中,每个私网地址对应了一个公有地址;
防火墙网络地址转换技术
zljszn的博客
10-13 4533
先来简单的阐述一下什么是源NAT地址的方式,第一种方式是不带端口号进行转换,就是需要配置一个公网地址池,私网地址转换的时候找公网地址池当中的其中一个没有在使用的公网地址转换即可,其实着也是一对一的关系,如果公网地址池当中的地址被转换完后其他的私网主机想出来上网就无法上网课,第二种方式就是带端口转换,就是也需要一个公网地址池,但是这个地址池里面只需要一个公网地址即可,内网的主机出来转换的时候就转换到这个公网地址的不同端口即可,端口的范围是0~65535,这样才能做到真正节约公网地址的目的。
NAT(网络地址转换技术详解
weixin_74299972的博客
06-11 2018
当内部网络中的设备需要访问外部网络时,NAT设备会将该设备的私有IP地址和端口号转换为公共IP地址和端口号,并将转换后的数据包发送到外部网络。当内部网络中的设备需要访问外部网络时,NAT设备会从公共IP地址池中分配一个公共IP地址给该设备,并将该设备的私有IP地址和分配的公共IP地址建立映射关系。NAT技术允许一个私有IP地址的网络通过路由器或防火墙等设备访问公共IP地址的网络,同时隐藏了内部网络的真实IP地址,提高了网络安全性。随着网络规模的扩大和业务的增长,NAT技术的扩展性成为了一个重要的问题。
NAT网络地址转换技术入门到详解
meihualing的专栏
04-24 3568
本文会从NAT的简介入手,详解NAT技术本身,通过本文,你可以清楚了理解NAT,SNAT, DNAT, PAT, NAPT, Full NAT的定义,它个之间的区别与联系。最后会详细给出如何将一台多网卡的Linux主机配置成一台NAT路由器。
NAT(地址转换技术)详解
热门推荐
粥同学的学习笔记
03-17 25万+
目录 NAT产生背景 ip地址基础知识 NAT技术的工作原理和特点 静态NAT 动态NAT NAT重载(经常应用到实际中) NAT技术的优缺点 优点 缺点 NAT穿越技术 应用层网关(ALG) ALG的实际应用 NAT技术的未来 参考文献 NAT产生背景 今天,无数快乐的互联网用户在尽情享受Internet带来的乐趣。他们浏览新闻,搜索资料,下载软件,广交新朋,分...
细致讲解一下NAT网络地址转换技术
xiaobai729的博客
02-26 4922
一说到NAT(Network Address Tranlation,网络地址转换技术),很多人都是听说过,但是不怎末了解,我接下来给大家细致的讲一讲,就是以聊天的形式进行,我们都知道当今的互联网发展迅速,网络设备也是以倍数增长,但是我们的IP v4地址是有限的,这是个致命的缺陷,这也就有了以后的IP v6地址,但是IP v4和IPv6也需要有一个过渡的过程,这时候就出现了NAT/网络地址转换技术,就是把私网IP地址转换为公网IP地址,nat技术主要用于实现内部网络的主机访问外部网络,一方面缓解了IP v4地
网络地址转换(NAT)技术
qq_51776588的博客
02-14 9369
网络地址转换原理 NAT技术的基本原理 NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网。 NAT是将IP报文报头中的IP地址转换为另一个IP地址的过程,一般的NAT转换设备都维护着一张地址转换表,所有经过NAT转换设备(处于内部网络和外部网络的连接处,常见的设备有:路由器、防火墙等)并且需要进行地址转换的报文,都会通过这个表做相应的修改。地址转换的机制分为如下两个部分: 1、内部网络主机的IP地址和端口转换为NAT转换设备外部网络地址和
HCSCA111 网络地址转换技术介绍.pptx
10-06
网络地址转换技术(NAT,Network Address Translation)是网络通信中的一种重要技术,其主要目的是解决IPv4地址空间日益紧缺的问题。NAT允许内部网络(私网)的设备使用私有IP地址,通过共享少量的公共IP地址与外部...
基于Linux的网络地址转换技术研究及其在校园网中的应用.pdf
09-07
基于 Linux 的网络地址转换技术研究及其在校园网中的应用 本文研究基于 Linux 的网络地址转换技术及其在校园网中的应用,介绍了网络地址转换的相关概念、基本原理和功能架构,并结合具体实现给出了相关的实验案例...
网络地址转换技术原理PPT学习教案.pptx
10-05
网络地址转换(NAT,Network Address Translation)技术是解决IPv4地址枯竭、网络安全和负载均衡等问题的关键技术。随着互联网的迅速发展,IPv4协议的32位IP地址空间逐渐捉襟见肘,同时,基于IP地址的网络攻击日益...
浏览器发送HTTP请求的过程
学Python的小白!
08-25 1515
浏览器发送HTTP请求的过程是一个复杂但有序的步骤,‌主要包括以下几个阶段:‌1.构建请求,2.查找缓存、3.DNS解析、4.建立TCP连接、5.发送HTTP请求、6.服务器处理请求、7.服务器发送响应、8.客户端处理响应、9.关闭连接。
服务器远程管理
m0_64827698的博客
08-26 1125
SSH两种级别的安全认证:基于口令(口令在网络上传播,易受中间人攻击),基于密钥(传公钥,公钥是否相同,公钥加密质询,私钥解密)(密钥不在网络上传)2.启用服务services.msc(telnet)/配置远程桌面服务gpedit.msc(rdp)/使⽤SSH,你可以把所有传输的数据进⾏加密,这样“中间 ⼈”这种攻击⽅式就不可能实现了。实验总结:在windows开启telnet服务(2019不支持),RDP服务,SSH。SSH协议允许⽤户通过配置⽂件⾃定义选择加密算法,以优化安全性和性能。
如何将十六进制的乱码转换成汉字
最新发布
2401_85258690的博客
08-28 615
可以看出,接收到的报文第一行包含了我们想要的信息,我们需要将。在TCP通信时,抓包得到的请求报文,我们需要对其进行分析,中心思想为:剔除%,用strtol将16进制乱码进行转换。
系统编程 网络 http协议
qq_69971969的博客
08-24 1061
--------------------------------------表示了资源所在的路径。意思:域名解析=>把对应的域名解析为对应的ip。<协议>://<主机>:<端口>/<路径>万维网:http解决万维网之间互联互通。http:应用层协议,底层是tcp协议。http协议------应用层的协议。1.如何在万维网中表示一个资源?http协议加密:tls,ssl。计算机web端网络只能看到文字。<http>只是协议的一种。html 超文本标记语言。http 超文本传输协议。
33.python socket
笔生花的博客
08-27 1374
python socket 心跳包 数据包
NAT/NAPT详解:网络地址转换技术
"NAT/NAPT是网络地址转换技术,用于解决IPv4地址空间不足、私有IP网络与公网互联等问题。NAT分为静态NAT和动态NAT,通过将内部网络的IP地址转换为全局可路由的IP地址,使得内部网络能够与外部网络通信。NAPT则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

这里是苏同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值