实验8 NAT配置

一、 原理描述

2019年11月26日,全球43亿个IPv4地址正式耗尽,这意味着没有更多的IPv4地址可以分配给 ISP 和其他大型网络基础设施提供商。IPv6 技术虽然可以从根本上解决地址短缺的问题,但是无法即刻替代成熟的IPv4 网络。人们很早就发现了IPv4设计的不足,为解决地址不足问题,1994年提出了NAT (Network Address Translation,网络地址转换)技术,它不仅能解决卫地址不足的问题,还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT 通常部署在一个组织的网络出口位置,通过将内部网络的私有IP地址替换为出口的公共I地址,来提供公网可达性和上层协议的连接能力。图8-1所示为NAT示意图。
在这里插入图片描述

NAT 的实现方式有3种:静态NAT、动态NAT以及网络地址端口转换NAPT。
(1)静态NAT。实现了私有地址和公有地址的一对一转换,一个公网地址对应一个私网地址。
(2)动态NAT。基于地址池来实现私有地址和公有地址的转换,转换是随机的,私有I地址与公有IP地址是多对一的。
(3)网络地址端口转换NAPT。NAT 实现的是私有IP地址和NAT公共地址之间的转换,因此内网中能够同时与公共网进行通信的主机数量就受到NAT的公共I地址数量的限制。为了克服这种限制,NAT 被进一步扩展到使用卫地址和端口(Port)共同参与IP 地址转换,这就是NAPT(Network Address Port Translation)技术。

二、 实验目的

1.理解NAT的应用场景。
2.掌握静态NAT的配置。
3.掌握动态NAT的配置。
4.掌握NAT Easy-IP的配置。

三、 实验内容

1.实验场景

某学院建立了内部的局域网,使用私网IP 地址。R1为学院的出口网关路由器,学院某教研室通过交换机连接在R1上,R2 模拟为外网设备与R1相连。为了实现该教研室能够访问外网,同时服务器可以供外网用户访问,网络管理员需在路由器R1上配置NAT。

2.实验要求

根据实例说明,建立一个网络拓扑,分别使用静态NAT、动态NAT 和网络地址端口转换NAPT的配置,使部分教职员工可以访问外网。

四、 实验配置

1.实验拓扑
S3700交换机1台,AR1220路由器2台,PC3台,NAT配置拓扑结构如图8-2所示。
在这里插入图片描述

2.设备编址
设备编址如表8-1所示。
在这里插入图片描述

五、 实验步骤

1.基本配置
根据编址对主机PC1和PC2进行基本I地址配置,同时更改R1、R2名称并配置相应接口地址。其中,R2作为模拟外网,在这里要设置一个环回路由接口LoopBack0,它是应用较为广泛的一种虚接口,在路由器上配置LoopBack0地址,起到本地回环接口作用。
所有配置完成后注意及时使用save命令保存。
R1的配置

[Huawei] sysname R1
[R1]interface GigabitEthernet 0/0/0
[Rl-GigabitEthernet0/0/0]ip address 172.10.0.254 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 26.28.10.1 24
<Rl>save

R2的配置

[Huawei] sysname R2
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip address 26.28.10.2 24
[R2]interface LoopBack 0
[R2-LoopBackO] ip address 26.28.20.1 24
<R2>save

配置完成后,对直连链路进行连通性测试。以R1和PC2的连通为例。
在这里插入图片描述

2.静态NAT配置

在网关路由器R1上配置学院访问外网的默认路由,地址要指向R2与R1相连的接口。

[R1]ip route-static 0.0.0.0 0.0.0.0 26.28.10.2

学院内部使用的都是私有地址,相互之间可以连通,但是无法直接访问外网。此时需要在网关路由器R1上进行配置,使用NAT地址转换,从而将私网地址转换为公网地址。
PC1是该学院网络管理员,由于其工作特殊性,需要外网也可以访问到它,因此需要为其分配一个公网地址26.28.10.3给PC1用作静态NAT地址转换。进入R1对外的接口,本例中是GE0/0/1,对其使用nat static 命令来进行配置静态NAT地址转换:

[R1]interface GigabitEthernet 0/0/1
[Rl-GigabitEthernet0/0/1]nat static global 26.28.10.3 inside 172.10.0.1

其中,global 表示公网未被分配的地址,inside 表示内网需要进行地址转换的私有IP地址,save后配置生效。
配置完成后,在R1上查看NAT静态配置信息:
在这里插入图片描述

使用ping命令测试与外网(这里为环回路由接口地址LoopBack0)的连通性。
在这里插入图片描述

此时可以看到,PC1通过静态NAT 地址转换,可以成功访问外网。我们可以通过抓包来进行查看,首先在PC1上持续发包,然后在路由器R1的对外接口处进行抓包,如图8-3所示。

PC>ping 26.28.10.2 -t

在这里插入图片描述
图8-3路由器R1的抓包结果

从图中可以看到,R1已经成功地将 PC1的ICMP 报文源地址转换为公网地址26.28.10.3。
同样,再测试一下外网是否可以访问PC1,这里将R2的环回路由口LoopBack0模拟为外网用户来访问PC1对外的接口地址26.28.10.3。在PC1的Ethernet 0/0/1接口上进行抓包分析,如图8-4所示,同时,在R2上执行以下命令。

<R2>ping -a 26.28.20.1 26.28.10.3

在这里插入图片描述
在这里插入图片描述
图8-4 PC1的抓包结果

可以看到,外网用户也可以主动访问内网用户,且数据在经过R1进入内网时,R1将目的IP地址转换为与公网地址26.28.10.3对应的内网地址172.10.0.1,并将数据转交。

3.NAT Outbound配置

学院的教职员工都有访问外网进行办公的需求,现进行动态NAT的配置。
某教研室使用的私网地址为172.10.0.0/24网段,管理员使用公网地址池26.28.10.10-26.28.10.20为该教研室教职员工进行NAT转换。
首先在R1上使用nat address-group命令配置NAT公网地址池,起始地址和结束地址分别为26.28.10.10、26.28.10.20。

[R1]nat address-group 1 26.28.10.10 26.28.10.20

访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。当ACL应用在设备接口入方向时,若接口收到数据包,则先根据应用在接口上的ACL条件进行匹配,如果允许就根据路由表进行转发,如果拒绝直接丢弃。ACL应用在设备接口出方向时,报文先经过路由表路由后转至出接口,根据接口上应用的出方向ACL条件进行匹配,是允许permit 还是拒绝deny,如果是允许,就根据路由表转发数据,如果是拒绝,就直接将数据包丢弃了。命名ACL用字母数字字符串(名称)标识IP 标准ACL 和扩展ACL,其中,标准编号IPv4列表(1-1999,1300-1999)只可以根据源地址设置IP报文过滤条件;扩展编号IPv4列表(100-199,2000-2699)可以根据源目地址、TCP/IP 协议号和TCP/UDP源目的端口条件设置IP报文过滤条件。
rule-id:指定IPv4高级 ACL规则的编号,取值范围为0~65534。若未指定本参数,则系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。
在这里创建基本的ACL2000,匹配172.10.0.0/24地址段。

[Rl]acl 2000
[Rl-acl-basic-2000]rule 5 permit source 172.10.0.0 0.0.0.255

在这里插入图片描述

在里,ACL的子网掩码用反向子网掩码。
在R1对外网接口GE0/0/1上使用nat outbound命令,将ACL2000与地址池相关联,使得ACL中规定的地址可以使用地址池进行地址转换。

[R1]interface GigabitEthernet 0/0/1
[Rl-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat

outbound 表示在接口出方向上使用动态NAT,no-pat表示不做PAT端口复用。
配置完成后,使用命令display nat outbound在R1上查看NATOutbound信息。
使用PC2测试与外网的连通性,并在R1的GE 0/0/1接口上进行抓包,查看地址转换情况,如图8-5所示。
在这里插入图片描述
在这里插入图片描述
图8-5 R1的抓包结果

可以看到,PC2可以成功访间外网,而且来自该主机的ICMP 数据包在R1的GE0/0/1接口上,源地址被替换为外网地址池中的地址。

4.NAT Easy-IP配置

根据当前新冠肺炎疫情管控需要,学生上网课成为主要授课方式,上外网需求急剧上升。目前路由器 R1的公网地址数不足,为了方便学生使用外网,网络管理员使用多对一的Easy-IP转换方式来实现学生上外网的需求。
Easy-IP 是NAPT的一种方式,直接借用路由器出接口I地址作为公网地址,使多个内网地址可以映射到同一个公网地址的不同端口号上,从而实现多对一的地址转换。此时,需要网络管理员将路由器对外接口设置为Easy-IP接口。
我们仍在原有的拓扑结构上来完成。要设置新的接口类型,需要将原有配置删除。使用undo nat outbound命令删除上一步的配置。使用nat outbound命令,配置动态NAT在出接口上使用PAT端口复用,且直接使用接口IP地址作为NAT转换后的地址。

[Rl]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 no-pat
[Rl-GigabitEthernet0/0/1]nat outbound 2000
配置完成后,在PC2上使用UDP发包工具发送UDP数据包到公网地址26.28.20.1。
双击 PC2,选择“UDP发包工具”选项卡,将目的IP地址和端口号、源IP地址和端口号填写完整,并在数据框中填写测试数据,单击“发送”按钮。同样,为PC3也进行配置,如图8-6和图8-7所示。

在这里插入图片描述
图8-6 PC2配置界面

在这里插入图片描述
图8-7 PC3配置界面

display nat session 命令用来查看NAT映射表项。在数据发送后,在R1上使用display nat session protocol udp verbose 命令查看NAT Session的详细信息。
在这里插入图片描述

从结果可以看到,PC2和PC3均使用了同一个R1公网地址与外网连通,但是使用的端口号不同。这种方式不需要建立地址池,大大节省了地址空间。

注:此为记录笔记,如有不足,还望海涵,可留言斧正
上一个实验: 实验7 利用三层交换机实现VLAN间路由
链接: 主页

  • 8
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小场面丨不慌

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值