文章目录
NAT
产生背景
- IPv4公网地址资源耗尽
- IPv6普及遥遥无期
- 子网划分杯水车薪
定义
网络地址转换,通过把私有地址转换为公有地址,使私有IP地址主机可以访问互联网,来解决公网地址不够用的问题
分类
静态NAT
- 把公有地址一对一的静态映射给私有地址使用
基本NAT
- 建立公有地址池,把地址池中的公有地址动态的映射给私有地址使用
- 本质上仍然是一对一的映射
NAPT
- 把公有地址和端口动态的映射给私有地址和端口,实现一个公有地址可以供多个私有地址同时使用访问互联网
- 转换源IP和源端口,数据回包还原目的IP和目的端口
- SNAT(源地址转换)
Easy IP
- NAPT的一种简易实现形式
- 适用于公网地址不固定的场景
NAT Server
- 把公网IP的某个端口固定映射到私网IP的某个端口,让公网上的用户可以主动访问私网中的服务
- 转换目的IP和目的端口,数据回包还原源IP和源端口
- 也称端口映射,DNAT(目的地址转换)
常用命令
[h3c]nat address-group 'group-number' //创建 NAT 公网地址池
[h3c-address-group-1]address 'start-ip' 'end-ip' //设置地址池的地址范围
[h3c-GigabitEthernet0/0]nat outbound 'acl-number' address-group 'group-number'
//在公网接口上配置 NAPT
[h3c-GigabitEthernet0/0]nat outbound 'acl-number' //在公网接口上配置 Easy IP
[h3c-GigabitEthernet0/0]nat server protocol 'tcp/udp/icmp' global 'global-address' 'global-port' inside 'inside-address' 'inside-port' //在公网接口上配置NAT Server
PPP
定义
- 点到点协议,在串行线路上运行的协议
特点
- 支持身份验证
- 支持网络层地址自动协商
工作阶段
阶段1
- LCP阶段,链路状态协商
阶段2
- 验证阶段
- 可选
阶段3
- NCP阶段,IP地址协商
验证
验证方式
PAP:两次握手,用户名和密码在网络中明文传输
CHAP:三次握手,密码不在网络中传输,更安全
验证分类
- 单向验证:主验证方对被验证方进行验证
- 双向验证:双方互相验证
PPP-MP
定义
- 把两台路由器之间的多条PPP链路捆绑成一条逻辑PPP链路
功能
- 实现链路冗余
- 增加链路带宽
要点
- IP地址配置在MP口上
- 身份验证配置在物理口上
常用命令
[h3c-Serial1/0]ppp authentication-mode 'pap/chap' //设置接口开启PPP验证,并指定验证方式
[h3c-Serial1/0]ppp pap local-user 'username' password 'simple/cipher' 'password'
//被验证方设置接口上用于pap验证的用户和密码
[h3c-Serial1/0]ppp chap user 'username' //被验证方设置接口上用于chap验证的用户
[h3c-Serial1/0]ppp chap password 'simple/cipher' 'password'
//被验证方设置接口上用于chap验证的密码
[h3c]interface mp-group 'group-number' //创建PPP-MP口,进入MP口接口视图
[h3c-Serial1/0]ppp mp mp-group 'group-number' //物理接口加入到MP口
双向验证时,如果两端用于验证的密码一致,则在PPP接口下只用指定用户名,不用指定密码