NAT综合实验
包含:静态nat 、动态nat 、静态napt(nat server)、动态napt、easy-ip
知识链接:
基于私有地址与公有地址不能直接通信的原则,公网 的计算机是不能直接访问内网服务器的,
要使内网服务器上的服务能够被外网主机访问,就要将内网服务器的私有IP地址通过静态转换映射到
公网IP地址上,这样互联网上的用户才能通过公网IP地址访问内网服务器。
1.NAT的基本概念
NAT是一个IETF标准。NAT是一种把内部私有网络地址转换成合法的外部公有网络地址的技术。
当今的Internet使用TCP/IP协议实现了全世界的计算机的互联互通,
每台接入Internet的计算机要想和其他计算机通信,就必须拥有一个唯一的、合法的IP地址,
此IP地址由Internet管理机构——网络信息中心(Network Information Center,NIC)
统一进行管理和分配。而NIC分配的IP地址被称为公有的、合法的P地址,
这些IP地址具有唯一性,接入Internet的计算机只要拥有NIC分配的IP地址就可以和其他计算机通信。
但是,由于当前TCP/IP协议的版本是IPv4,它具有天生的缺陷,即IP地址数量不够多,
难以满足目前爆炸式增长的需求。所以,不是每台计算机都能申请并获得NIC分配的IP地址。
一般来说,需要接入Internet的个人或家庭用户,通过ISP间接获得合法的公有IP地址
(例如,用户通过ADSL线路拨号,从电信获得临时租用的公有IP地址);
对于大型机构而言,它们既可以直接向NIC申请并使用永久的公有IP地址,
也可以通过ISP间接获得永久或临时的公有IP地址。
无论通过哪种方式获得公有的IP地址,实际上当前可用的IP地址数量依然不足。IP地址作为有限的资源,NIC要为网络中数以亿计的计算机分配公有IP地址是不可能的。同时,
为了使计算机能够具有IP地址并且在专用网络(内部网络)中通信,
NIC定义了供专用网络内的计算机使用的专用IP地址。这些IP地址是在局部使用的(非全局的,不具有唯一性)
非公有的(私有的)IP地址,其范围如下。
(1)A类IP地址:10.0.0.0~10.255.255.255。
(2)B类IP地址:172.16.0.0~172.31.255.255。
(3)C类IP地址:192.168.0.0~192.168.255.255。
2.NAT的类型
1)静态NAT
在路由器中,将内网IP地址固定地转换为外网IP地址,通常应用在允许外网用户访问内网服务器的场景中。
2)动态NAT
将一个内部IP地址转换为一组外部IP地址池中的一个IP地址(公有地址)
。动态NAT和静态NAT在地址转换上很相似,只是动态NAT可用的公有IP地址不是被某个专用网络的计算机永久独自占有。
3)静态NAPT(NAT Server)
动态NAT指将一个内部IP地址转换为一组外部IP地址池中的一个IP地址(公有IP地址) 。
4)静态NAPT
在路由器中以“IP地址+接口”形式,将内网IP地址及接口固定地转换为外网IP地址及接口,
应用在允许外网用户访问内网计算机特定服务的场景。
5)Easy IP
Easy IP是NAPT的一种简化情况。Easy IP无须建立公有IP地址资源池,因为Easy IP只会用到一个公有IP地址
,该IP地址就是路由器连接公网的出口IP地址。
(1)静态nat拓扑图:
实验步骤:
lan
#
interface Serial1/0/0
link-protocol ppp
ip address 200.1.1.1 255.255.255.0
nat static global 200.1.1.5 inside 192.168.1.1 netmask 255.255.255.255
// 默认已经配置
//这行命令设置了一个静态NAT映射。这意味着将一个内部IP地址(192.168.1.1)静态地映射到一个全局IP地址(200.1.1.5)。内部地址是通过inside关键字指定的,而全局地址是通过global关键字指定的。
//这意味着将内部IP地址192.168.1.1转换为全局IP地址200.1.1.5。由于子网掩码设置为255.255.255.255,只有192.168.1.1这个特定的IP地址会被转换,没有其他IP地址会被转换。
#
#
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 Serial1/0/0
#
isp
#
interface Serial1/0/0
link-protocol ppp
ip address 200.1.1.2 255.255.255.0
#
#
interface GigabitEthernet0/0/0
ip address 63.19.6.254 255.255.255.0
#
结果:
- 客户端可以访问服务器
(2):动态nat
配置:
interface Ethernet0/0/0
ip address 10.10.10.234 255.255.255.0
#
interface Ethernet0/0/1
ip address 12.12.12.1 255.255.255.0
#
[Huawei-acl-basic-2001]rule 10 permit source 10.10.10.1 0.0.0.255
#创建nat地址池,
[Huawei]nat address-group 1 12.12.12.10 12.12.12.15
#定义acl规则 允许 源地址 反掩码
[Huawei-Ethernet0/0/1]nat outbound 2001 address-group 1 no-pat
#进入流量出口接口
//此处 改为 :
[Huawei-Ethernet0/0/1]nat outbound 2001 address-group 1
既是napt
ar2
[Huawei]int lo
[Huawei]int LoopBack 1
[Huawei-LoopBack1]ip ad 8.8.8.8 24
#
interface Ethernet0/0/1
ip address 12.12.12.2 255.255.255.0
结果:
pc1 可通r2的环回口 8.8.8.8
(3):动态napt
图片动态nat不必在意
配置:
interface Ethernet0/0/0
ip address 10.10.10.234 255.255.255.0
#
interface Ethernet0/0/1
ip address 12.12.12.1 255.255.255.0
#
[Huawei]nat address-group 12.12.12.10 12.12.12.10
#创建NAPT地址池(为使实验结果更明显,开始和结束地址配置相同的)
可以多个私网地址用一个公网
[Huawei]acl 2000
#创建acl
[Huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
#定义acl规则 允许 源地址 反掩码
[Huawei-acl-basic-2000]quit
[Huawei]interface eigabitether 0/0/1
[Huawei-eigabitEthernet0/0/1]nat outbound 2000 address-group 1
#在端口上将acl应用在nat,注意最后与动态nat少no-pat
ar2
[Huawei]int lo
[Huawei]int LoopBack 1
[Huawei-LoopBack1]ip ad 8.8.8.8 24
#
interface Ethernet0/0/1
ip address 12.12.12.2 255.255.255.0
结果:
pc1 可通r2的环回口 8.8.8.8
(4)easy-ip
配置
ar1:
interface Ethernet0/0/0
ip address 10.10.10.234 255.255.255.0
#
interface Ethernet0/0/1
ip address 12.12.12.1 255.255.255.0
#
[Huawei]acl 2024
[Huawei-acl-basic-2024]rule 666 permit source 10.10.10.0 0.0.0.255
[Huawei-Ethernet0/0/1]nat outbound 2024
----------------------------------
ar2
[Huawei]int lo
[Huawei]int LoopBack 1
[Huawei-LoopBack1]ip ad 8.8.8.8 24
#
interface Ethernet0/0/1
ip address 12.12.12.2 255.255.255.0
结果:
[Huawei]dis nat outbound
NAT Outbound Information:
--------------------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
--------------------------------------------------------------------------
Ethernet0/0/1 2024 1.12.12.12 easyip
--------------------------------------------------------------------------
Total : 1
(5)nat-server(即静态napt)
配置
ar1:
#
acl 2024
rule 666 permit source 10.10.10.0 0.0.0.255
interface GigabitEthernet0/0/0
ip address 10.10.10.234 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 12.12.12.1 255.255.255.0
nat server protocol tcp global 12.12.12.15 www inside 10.10.10.2 www
nat server protocol tcp global 12.12.12.15 ftp inside 10.10.10.4 ftp
nat outbound 2024
ip route-static 0.0.0.0 0.0.0.0 12.12.12.2
ar2
interface GigabitEthernet0/0/0
ip address 12.12.12.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 200.200.200.1 255.255.255.0
interface LoopBack1
ip address 8.8.8.8 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 12.12.12.1
#