nat玩法

于 2022-04-19 18:15:39 发布
阅读量298 收藏
点赞数
文章标签: 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49986910/article/details/124279015
版权

1.实验拓扑设计:

2.交换与路由配置:
[SW1]dis curr
#
sysname SW1
#
vlan batch 2 to 3
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password simple admin
 local-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 2
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 2
#
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 3
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
#
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
#
interface GigabitEthernet0/0/9
#
interface GigabitEthernet0/0/10
#
interface GigabitEthernet0/0/11
#
interface GigabitEthernet0/0/12
#
interface GigabitEthernet0/0/13
#
interface GigabitEthernet0/0/14
#
interface GigabitEthernet0/0/15
#
interface GigabitEthernet0/0/16
#
interface GigabitEthernet0/0/17
#
interface GigabitEthernet0/0/18
#
interface GigabitEthernet0/0/19
#
interface GigabitEthernet0/0/20
#
interface GigabitEthernet0/0/21
#
interface GigabitEthernet0/0/22
#
interface GigabitEthernet0/0/23
#
interface GigabitEthernet0/0/24
#
interface NULL0
#
user-interface con 0
user-interface vty 0 4
#
return

[SW2]dis curr
#
sysname SW2
#
vlan batch 2 to 3
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password simple admin
 local-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 2
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 3
#
interface GigabitEthernet0/0/4
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
#
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
#
interface GigabitEthernet0/0/9
#
interface GigabitEthernet0/0/10
#
interface GigabitEthernet0/0/11
#
interface GigabitEthernet0/0/12
#
interface GigabitEthernet0/0/13
#
interface GigabitEthernet0/0/14
#
interface GigabitEthernet0/0/15
#
interface GigabitEthernet0/0/16
#
interface GigabitEthernet0/0/17
#
interface GigabitEthernet0/0/18
#
interface GigabitEthernet0/0/19
#
interface GigabitEthernet0/0/20
#
interface GigabitEthernet0/0/21
#
interface GigabitEthernet0/0/22
#
interface GigabitEthernet0/0/23
#
interface GigabitEthernet0/0/24
#
interface NULL0
#
user-interface con 0
user-interface vty 0 4
#
return

[SW3]dis curr
#
sysname SW3
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
diffserv domain default
#
drop-profile default
#
aaa
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default
 domain default_admin
 local-user admin password simple admin
 local-user admin service-type http
#
interface Vlanif1
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/3
#
interface GigabitEthernet0/0/4
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
#
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
#
interface GigabitEthernet0/0/9
#
interface GigabitEthernet0/0/10
#
interface GigabitEthernet0/0/11
#
interface GigabitEthernet0/0/12
#
interface GigabitEthernet0/0/13
#
interface GigabitEthernet0/0/14
#
interface GigabitEthernet0/0/15
#
interface GigabitEthernet0/0/16
#
interface GigabitEthernet0/0/17
#
interface GigabitEthernet0/0/18
#
interface GigabitEthernet0/0/19
#
interface GigabitEthernet0/0/20
#
interface GigabitEthernet0/0/21
#
interface GigabitEthernet0/0/22
#
interface GigabitEthernet0/0/23
#
interface GigabitEthernet0/0/24
#
interface NULL0
#
user-interface con 0
user-interface vty 0 4
#
return

[R1]dis current-configuration 
[V200R003C00]
#
 sysname R1
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
 drop illegal-mac alarm
#
 wlan ac-global carrier id other ac id 0
#
 set cpu-usage threshold 80 restore 75
#
dhcp enable
#
acl number 3000  
 rule 5 deny tcp source 192.168.1.125 0 destination 192.168.1.1 0 destination-po
rt eq telnet 
 rule 10 deny tcp source 192.168.1.125 0 destination 192.168.2.1 0 destination-p
ort eq telnet 
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$dD-^9{6^(/rcx$*l!zS/YCG6%$%$
 local-user admin privilege level 15
 local-user admin service-type telnet
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
#
interface GigabitEthernet0/0/1
 ip address 192.168.2.1 255.255.255.252 
#
interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/2.1
 dot1q termination vid 2
 ip address 192.168.1.1 255.255.255.128 
 traffic-filter inbound acl 3000
 arp broadcast enable
 dhcp select interface
#
interface GigabitEthernet0/0/2.2
 dot1q termination vid 3
 ip address 192.168.1.129 255.255.255.128 
 arp broadcast enable
#
interface NULL0
#
ospf 1 router-id 1.1.1.1 
 silent-interface GigabitEthernet0/0/2
 area 0.0.0.0 
  network 192.168.1.0 0.0.0.255 
  network 192.168.2.0 0.0.0.255 
#
ospf 12 
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
 authentication-mode aaa
user-interface vty 16 20
#
wlan ac
#
return

[R2]dis curr
[V200R003C00]
#
 sysname R2
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
 drop illegal-mac alarm
#
 wlan ac-global carrier id other ac id 0
#
 set cpu-usage threshold 80 restore 75
#
dhcp enable
#
acl number 2000  
 rule 5 permit source 192.168.0.0 0.0.255.255 
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 192.168.2.2 255.255.255.252 
#
interface GigabitEthernet0/0/1
 ip address 12.1.1.1 255.255.255.0 
 nat server protocol tcp global current-interface telnet inside 192.168.2.1 teln
et
 nat server protocol tcp global current-interface www inside 192.168.1.130 www
 nat outbound 2000
#
interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/2.1
 dot1q termination vid 2
 ip address 192.168.3.1 255.255.255.128 
 arp broadcast enable
 dhcp select interface
#
interface GigabitEthernet0/0/2.2
 dot1q termination vid 3
 ip address 192.168.3.129 255.255.255.128 
 arp broadcast enable
 dhcp select interface
#
interface NULL0
#
ospf 1 router-id 2.2.2.2 
 default-route-advertise
 silent-interface GigabitEthernet0/0/2
 area 0.0.0.0 
  network 192.168.2.0 0.0.0.255 
  network 192.168.3.0 0.0.0.255 
#
ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

<ISP>sys
Enter system view, return user view with Ctrl+Z.
[ISP]dis curr
[V200R003C00]
#
 sysname ISP
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
 drop illegal-mac alarm
#
 wlan ac-global carrier id other ac id 0
#
 set cpu-usage threshold 80 restore 75
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 12.1.1.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2
 ip address 1.1.1.1 255.255.255.0 
#
interface NULL0
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

3.测试:

1.ISP路由器只能配置IP地址,之后不得进行其他任何配置

已配置,不在冗述
2.R1/2之间启动ospf协议,单区域

此处不做配置详述,强调一下R1/R2的g/0/0/2需要配置端口静默
3PC1-PC4自动获取IP地址

我在R1/R2子接口配置 dhcp select interface也达到要求,配置简单如果有其他要求可配置池塘
4.PC1不能Telnet R1,PC1外的其他的内网PC可以Telnet

此处由于模拟器的原因无法测试,实际工程中可以正常测试,下面是为达此目的R1上的配置:

[R1]acl number 3000  
       rule 5 deny tcp source 192.168.1.125 0 destination 192.168.1.1 0 destination-po
rt eq telnet 
       rule 10 deny tcp source 192.168.1.125 0 destination 192.168.2.1 0 destination-p
ort eq telnet 

[R1]interface GigabitEthernet0/0/2.1
       traffic-filter inbound acl 3000


5.PC1-PC4可以访问PC5,R2的公网接口只拥有一个公有IP 12.1.1.1

其他PC测试类似

6.外部的client可以通过域名访问httpserver


 

 

 

由上图可知已实现既定要求 

7.ISP路由Telnet 12.1.1.1,最终成功登陆到R1上

 由上图可知已实现既定要求 

 8.扩展知识:

NAT:网络地址转换(cisco篇)
在一台路由器上对进或出流量进行IP地址的修改;常用规则为从内部去往外部时修改源 IP地址;从外部
进入内部时修改目标IP地址;
静态nat——地址间的映射关系为固定;动态nat,临时地址映射;
流量从内部去往外部时,将内部本地地址修改为内部全局地址;从外部进入内部时,将内部全局地址修改为内部本地地址;

1、一对一(静态) 在边界路由器上,生成一条固定的永久的映射记录;
r1(config)#ip nat inside source static  192.168.1.2    12.1.1.1 
                                                               内部本地       内部全局


2、一对多(动态) 内部私有IP地址在nat成为同一个公有IP地址时,需要不同的源端口号,来形成唯一的临时映射关系;临时映射——需要内部流量先去往外部,被转换记录,之后返回,映射刷新;
因为需要修改流量的端口、故一对多又被称为PAT——端口地址转换    一个公有IP,仅存在65535个端口,故一个时间节点最大一次转发65535个数据包,所以不能在大型网络中使用;
r1(config)# access-list 1 permit 192.168.1.0  0.0.0.255
r1(config)#ip nat inside source   list 1     interface fastEthernet 0/1  overloade 
                                                 内部本地           内部全局
overload 携带该单词为动态nat,不携带为静态,但因为一对多只能为动态,故即使不配置该单词,设备也会自动在默认添加该单词;


3、多对多(动、静态均可) 主要针对大型的局域网,同一时间内大量数据包需要进入互联网;一个公有IP只能进行65535个数据包转发,故同时需要提供多个公有IP;
r1(config)#  ip nat pool  a  12.1.1.3  12.1.1.10  netnask   255.255.255.0          公有地址范围
r1(config)#  access-list2  permit  192.168.0.0  0.0.255.255                              私有地址范围 
r1(config)#  ip nat inside source  list2  pool  a  ?
    overload Overload an address translation
    <cr>
    
携带overoad 为动态,就是循环将私有IP转换不同公有IP的不同端口;相当于同时进行多个一对多;
不携带 overoad 为静态,就是最先出来的一些私有IP,和各个公有IP形成一对一映射;


4、端口映射(静态)
r1(config)# ip nat inside source static tcp 192.168.1.250  80  12.1.1.1  80
只有在外网访问12.1.1.1且目标端口为80时,才进行转换,转换为目标IP 192.168.1.250,目标端口80 
r1(config# ip nat  inside source static tcp 192.1681.251 80 12.1.1.1 8888
只有在外网访问12.1.1.1且目标端口为8888时,才进行转换,转换为目标IP 192.168.1.251,目标端口80
切记:cisco设备中无论何种配置 nat,都需要在边界路由器上定义各个接口的方向;
r1(config)# interface fastEthemet 0/0
r1(config)# ip nat inside 
r1(config)# exite
r1(config)# interface fastEthernet 0/1
r1(config)# ip nat outside


[2]华为一不需要在边界路由器上定义各个接口的方向,但nat还是在边界路由器上配置
1、静态nat —— 和cisco 中的一对一 一致
[RTA-Serial1/0/0] nat static global 202.10.10.1 inside 192.168.1.1
[RTA-Serial1/0/0] nat static global 202.10.10.2 inside 192.168.1.2
                                                        公有                     私有
[RTA] display nat static


2、动态nat —— 和cisco中的多对多相同
[RTA] nat address-group 1 200.10.10.1 200.10.10.200            公有范围
[RTA] acl2000
[RTA-acl-basic-2000] rule 5 permit source 192.168.1.0 0.0.0.255  私有ip范围
[RTA-acl-basic-2000] quit
[RTA] interface serial1/0/0       在连接互联网的公有 ip地址接口配置
[RTA-Serial1/0/0] nat outbound 2000 address-group 1   no-pat
                                                 私有          公有
切记:携带no-pat为静态多对多;不携带为动态多对多;
[RTA] display nat address-group 1 


3、easy nat和 cisco 中的一对多相同:PAT 端口地址转换
[RTA] acl 2000
[RTA-acl-basic-2000] rule 5 permit source 192.168.1.0 0.0.0.255  私有
[RTA-acl-basic-2000] quite
[RTA] interfiace serial1/0/0     该接口为公有 IP 地址所在接口;
[RTA-Serial1/0/0] nat outbound 2000
[RTA] display nat outbound 


4、nat服务器:和cisco的端口映射相同
[RTA] interface Serial1/0/0                     该接口为连接公网的接口
[RTA-Serial1/0/0] ip address 200.10.10.2  24
[RTA-Serial1/0/0] nat server protocol tcp global 202.10.10.1 www  inside 192.168.1.1  8080

黑暗光明
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为ac+ap 3层组网架构web配置+命令行配置
IT技术
04-05 5090
华为ac+ap 3层组网架构web配置+命令行配置
ENSP静态链路聚合实验
最新发布
编程小白的Java之路
11-16 774
ENSP静态链路聚合实验
tnsnames.ora配置未生效_路由器交换机基础配置5——命令行快捷键和命令行查询配置信息...
weixin_39963174的博客
12-06 280
路由器交换机基础配置5——命令行快捷键和命令行查询配置信息一、命令行快捷键设置用户可以使用设备中的快捷键,完成对命令的快速输入,从而简化操作。系统中的快捷键分成两类,自定义快捷键和系统快捷键:1、自定义快捷键:共有4个,包括、、和。用户可以根据自己的需要将这4个快捷键与任意命令进行关联,当使用快捷键时,系统自动执行它所对应的命令。 2、系统快捷键:是系统中固定的。这种快捷键不由用户定义,代表固定功...
华为数通笔记-QOS实验
qq_45959697的博客
04-05 3013
实验一 在 R1的 E0/0/0的出方向、周一至周五的 8:00—18:00 点,对 TCP 目的端口号 6881—6999 的流量,承诺的平均速率为 1Mbps。 time-range work 08:00 to 18:00 working-day acl number 3000 rule 5 permit tcp destination-port range 6881 6999 time-range wrok interface e0/0/0 qos car outbound acl ..
华为ensp模拟校园网/企业网实例(附完整设备配置命令和ensp项目)
热门推荐
征途是星辰大海
08-06 7万+
文章简介:本文用华为ensp对企业网络进行了规划和模拟,也同样适用于校园、医院等场景,文章附完整设备配置命令。附件为ensp项目,如有需要可下载后联系作者,提供售后服务,可以根据定制化需求做修改。 作者简介:网络工程师,希望能认识更多的小伙伴一起交流,QQ号:1686231613 -----------------------------------------------------------------------------------------------------------------
CheckPoint防火墙Nat配置讲解
10-31
CheckPoint防火墙Nat配置讲解
NAT类型检测
08-16
NAT类型分为几种,包括开放NAT、端口限制NAT和完全限制NAT,每种类型对网络连接的影响不同,尤其是在多人在线游戏、远程桌面访问和VoIP等需要稳定、低延迟的网络应用中。 1. 开放NAT(Full Cone NAT): 这是最宽松...
nat测试工具
03-13
NAT类型通常分为几种,包括严格NAT(Symmetric NAT)、端口限制NAT(Port-restricted NAT)、锥形NAT(Cone NAT)和全锥形NAT(Full Cone NAT)。不同类型的NAT会影响网络设备之间的通信方式,尤其是对于需要P2P(点...
NAT.rar_nat
09-24
本资料"**NAT.rar_nat**"重点讲解了NAT的原理、类型以及如何探测和穿越NAT。 ### 1. NAT的基本概念 网络地址转换(Network Address Translation)是一种网络技术,它允许一个网络内的设备使用非全球唯一的私有IP...
nat穿透测试工具
03-08
nat穿透辅助测试工具,方便侦察自身nat类型,便捷好用。
NULL0路由的作用(概述)
weixin_33711647的博客
03-14 5231
简单的来说:NULL0是属于路由器的逻辑接口,NULL0接口总是处于Up状态,但不转发任何报文。当NULL0接口接收到报文后,会把报文丢弃。不能在NULL0接口上配置IP地址,也不能在NULL0接口上封装任何链路层协议。NULL0主要用于防止路由环路或用于过滤数据包。(路由黑洞) 转载于:https://blog.51cto.com/wellsay/1750989...
华为交换机基础配置(telnet/ssh登录)
huangzhangjian922的博客
05-07 9876
一、华为S5700交换机初始化和配置SSH和TELNET远程登录方法: 配置登陆IP地址: system-view //进入系统配置模式 [Quidway]interface Vlanif 1 //进入三层 vlanif 接口 [Quidway-Vlanif1]ip ad...
2021-10-08
tangchaomu13的博客
10-08 167
一.MUX VLAN的由来 为了隔离用户,为不同的用户分配不同的VLAN,这样会导致使用大量的VLAN。而使用MUX VLAN可以利用其特性,节约一部分VLAN资源,且实现相同的效果。 如:现在网络中有3个用户组,A,B,C。要求A能与B,C互访;B可以与A互访,不能与C互访,且内部可以互访;C只能与A互访内部不能互访。用传统的VLAN也可以实现这个功能,但需要为用户组C内的所有用户分配一个VLAN来实现组内隔离,浪费VLAN。使用MUX VLAN可以将用户组划分到隔离型VLAN中实现相同的功能。 二
华为企业配置大型WLAN基本业务典型配置案例
NeverGUM的博客
05-28 1万+
最近又学习了华为中大型网络设备的WLAN组网,刚开始觉得头大,其实只要静下心来掌握规律就很简单了。 背景案例: 某公司需要搭建大型WLAN组网,希望所有AP获取的地址都是从路由器上统一分配,然后AP分别设置为两个区域,guest和employee wifi. 这是拓补图和成品图一起的。 先说总体思路吧 1:按照配置,所有的内网都能互通,创建各种vlan,一定记得各个端口trun...
AR 3200 路由器实战
极致,细节
05-29 1920
sy sysname AR-3200  http timeout 3  web-auth-server version v2 ACl 配置 acl number 2000    rule 0 permit source 192.168.0.0 0.0.0.255  rule 1 permit source 192.168.1.0 0.0.0.255  r
华为交换机初始化和配置SSH和TELNET远程登录方法
网络管理员
07-28 6765
华为交换机初始化和配置TELNET远程登录方法: 1,交换机开启Telnet服务 system-view #进入系统视图 [Huawei]telnet server ? #查看有enable还是disable选项,选择对应的开启方式。 [Huawei]telnet server enable #enable选项开启Telnet服务 (普通系列一般为这个) [Huawei]undo telnet server disable
NAT网络地址转换&PAT端口! ! ! ! ! !
panrenjun的博客
11-18 2117
文章目录一、NAT网络地址转换1、NAT工作原理2、私有网络地址和公有网络地址3、NAT功能4、静态NAT二、PAT端口多路复用1、PAT有以下作用:2、PAT的类型有以下:(1).NATP(2).Easy Ip(3). NAT Server 一、NAT网络地址转换 NAT(Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访。 1、NAT工作原理 NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信。 NA
学习日记Day27:ACL原理与配置
qq_40909772的博客
08-13 3174
ACL可以通过对网络中报文流的精确识别,与其他技术结合,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。
数通基础-ACL访问控制列表
GALi_233的博客
01-06 1145
ACL访问控制列表 访问控制列表ACL(Access Control List)是由一系列permit或deny语句组成的、有序规则的列表,它通过匹配报文的相关信息实现对报文的分类; ACL本身只能够用于报文的匹配和区分,而无法实现对报文的过滤功能,针对ACL所匹配的报文的过滤功能,需要特定的机制来实现(例如在交换机的接口上使用traffic-filter命令调用ACL来进行报文过滤),ACL只是一个匹配用的工具; ACL除了能够对报文进行匹配,还能够用于匹配路由; ACL是一个使用非常广泛

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值