大型企业网络构建之动态NAT、静态NAT和华为NAT
动态NAT、静态NAT和华为NAT
一、NAT概述
1、(network address translation )网络地址转换。
2、NAT的工作过程:
NAT设备收到内网的数据包以后,
1、首先查看本地是否有去往数据包目地地址的路由;
2、再次查看本地设备是否存在对应的nat转换条目;
-- 如果有,则进行地质转换,然后发送出去;
-- 如果无,则不进行地质转换,然后发送出去。
3、静态NAT:
私有-公有 1:1,不节省IP地址;
4、配置静态NAT:
1、给R1(即内部最末端的路由器)配置一个去往运营商的缺省路由
[R1]Ip route-static 0.0.0.0 0.0.0.0 100.1.12.2
2、在R1(即内部最末端的路由器)上创建“静态NAT转换条目”
[R1] nat static global 100.1.12.3 inside 192.168.1.1 可以创建多条
3、在R1(即内部最末端的路由器)上数据包的出端口,启用“静态NAT”功能
[R1]interface gi0/0/1
[R1-gi0/0/1] nat static enable
5、动态NAT:不节省IP地址,不做细致讲解
私有-公有 1:1,不节省IP地址;
6、PAT/PNAT/NAT-Port/端口复用/端口NAT/ port NAT
私有-公有 多:1,节省IP地址;
7、配置思路
1、搭建拓扑图,给终端设备和服务器配置IP地址和网关
2、给各路由器各端口配置IP地址
3、配置终端路由器到运营商服务器的默认路由
4、在终端路由器的出口或者入口配置ACL,无需在接口下调用
5、在终端路由器的出口上配置动态NAT(即在出口上调用ACL)
8、配置命令:
1、定义感兴趣的流量,即创建ACL
[R1] acl 2000
[R1-acl-basic-2000] rule 5 permit source 192.168.1.1 0.0.0.0
2、在出端口上调用 NAT 命令
[R1]interface gi0/0/1
[R1-gi0/0/1] nat outbound + ACL的号码
-->在改端口发送出去的数据包,如果被 acl 2000 匹配,并且执行 permit 动作,
则对这些数据的 源IP地址进行 NAT 转换,转换成该接口的 公网IP 地址;
注意:
在 NAT 中调用的 ACL与在接口上调用的 ACL ,稍有不同:
NAT中调用的ACL的最后一个隐含的默认动作是 --- 拒绝所有;
接口上调用的ACL的最后一个隐含的默认动作是 --- 允许所有;
案例1:
-环境
内网有2台主机,PC-1/2,IP:192.168.1./24 和 192.168.1.2/24
网关IP:192.168.1.254
公司购买的公网IP地址:100.1.12.1/24 和 100.1.12.3/24
-要求:
PC-1可以访问外网的服务器:200.1.1.2/24
并测试 PC-2 是否可以访问外网的服务器
-配置:
1、配置PC-1,PC-2以及 网关设备的 IP 地址信息
2、配置网关去往外网的路由 -- 默认路由
[R1] ip route-static 0.0.0.0 0.0.0.0 100.1.12.2
3、在网关设备上配置 静态 NAT :
[R1] nat static global 100.1.12.3 inside 192.168.1.1
[R1] interface gi0/0/1
[R1-gi0/0/1] nat static enable
4、测试
PC-1:
ping 200.1.1.2 ,OK ;
PC-2:
ping 200.1.1.2 ,不通;因为没有进行 NAT 转换。
-结论:
静态 NAT 中,私有地址与公有地址的关系是:1:1 , 不节省IP地址;
静态 NAT 需要在 数据包的出接口 “启用”,才能实现数据互通。
-优化方案:
使用“PNAT”,即端口 NAT ,来替换原来的“静态NAT”。
配置思路如下:
# 创建感兴趣流量 -- 通过 ACL 实现;
acl 2000
rule 5 permit source 192.168.1.1 0.0.0.0
&&以上的 ACL 条目仅仅能匹配 PC-1 发送的数据包,
然后进行 NAT 转换,从而实现 PC-1 可以访问外网;
# 创建 NAT 转换条目
interface gi0/0/1
nat outbound 2000
&& 通过该接口发送出去的数据,都要经过 ACL 2000 的检查,
能被 ACL 匹配,并且执行 permit 动作的,则进行 NAT
转换,即最终可以实现上网。此案例中,PC-1可以上网,
PC-2不可以。
如果想实验 PC-2 上网,则必须修改 ACL 2000 的配置,
如下:
acl 2000
rule 5 permit 192.168.1.0 0.0.0.255
案例2:
-- 环境
内网有一台 web 服务器,IP:192.168.1.8/24 ,使用的默认端口;
内网有2台主机,PC-1/2,IP:192.168.1.1/24、192.168.1.2/24
网关IP:192.168.1.254/24
公司购买了2个公网IP地址:100.1.12.1/24 100.1.12.3/24
-- 要求
PC-1可以访问外网的服务器(200.1.1.1/24)
PC-2不可以访问外网
外网的 http-client 可以直接通过外网IP的 8080 访问到内部的 web服务器;(100.1.12.3/24)
-- 配置步骤
1、PC-1/2/Web-server 配置好对应的IP地址和网关IP地址;
给PC机和Web-server配置好IP地址和网关IP地址
2、配置网关设备 R1 的出现路由 --- 默认路由
[R1]ip route-static 0.0.0.0 0.0.0.0 100.1.12.2
3、配置好 模拟器的 ISP 端的设备
4、配置路由器R1、R2的各端口配置相应的IP地址
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 100.1.12.1 24
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip address 100.1.12.2 24
[R2]interface GigabitEthernet 0/0/2
[R2-GigabitEthernet0/0/2]ip address 200.1.1.254 24
5、在边界设备上配置 - NAT
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.1 0.0.0.0
[R1-acl-basic-2000]rule 10 permit source 192.168.1.2 0.0.0.0
6、在数据包的出端口配置 NAT ,实现 PNAT
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000
7、NAT-Server (端口映射)
在数据包的出端口上配置
[R1]interface GigabitEthernet 0/0/1 (公司所购买的公网段内IP地址除了两端的IP地址)
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 100.1.12.3 8080
inside 192.168.1.8 80
8、在桌面上新建一个文本文档,文件书写格式如下: (Server的IP + 端口号)
随便取一个名字 + 后缀是.html
保存类型选所有文件
9、打开Server1,选择HttpServer --- 选择保存Html文件的文件夹 -- 启动
10、打开Client --- 客户端信息 -- 输入http://100.1.12.10:8080 -- 获取 就可以了