Nat地址转换
IPV4的地址已经耗尽
私网地址转换成可以访问公网的ip地址
先网:环境
Dev: 开发环境,开发用的
Sit:测试人员专用,需要测试的代码,程序之类的动会在测试环境运行
Pre:预生产环境,在版本最后上线之前会在预生产最后执行一遍,确保万无一失,运维人员用的
Prd:生产环境/现网:运维人员,数据库, DBA数据库运维
私网访问公网的过程:
192.168.233.10(主机ip)
源ip:192.168.233.10
内网到外网访问:源ip地址变,目的ip地址不变
从外网到内网:源ip:180.10.0.12 目的:192.168.233.10
源180.10.0.12 目的:10.0.0.10 目的:192..168.233.10
例: 百度-------可以和内网通信的ip地址----内网
外网到内网:源ip地址不变,目的地址发生变化
静态nat:在同一网段中给这个网段统一一个公网地址(可以访问外出的地址),所有的服务器访问外网都是使用一个ip别人用了,那你就用不了
动态nat:在网段中给这个网段一个可以访问公网的ip地址池,可用范围
未使用:标签(not use)
使用中:标签(in use)
Napt:网络地址端口转换
Easy ip
Easy ip:实现的原理和napt相同,转换ip地址,传输层端口,抛弃地址池。接口地址(路由器连接外网出口的地址做nat的转换地址)
Nat sever:就是把公有地址:端口 私有地址:端口做一对一映射。只要访问公网地址就可以请求到内部的私网地址提供的(web服务)
动态nat地址池
Napt端口多路复用
总结:easy ip就是升级版的静态+
地址转:内网访问外网:源地址转换
外网回到内网:目的地址转换
端口的作用:提供公网地址的使用率,最大化使用。省钱,配置方便。
NAT配置(要了解)
环境搭建如下:
1、全局模式下配置nat
2、动态NAPT配置
3、Easy ip配置实验
4、NAT Server:端口映射,将私网地址端口映射到公网地址,实现内网服务器供外网用户访问
1、全局模式下配置nat
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]q
<Huawei>undo t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname ar1
[ar1]int g0/0/1
[ar1-GigabitEthernet0/0/1]ip address 192.168.2.254 24
[ar1-GigabitEthernet0/0/1]di th
[V200R003C00]
#
interface GigabitEthernet0/0/1
ip address 192.168.2.254 255.255.255.0
#
return
[ar1-GigabitEthernet0/0/1]int g0/0/2
[ar1-GigabitEthernet0/0/2]ip add 12.0.0.254 24
[ar1-GigabitEthernet0/0/2]di th
[V200R003C00]
#
interface GigabitEthernet0/0/2
ip address 12.0.0.254 255.255.255.0
#
return
[ar1-GigabitEthernet0/0/2]int g0/0/0
[ar1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[ar1-GigabitEthernet0/0/0]di th
[V200R003C00]
#
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
#
return
[ar1]nat static global 10.0.0.10 inside 192.168.1.10 netmask 255.255.255.255
[ar1-GigabitEthernet0/0/2]nat static enable
可以ping通12.0.0.10 抓包
2、动态NAT配置
[ar1]undo nat static global 10.0.0.10 inside 192.168.1.10
[ar1]dis nat static
Static Nat Information:
Total : 0
[ar1]int g0/0/2
[ar1-GigabitEthernet0/0/2]dis th
[V200R003C00]
#
interface GigabitEthernet0/0/2
ip address 12.0.0.254 255.255.255.0
nat static enable
#
return
[ar1]int g0/0/2
[ar1-GigabitEthernet0/0/2]undo nat static enable
[ar1]nat address-group 1 10.0.0.100 10.0.0.200 ###这里可以是范围,也可以是固定IP
#nat outbound 2000:配置一个 NAT 出站规则,规则编号为 2000。
#address-group 1:选择地址组 1 作为出站规则的地址转换目标。
#no-pat:这个参数表示不使用 PAT(端口地址转换)。在没有 PAT 的情况下,
可能会使用一对一的地址映射,将内部地址映射到唯一的外部地址。
[ar1]acl number 2000
[ar1-acl-basic-2000]rule permit source 192.168.1.10 0 ###让10访问
[ar1-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 no-pat
#nat outbound 2000:配置一个 NAT 出站规则,规则编号为 2000。
#address-group 1:选择地址组 1 作为出站规则的地址转换目标。
#no-pat:这个参数表示不使用 PAT(端口地址转换)。在没有 PAT 的情况下,
可能会使用一对一的地址映射,将内部地址映射到唯一的外部地址。
[ar1-acl-basic-2000]rule deny source 192.168.1.20 0 ###不让20访问
[ar1-acl-basic-2000]q
[ar1]int g0/0/2
[ar1-GigabitEthernet0/0/2]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/2
ip address 12.0.0.254 255.255.255.0
nat outbound 2000 address-group 1 no-pat
#
return
[ar1-GigabitEthernet0/0/2]q
[ar1]dis acl
[ar1]dis acl 2000
Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 permit source 192.168.1.10 0
rule 10 deny source 192.168.1.20 0
[ar1]int g0/0/2
[ar1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
[ar1-GigabitEthernet0/0/2]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/2
ip address 12.0.0.254 255.255.255.0
traffic-filter outbound acl 2000
nat outbound 2000 address-group 1 no-pat
#
return
删除上面的配置:
[ar1]int g0/0/2
[ar1-GigabitEthernet0/0/2]undo traffic-filter outbound
[ar1-GigabitEthernet0/0/2]undo nat outbound 2000 address-group 1 no-pat
[ar1-GigabitEthernet0/0/2]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/2
ip address 12.0.0.254 255.255.255.0
#
return
ar1]dis nat address-group
NAT Address-Group Information:
--------------------------------------
Index Start-address End-address
--------------------------------------
1 12.0.0.100 12.0.0.200
--------------------------------------
Total : 1
[ar1]dis nat address-group
NAT Address-Group Information:
--------------------------------------
Index Start-address End-address
--------------------------------------
--------------------------------------
Total : 0
[ar1]undo acl 2000
3、Easy ip配置实验
[ar1]acl 3000
[ar1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255
[ar1-acl-adv-3000]di th
[V200R003C00]
#
acl number 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255
#
return
[ar1-acl-adv-3000]q
[ar1]int g0/0/2
[ar1-GigabitEthernet0/0/2]nat outbound 3000
[ar1-GigabitEthernet0/0/2]q
[ar1]display nat session all
NAT Session Table Information:
Total : 0