NAT实验操作

1.ACL是什么

1. ACL一般指访问控制列表。
   访问控制列表ACL是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。

2. ACL的命令

#ACL 访问控制
[r1]acl 2000
#PS：acl (2000-2999) :只能匹配源ip地址
[r1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
#0.0.0.255是反掩码
[r1-acl-basic-2000]q
[r1]int g0/0/1	
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1  ###将映射组访问到外网（公网）

2.三种NAT和EIP

2. 1 静态NAT

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

2. 2 动态NAT

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，而是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

2. 3 PAT

端口多路复用是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，PortAddressTranslation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。

2. 4 EIP

EasyIP主要应用于通过路由器WAN接口IP地址作为要被映射的公网IP地址的情形，特别适合小型局域网接入Internet的情况。

3.eNSP实验操作

3. 1 静态NAT（一个内网地址对一个公网地址）

R1
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys r1
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[r1-GigabitEthernet0/0/0]undo shutdown 
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[r1-GigabitEthernet0/0/0]q
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 200.10.100.1 24
[r1-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[r1-GigabitEthernet0/0/1]q
[r1]ip route-static 0.0.0.0 0 200.10.100.2  ###设置默认路由
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]nat static global 200.10.100.1 inside  192.168.1.10 netmask 255.255.255.255  ###设置映射  4个255是子网掩码
[r1-GigabitEthernet0/0/1]display nat static   #查看nat
  Static Nat Information:
  Interface  : GigabitEthernet0/0/1
    Global IP/Port     : 200.10.100.1/----        ###公网
    Inside IP/Port     : 192.168.1.10/----     ###内网（自己的IP）
    Protocol : ----     
    VPN instance-name  : ----                            
    Acl number         : ----
    Netmask  : 255.255.255.255    ###子网掩码
    Description : ----

3. 2动态NAT——PAT(多个内网地址对多个公网地址）

R1
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys r1
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[r1-GigabitEthernet0/0/0]undo shutdown 
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[r1-GigabitEthernet0/0/0]q
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 200.10.100.1 24
[r1-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[r1-GigabitEthernet0/0/1]q
#nat 分组 （映射的外网IP的范围）创建一个映射组
#定义地址池：映射外部IP地址范围
[r1]nat address-group 1 200.10.100.10 200.10.100.20 映射组编号为1 配置映射组编号+映射外网IP范围（不能包含已有IP地址）
#ACL 访问控制
[r1]acl 2000
#PS：acl (2000-2999) :只能匹配源ip地址
#定义访问控制规则：允许源地址是192.168.1.0网段的通过
[r1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 
[r1-acl-basic-2000]q
[r1]int g0/0/1	
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1  ###将映射组访问到外网（公网）
[r1-GigabitEthernet0/0/1]display nat outbound 
 NAT Outbound Information:
 ------------------------------------------------------------------------------------
 Interface（接口）          Acl（访问规则）Address-group/IP/Interface（地址池）Type（类型）
 ------------------------------------------------------------------------------------
 GigabitEthernet0/0/1     2000                              1             pat
 ------------------------------------------------------------------------------------
  Total : 1

3. 3Easyip（多个内网地址对一个接口地址） EIP

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys r1
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[r1-GigabitEthernet0/0/0]undo shutdown 
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 200.10.100.1 24
[r1-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[r1-GigabitEthernet0/0/1]q
[r1]acl 2000
[r1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[r1-acl-basic-2000]q
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]nat outbound 2000
[r1-GigabitEthernet0/0/1]display nat outbound 
 NAT Outbound Information:
 --------------------------------------------------------------------------
 Interface                     Acl     Address-group/IP/Interface      Type
 --------------------------------------------------------------------------
 GigabitEthernet0/0/1         2000                   200.10.100.1    easyip  
 --------------------------------------------------------------------------
  Total : 1
这里是用的类型是EIP，因此地址池是200.10.100.1的接口

3. 4静态PAT（一对一，但是外网口IP和服务映射网内网服务器的IP和服务）

R1
<Huawei>u t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname r1

[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[r1-GigabitEthernet0/0/0]undo shutdown 
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 200.10.100.1 24
[r1-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[r1-GigabitEthernet0/0/1]q
[r1]ip route-static 0.0.0.0 0 200.10.100.2
[r1]int g0/0/1
协议tcp全局模块
21是端口
[r1-GigabitEthernet0/0/1]nat server protocol tcp global 200.10.100.10 21 inside 192.168.1.10 21
[r1-GigabitEthernet0/0/1]display nat server
 
  Nat Server Information:      ###服务器映射的信息
  Interface  : GigabitEthernet0/0/1                  ###接口信息
    Global IP/Port     : 200.10.100.10/21(ftp)       
    Inside IP/Port     : 192.168.1.10/21(ftp)
    Protocol : 6(tcp)   
    VPN instance-name  : ----                            
    Acl number         : ----
    Description : ----
 
  Total :    1
[r1-GigabitEthernet0/0/1]q
[r1]nat alg all enable 
#FTP服务默认数据端口没有开启，需要手动去开：