锐捷NAT+ACL理论讲解与实验配置

已于 2023-08-08 19:36:46 修改
阅读量6.1k 收藏 60
点赞数 5
分类专栏: # 路由交换协议实验配置 文章标签: 网络 服务器 运维
于 2022-10-08 20:07:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49864110/article/details/127215295
版权

目录

实验配置

R1与R2配置OSPF

在R2上配置NAT+ACL

ACL讲解

锐捷常用的ACL

锐捷ACL匹配顺序

锐捷NAT相关配置

NAT讲解

锐捷NAT的术语

锐捷NAT地址池配置

锐捷源NAT策略配置(转换源地址)

锐捷外部源NAT转换配置(转换目的地址)

NAT做TCP负载均衡

实验配置

绿色R1   蓝色R2   R3只需要配置相应的IP地址就可以,不用做其它操作

R1与R2配置OSPF

interface GigabitEthernet 0/0

 no switchport

 ip address 10.0.10.254 24

interface GigabitEthernet 0/1

 no switchport

 ip address 10.0.20.1 24

router ospf 100

 router-id 1.1.1.1                  配置Router-id

 network 10.0.10.0 0.0.0.255 area 0   在区域0宣告10.0.10.0/24网段

 network 10.0.20.0 0.0.0.255 area 0

interface GigabitEthernet 0/0

 no switchport

 ip address 10.0.20.2 24

 ip ospf priority 255           配置OSPF接口优先级,选举DR

interface GigabitEthernet 0/1

 no switchport

 ip address 1.1.1.2 24

router ospf 100

 router-id 2.2.2.2

 network 10.0.20.0 0.0.0.255 area 0

 default-information originate always   向OSPF区域下发缺省路由(无论自己是否配置了缺省静态)

在R2上配置NAT+ACL

配置ACL匹配流量

Ip access-list standard 10          配置标准ACL(只可以匹配源IP地址)

 10 permit 192.168.10.0 0.0.0.255  匹配IP地址为192.168.10.0/24报文

 20 deny any

配置NAT地址池——通过1.1.1.1这个地址做NAT

ip nat pool out 1.1.1.1  1.1.1.1 netmask 255.255.255.255

配置NAT内、外网口

interface GigabitEthernet 0/1

 ip nat outside

interface GigabitEthernet 0/0

 ip nat inside

配置源nat转换策略

ip nat inside source list 10 pool out overload 

内网口接收到的报文匹配到acl时做源NAT转换,转换为Pool的地址

Overload代表端口也会转换

ACL讲解

锐捷常用的ACL

常用的ACL主要有标准ACL和扩展ACL

标准ACL Standard

标准ACL的编号范围:1-99和1300-1999

标准ACL只匹配源ip地址

扩展ACL Extended

扩展ACL的编号范围:100-199和2000-2699。

扩展ACL可以匹配数据流的五大元素(源ip地址、目的ip地址、源端口、目的端口、协议号)

锐捷ACL匹配顺序

ACL的匹配顺序为从上往下(ACE序号从小到大)匹配ACE条目,若匹配对应的ACE条目后,就执行该ACE条目的行为(允许/拒绝),不会再往下匹配其他ACE条目。

ACL最后隐含一条 deny any 的ACE条目,会拒绝所有流量。

若是禁止某网段访问,其他网段均放通,则应该在拒绝流量的ACE配置完成后,再加一条permit any的ACE条目,用来放行其他流量。

锐捷NAT相关配置

Ip  access-list  extended/standard   编号    进入ACL视图配置策略

  ip access-group 编号 in/out                        接口下配置,在接口调用ACL

show access-lists                                       查看配置了ACL转换表项

NAT讲解

锐捷NAT的术语

Inside:内部

Outside:外部

Inside local:内部本地地址(内部主机的实际地址,一般为私有地址)

Inside global:内部全局地址(内部主机经NAT转换后去往外部的地址,是ISP分配的合法IP地址)

Outside local:外部本地地址(外部主机由NAT设备转换后的地址,一般为私有地址,内部主机访问该外部主机时,认为它是一个内部的主机而非外部主机)

Outside global:外部全局地址(外部主机的真实地址,互联网上的合法IP地址)

锐捷NAT地址池配置

第一种:ip nat pool 出去 1.1.1.1  1.1.1.1 netmask 255.255.255.255

第二种:ip nat pool 出去 netmask 255.255.255.255

               address 1.1.1.1 1.1.1.1

锐捷源NAT策略配置(转换源地址)

出接口源NAT转换

ip nat inside source list [acl编号] interface [接口] overload    

地址池源NAT转换

ip nat inside source list  [acl编号]  pool [地址池名称] overload

静态一对一源NAT转换

可以基于IP地址进行一对一转换

也可以基于TCP、UDP协议进行端口一对一转换

基于IP地址的一对一映射

ip nat inside source static 172.16.1.100 192.168.2.168 permit-inside   

把内网172.16.1.100 映射成公网的192.168.2.168

基于TCP UDP协议的端口映射

ip nat inside source static tcp 172.16.1.100 23 192.168.2.168 23

将内网地址172.16.1.100的23号端口服务映射为192.168.2.168的23号端口

若不加overload是执行动态的ip一对一映射,不会执行端口转换,不能解决公网地址不够的问题。

show ip nat translations  查看NAT转换表

锐捷外部源NAT转换配置(转换目的地址)

配置NAT外网源地址转换,将外网服务器的公网地址转换为内网地址,使得内网用户在访问外网时,感知不到自己访问了外网

可以基于IP地址进行一对一转换,也可以基于TCP、UDP协议进行端口一对一转换

基于IP地址的一对一映射

ip nat outside source static 1.0.23.3 192.168.10.100

当内网访问192.168.10.100时,将目的IP转为1.0.23.3

基于TCP UDP协议的端口映射

ip nat outside source static tcp 1.0.23.3 23 192.168.10.100 23

当内网访问192.168.10.100的23端口时,将目的IP转为1.0.23.3的23端口

NAT做TCP负载均衡

NAT做TCL负载均衡的原理

将多个内网的服务器地址(提供TCP类型服务)映射为一个公网IP地址对外提供服务

当外部访问此公网IP地址的服务时,会将此流量转发到内网的多个服务器上

配置注意事项

映射的公网IP地址只支持为外网出口的IP地址或者其它网段的IP地址,不能映射为于出接口相同网段的其它IP地址

如果映射为于出接口IP同网段的其它IP地址,会由于设备不对该IP地址的ARP请求进行回应而导致映射失效(设备会认为这是一台与本出口在同一网段的其它设备地址,而不是自身的地址,不会对该IP地址的ARP请求进行回应)

配置命令

配置对于哪些外网流量进行TCP负载分担(TCP负载均衡中只可以使用扩展ACL)

ip access-list extended 100

 10 permit ip any host 1.0.0.100

所有的外网访问1.0.0.100此地址时,将目标地址转为真正的内网服务器地址进行负载分担

配置真正的内网服务器地址(通过地址池的方式配置)

ip nat pool fuzai 192.168.1.1 192.168.1.2 netmask 255.255.255.0 type rptary

配置NAT转换策略

ip ant inside destination list 100 pool fuzai

静下心来敲木鱼
关注
  • 5
    点赞
  • 60
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
网工进阶之路-锐捷NAT网络地址转换实验 ----尚文网络奎哥
weixin_42081313的博客
01-11 3474
锐捷所有NAT实现方式配置全集
锐捷学习笔记-5(nat
zhaoxx22的博客
07-17 1433
ip nat inside source static 172.16.1.100(内) 192.168.2.168(外) permit-inside。ip nat inside source static tcp 172.16.1.100(内) 23(端口号) 192.168.2.168(外) 23。ip access-list extended 100 (100-199) 扩展acl。show ip nat teanslatons 查看NAT转换表。锐捷NAT配置加简单ACL配置nat内、外网口。
锐捷NAT地址池配置
Hakkazhongli的博客
06-03 4848
Ruijie(config)#ip nat pool NAT prefix-length 24 Ruijie(config-ipnat-pool)#address 111.20.30.192 111.20.30.195 match GigabitEthernet gi 1/2/1 Ruijie(config-ipnat-pool)#address address interface gigabitEthernet 1/2/3 match interface GigabitEthernet gi 1/2/3.
锐捷路由器——NAT应用案例----TCP负载均衡
小糊涂仙
12-24 4592
当我们内部有几台提供相同服务的服务器时,我们可以用NAT来做到负载均衡;该功能也称为TCP负载均衡技术。 配置案例: 如下图所示,内网有两台相同的服务器192.168.1.253,192.168.1.254共同为外部提供相同的服务(对外提供万维网服务)。为了达到两台服务器负载均衡的效果,我们将两台服务器共同映射至一个相同的外网地址,并且将外部访问的流量均衡地分配至两台不同的服务器上。 图...
NAT 详解
热门推荐
freeking101的博客
09-13 13万+
NAT技术(一、二、三、四、五) 系列:https://blog.51cto.com/wwwcisco/category1.html CCNA学习笔记之NAT:http://sweetpotato.blog.51cto.com/533893/1392884 网络地址转换NAT原理及应用:http://blog.csdn.net/xiaofei0859/article/details/663...
ACLNAT(附配置实例)超详细
这是博客的简介的简介
07-12 3221
每条语句就是该ACL的一条规则,每条语句中的permit或deny就是与这条规则相对应的处理动作。使用列表匹配私网的ip地址,将所有的私网地址映射成路由器当前接口的公网地址。1)静态NAT: 一个私网地址对应一个公网地址 (两个私网就对应两个公网地址) (一 一对应)。source 1.1.1.0 表示匹配项(用于在ACL中匹配对应规则,此处表示源IP地址)ACL(访问控制表),用于过滤数据包(源目IP地址),决定是否能通过。NAT将内部(私有)地址转换成外部(公有)地址。
锐捷NATACL课件
06-27
锐捷网络NAT网络地址转换)与ACL(访问控制列表)是网络管理中的重要技术,对于构建安全、高效的企业或校园网络至关重要。这两项技术在现代网络环境中扮演着核心角色,允许有限的公网IP地址服务于众多的内部设备...
NAT与路由器配置实例.ppt
03-18
计算机网络实验思科NAT与路由器配置实例ppt
锐捷交换机ACL配置
05-08
锐捷交换机上配置基于时间的ACL,可以进一步细化策略,使得规则只在特定的时间段内生效,这对于企业网络管理尤为实用,例如限制非工作时间的网络访问或特定服务。 基于时间的ACL配置主要涉及到以下几个关键概念:...
锐捷MPLS隧道单域实验配置命令.zip
11-23
PE与CE之间4种路由协议(ISIS、BGP、OSPF、静态) 实现站点之间的互访
S7500交换机NAT功能的配置
12-20
在S7500交换机上进行私网到公网的NAT功能的具体配置方法
锐捷 RG-RSR系列路由器产品典型配置案例集
09-11
RG-RSR系列路由器产品典型配置案例集,文档中详细写了每个典型案例配置命令,同时对每条命令做了很清楚的解释,再者从基础到深入讲解,内容很详细,一步一步教会您!
锐捷路由器配置命令大全
03-04
锐捷路由器配置命令大全!锐捷路由器配置命令大全!
锐捷交换机nat
11-17
讲解锐捷nat配置,及常见实例.资料中涉及到三种网络类型.
锐捷4.63+4.96+5.10合集(64位32位通用)
03-12
锐捷网络是一家知名的中国本土网络设备与解决方案提供商,其产品广泛应用于教育、企业、政府等多个领域。这个"锐捷4.63+4.96+5.10合集"指的是锐捷客户端软件的不同版本集合,适用于64位和32位操作系统,确保了在各种...
GNS3----cisco路由器NAT配置
zwish的信安之路
03-26 4998
一、基础 Cisco路由器配置NAT的主要命令: 静态NAT: 1、指定NAT内部接口 在内网相应接口的接口配置模式下执行:ip nat inside 2、指定NAT外部接口 在外网相应接口的接口配置模式下执行:ip nat outside 3、在内部本地地址与内部全局地址之间建立静态地址转换关系: ip ...
Cisco设备静态NAT基本配置步骤
weixin_33985507的博客
12-10 1846
以下内容摘自笔者即将出版上市的《金牌网管师——大中型企业网络组建、配置与管理》一书,或者于明年将出版的《Cisco/H3C路由器配置与管理完全手册》一书。   当你与外部网络进行通信时,你可以转换自己的私有IP地址到全局唯一的IP地址。可以通过静态或动态NAT来实现以上目的。静态NAT在内部本地址和内部全局地址之间建立一对一的映射关系,而动态NAT建立一个内部本地址到一个全局地址池的映射关系。...
锐捷交换机基础配置命令
qq_45371244的博客
11-18 2万+
ip地址:ip地址就像你的名字,在你所在的地方管用。 mac地址:就像你的身份证,在所有的地方都管用。 enable----进入特权模式 config----进入全局配置模式 hostname ruijie2021----更改设备名称 vlan 10 ----创建vlan 10(vlan-虚拟局域网) name 123----给vlan设置名称 interface vlan 10----进入vlan10 ip address 192.168.10.1 255.255.255.0---
锐捷网络交换机的配置命令集
I can play
05-02 2840
锐捷网络交换机的配置命令集
锐捷NAT-PT配置
最新发布
12-05
以下是锐捷设备进行NAT-PT配置的步骤: 1. 配置R1和R3的静态路由,将数据包发送到NAT-PT设备进行v6v4地址转换。 ``` [R1]ip route-static 2001:DB8:1:1::/64 10.1.1.2 [R3]ip route-static 10.1.1.0 255.255.255.0 2001:DB8:3:3::2 ``` 2. 配置R1和R3的NAT-PT地址映射。 ``` [R1]nat-pt mapping 10.1.1.2 2001:DB8:1:1::2 [R3]nat-pt mapping 2001:DB8:3:3::3 10.1.1.3 ``` 3. 配置R2的NAT-PT进行v4tov6和v6tov4的地址转换。 ``` [R2]nat-pt [R2-nat-pt]v4v6 mapping-scheme 1 [R2-nat-pt-v4v6-1]protocol tcp [R2-nat-pt-v4v6-1]inside-interface GigabitEthernet 0/0/1 [R2-nat-pt-v4v6-1]outside-interface GigabitEthernet 0/0/0 [R2-nat-pt-v4v6-1]address-group 1 [R2-nat-pt-v4v6-1]quit [R2-nat-pt]v6v4 mapping-scheme 1 [R2-nat-pt-v6v4-1]protocol tcp [R2-nat-pt-v6v4-1]inside-interface GigabitEthernet 0/0/0 [R2-nat-pt-v6v4-1]outside-interface GigabitEthernet 0/0/1 [R2-nat-pt-v6v4-1]address-group 1 [R2-nat-pt-v6v4-1]quit [R2-nat-pt]quit [R2]interface GigabitEthernet 0/0/0 [R2-GigabitEthernet0/0/0]nat-pt enable [R2-GigabitEthernet0/0/0]quit [R2]interface GigabitEthernet 0/0/1 [R2-GigabitEthernet0/0/1]nat-pt enable [R2-GigabitEthernet0/0/1]quit ``` 4. 验证NAT-PT配置是否成功。 ``` [R2]display nat-pt statistics ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

静下心来敲木鱼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值