华为NAT配置(静态、动态、PAT)三种模式
华为NAT 配置
NAT(Network Address Translation,网络地址转换)
NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad
静态转换 是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换 是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
先配置各个设备的接口IP地址
ISP模拟公网
AR1 IP地址配置
[AR1-GigabitEthernet0/0/0]dis th
[V200R003C00]
interface GigabitEthernet0/0/0
ip address 12.1.1.1 255.255.255.0
return
[AR1-GigabitEthernet0/0/1]dis th
[V200R003C00]
interface GigabitEthernet0/0/1
ip address 172.16.1.254 255.255.255.0
return
ISP IP地址配置
[ISP-GigabitEthernet0/0/1]dis th
[V200R003C00]
interface GigabitEthernet0/0/1
ip address 100.1.1.254 255.255.255.0
return
[ISP-GigabitEthernet0/0/0]dis th
[V200R003C00]
interface GigabitEthernet0/0/0
ip address 12.1.1.2 255.255.255.0
return
AR1上配置缺省路由 下一条为ISP的G0/0/0口
[AR1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2
AR1ping测到SVR
[AR1]ping 100.1.1.1
PING 100.1.1.1: 56 data bytes, press CTRL_C to break
Request time out
Reply from 100.1.1.1: bytes=56 Sequence=2 ttl=254 time=30 ms
Reply from 100.1.1.1: bytes=56 Sequence=3 ttl=254 time=30 ms
Reply from 100.1.1.1: bytes=56 Sequence=4 ttl=254 time=30 ms
Reply from 100.1.1.1: bytes=56 Sequence=5 ttl=254 time=30 ms
— 100.1.1.1 ping statistics —
5 packet(s) transmitted
4 packet(s) received
20.00% packet loss
round-trip min/avg/max = 30/30/30 ms
[AR1]
此时PC端是无法ping通SVR的 需要做NAT
配置静态NAT
静态 NAT 为内部地址与外部地址的一对一映射
[AR1-GigabitEthernet0/0/0]dis th
[V200R003C00]
interface GigabitEthernet0/0/0
ip address 12.1.1.1 255.255.255.0
nat static global 12.1.1.3 inside 172.16.1.2 netmask 255.255.255.255
nat static global 12.1.1.4 inside 172.16.1.3 netmask 255.255.255.255
return
PC1和2 都能通svr
配置动态NAT
动态NAT是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,是随机的,所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换
先将静态NAT的配置删除掉
[AR1-GigabitEthernet0/0/0]undo nat static global 12.1.1.3 inside 172.16.1.2 netm
ask 255.255.255.255
[AR1-GigabitEthernet0/0/0]undo nat static global 12.1.1.4 inside 172.16.1.3 netm
ask 255.255.255.255
[AR1-GigabitEthernet0/0/0]
[AR1-GigabitEthernet0/0/0]dis th
[V200R003C00]
interface GigabitEthernet0/0/0
ip address 12.1.1.1 255.255.255.0
return
创建一个地址池
[AR1]nat address-group 1(地址池标识0-7都可以) 12.1.1.2 12.1.1.10
查看地址池信息
[AR1]dis nat address-group
NAT Address-Group Information:
Index Start-address End-address
1 12.1.1.2 12.1.1.10
Total : 1
创建标准ACL
[AR1]acl number 2000
允许内网地址段
[AR1-acl-basic-2000]rule 10 permit source 172.16.1.0 0.0.0.255
外网口调用ACL和地址池 NO-PAT不支持复用 只能一对一转换
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat
[AR1]dis nat outbound
NAT Outbound Information:
Interface Acl Address-group/IP/Interface Type
GigabitEthernet0/0/0 2000 1 no-pat
Total : 1
配置PAT
删除no-pat模式
[AR1-GigabitEthernet0/0/0]undo nat outbound 2000 address-group 1 no-pat
修改调用方式
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1
THX