一、了解NAT
网络地址转换NAT(network address translation),用于实现内部网络(私有ip地址)的主机访问外部网络(公有ip地址)的功能。NAT一般部署在连接内网络和外网的网关设备上,NAT的实现方式有:静态NAT,动态NAT,网络地址端口转换NAPT(Network Address Port Translation),Easy Ip ,配置NAT服务器。-
1、静态NAT
静态NAT实现了私有地址和公有地址的一一映射,这种方式可实现外部网络使用一个指定的公网地址访问内部服务器,但此种方式无法解决公网地址短缺。 -
2、动态NAT
动态NAT是基于地址池来实现私网地址和公网地址的转换,实际上也是一种一一映射的关系,区别在于,每台主机都会随机分配到地址池中的一个唯一地址,当主机不再需要连接时,对应的地址映射将会被删除,当地址池中的地址用尽后,其他主机只能等待被占用的公有地址释放后才能使用。 -
3、NAPT
网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。 -
4、Easy Ip
Easy Ip 允许将多个内部地址映射到网关出接口地址上的不同端口。 -
5、配置NAT服务器
通过配置NAT服务器,可实现外网用户访问内网服务器。
接下来我们以实例讲解,NAT在PPPOE中的应用配置,拓扑图如下
二、PPPOE的配置
PPPOE的配置,请参考如下链接,此处不在做过多详细的解释与说明。华为pppoe配置实战演练
注意:在pppoe的配置中,IP地址为10.1.12.254并不是公网地址,只是在实验中,我们假设它是一个公网地址。
三、NAT的配置
- 3.1 基础工作
开启AR1的接口IP地址以及接口dhcp
sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysn AR1
[AR1]dhcp enable
Info: The operation may take a few seconds. Please wait for a moment.done.
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.1.254 24
Aug 4 2018 22:40:19-08:00 AR1 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP
on the interface GigabitEthernet0/0/1 has entered the UP state.
[AR1-GigabitEthernet0/0/1]dhcp select interface
[AR1-GigabitEthernet0/0/1]quit
[AR1] 查看电脑终端是否自动获取到IP地址,并测试是否能相互通信
PC1:IP地址对应192.168.1.251
PC2:IP地址对应192.168.1.253
PC3:IP地址对应192.168.1.252
-
3.2 静态nat转换
1、在AR1和AR2上查看PPPOE的接口简单配置
AR1:
AR2:pppoe server
2、创建静态NAT地址转换
[AR1]int dialer 1
[AR1-Dialer1]nat static global 10.1.12.101 inside 192.168.1.251
[AR1-Dialer1]nat static global 10.1.12.102 inside 192.168.1.252
[AR1-Dialer1]nat static global 10.1.12.103 inside 192.168.1.253
[AR1-Dialer1]quit
[AR1]3、在PC端上ping PPPOE服务器的地址10.1.12.254,验证效果。以PC1为例。
在PPPOE服务器的g0/0/0口上进行抓包:
- 3.3 动态nat转换
1、先删除原先的静态nat配置
[AR1]int dialer 1
[AR1-Dialer1]undo nat static global 10.1.12.101 inside 192.168.1.251
[AR1-Dialer1]undo nat static global 10.1.12.102 inside 192.168.1.252
[AR1-Dialer1]undo nat static global 10.1.12.103 inside 192.168.1.253
[AR1-Dialer1]quit
[AR1]2、动态nat配置
[AR1]nat address-group 1 10.1.12.101 10.1.12.120 //配置地址池
[AR1]acl 2000
[AR1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[AR1-acl-basic-2000]quit
[AR1]int dialer 1
[AR1-Dialer1]nat outbound 2000 address-group 1 no-pat
[AR1-Dialer1]quit
[AR1]display nat address-group 1
NAT Address-Group Information:
--------------------------------------
Index Start-address End-address
--------------------------------------
1 10.1.12.101 10.1.12.120
--------------------------------------
Total : 1
[AR1]3、验证效果
-
3.4 网络地址端口转换:NAPT
NAPT的配置,只需要将第五步骤中的nat outbound 2000 address-group 1 no-pat命令中的no-pat(不使用端口转换)去掉即可。 - 3.5 easy ip配置
AR1]int dialer 1
[AR1-Dialer1]undo nat outbound 2000 address-group 1 no-pat
[AR1-Dialer1]q
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000
Info: The NAT address pool is empty
[AR1-GigabitEthernet0/0/0]quit
[AR1]dis nat outbound
NAT Outbound Information:
---------------------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
--------------------------------------------------------------------------
GigabitEthernet0/0/0 2000 0.0.0.0 easyip
--------------------------------------------------------------------------
Total : 1
验证:使用PC端去ping 10.1.12.254,此处省略。
- 3.6 nat服务器配置
1、首先在AR2的g0/0/1接口上配置IP地址为10.1.24.254,配置client 1的IP地址为10.1.24.200,网关为10.1.24.254。
[SERVER]int g0/0/1
[SERVER-GigabitEthernet0/0/1]ip add 10.1.24.254 24
[SERVER-GigabitEthernet0/0/1]
Aug 5 2018 10:18:57-08:00 SERVER %%01IFNET/4/LINK_STATE(l)[0]:The line protocol
IP on the interface GigabitEthernet0/0/1 has entered the UP state.
client 1 :
2、配置server1为http服务,并启动http服务器
3、配置AR1为NAT服务器
[AR1]int Dialer 1
[AR1-Dialer1]nat server protocol tcp global 10.1.12.200 80 inside 192.168.1.200
0 80
[AR1-Dialer1]quit
[AR1]dis nat server
Nat Server Information:
Interface : Dialer1
Global IP/Port : 10.1.12.200/80(www)
Inside IP/Port : 192.168.1.200/80(www)
Protocol : 6(tcp)
××× instance-name : ----
Acl number : ----
Description : ----
Total : 1
4、在client 1 上获取服务器地址。当我们访问10.1.12.200的服务IP地址时,nat服务器会将10.1.12.200的ip地址转换为内网IP地址192.168.1.200,即http服务器。