

简单实现NAT技术,R1左边是内网,R1右边是外网。应将192.168.2.0/24网段换成公网地址,不影响实验效果,在R1的g0/0/1口抓包,PC1pingPC2,可发现源IP地址发生改变,从而实现通信(本来因为R2没有192.168.1.0/24的路由而不通)。
———————————————————————————————————————————
|
华为静态NAT |
|
静态:dis nat static |
|
nat static global 12.0.0.11 inside 192.168.1.1 |
|
nat static global 12.0.0.22 inside 192.168.2.2 |
|
华为动态NAT |
|
动态:dis nat address-group 1 dis nat outbound |
|
nat address-group 1 12.0.0.11 12.0.0.100 |
|
acl 2000 |
|
rule 5 permit source 192.168.0.0 0.0.255.255 |
|
q |
|
int g0/0/1 |
|
nat outbound 2000 address-group 1 no-pat |
|
默认pat no-pat:只转换地址而不转换端口 |
|
华为:配置NAT地址池地址和出接口IP地址不在同一网段时,必须将NAT地址池地址配置为黑洞路由。 |
动态NAT选择地址池中的地址进行地址转换时不会转换端口号,即N0-PAT(No-Port Address Translation,非端口地址转换),公有地址与私有地址还是1:1的映射关系,无法提高公有地址利用率。
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
NAPT(Network Address and Port Translation,网络地址端口转换):从地址池中选择地址进行地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:n映射,可以有效提高公有地址利用率。
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
Easy IP:实现原理和NAPT相同,同时转换IP地址、传输层端口,区别在于EasyIP没有地址池的概念,使用接口地址作为NAT转换的公有地址。
Easy IP适用于不具备固定公网IP地址的场景:如通过DHCP、PPPoE拨号获取地址的私有网络出口,可以直接使用获取到的动态地址进行转换。
acl 2000
rule 5 permit source 192.168.0.0 0.0.255.255
q
int g0/0/1
nat outbond 2000
———————————————————————————————————————————
|
锐捷静态 | ||
|
Ruijie(config)# ip nat inside source static local-address global-address [permit-inside] [vrf vrf_name] |
定义内部源地址静态转换关系 | |
|
Ruijie(config)# interface interface-type interface-number |
进入接口配置模式 | |
|
Ruijie(config-if)# ip nat inside |
定义该接口连接内部网络 | |
|
Ruijie(config)# interface interface-type interface-number |
进入接口配置模式 | |
|
Ruijie(config-if)# ip nat outside |
定义该接口连接外部网络 | |
|
锐捷动态 | ||
|
Ruijie(config)# ip nat pool address-pool start-address end-address {netmask mask | prefix-length prefix-length} |
定义全局 IP 地址池 | |
|
Ruijie(config)# access-list access-list-number permit ip-address wildcard |
定义访问列表,只有匹配该列表的地址才转换 | |
|
Ruijie(config)# ip nat inside source list access-list-number pool address-pool [vrf vrf_name] |
定义内部源地址动态转换关系 | |
|
Ruijie(config)# interface interface-type interface-number |
进入接口配置模式 | |
|
Ruijie(config-if)# ip nat inside |
定义接口连接内部网络 | |
|
Ruijie(config)# interface interface-type interface-number |
进入接口配置模式 | |
|
Ruijie(config-if)# ip nat outside |
定义接口连接外部网络 | |
——————————————————————————————————————————
华为与锐捷的静态NAT和动态NAT在概念上没什么区别,华为还有NAPT和Easy IP,锐捷则使用超载NAT(overload NAT)
超载NAT可以将公网地址的端口映射给内网地址的端口,实现多个私有地址映射为一个公有地址;超载NAT可以配置地址池,也可以直接使用外网接口的IP地址;如果直接使用外网接口的IP地址,多个内网机器访问外网时,会使用同一个外网地址的不同端口号进行访问。
(config)#ip nat inside source list access-list-number { interface interface | pool pool-name } overload
注:(config)#ip nat inside source list access-list-number ip pool pool-name 是动态NAT,添加overload就是超载NAT(即NAPT)。
(config)#ip nat inside source list access-list-number interface interface 是超载NAT(Easy IP),最好添加overload。
———————————————————————————————————————————
当私有网络中的服务器需要对公网提供服务时,需要将内网服务器映射到公网。华为NAT Server、锐捷服务器端口映射
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 122.1.2.1 24
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 122.1.2.1 www inside 192.168.1.10 8080
Ruijie(config)# ip nat inside source static {UDP | TCP} local-address port global-address port [permit-inside] [vrf vrf_name]
外网主机主动访问[公有地址:端口]实现内网服务器的访问。PS:一开始的两张图片有测试,除了静态NAT、NAT Server 这些一对一映射内外网地址的。外网可以访问内网,其他均不可以访问内网。
——————————————————————————————————————————

实验需求:
1,PC1和PC2的IP地址为192.168.1.1/24和192.168.2.2/24,分属于VLAN 10和VLAN 20,网关位于 SW,服务器地址为 192.168.3.1/24(23 端口对外提供服务),属于 VLAN 30;
2,R1 和 R2 互联地址为 12.0.0.1/30 和 12.0.0.2/30,SW 和 R1 的互联地址为 10.0.0.1/30 和10.0.0.2/30,PC4 和 client 为互联网的服务器以及访问局域网服务器的用户客户端,地址分别为 20.0.0.1/24 和 20.0.1.1/24,网关均在 R2 上;
3,PC1、PC2 和 Server 均可访问互联网(即 PC4);
4,互联网 Client 可以通过互联网访问 Server 的 23 端口;
1, 基本配置(略)
2, 完成基本路由配置
Ruijie-SW(config)#ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/3 10.0.0.2
Ruijie-R1(config)#ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 12.0.0.2
Ruijie-R1(config)#ip route 192.168.0.0 255.255.0.0 GigabitEthernet 0/0 10.0.0.1
Ruijie-R2(config)#ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/0 12.0.0.1
Ruijie-Server(config)#ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/0 192.168.3.254
Client(config)#ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/0 20.0.1.254
3, 配置动态 NAT
Ruijie-R1(config)#interface GigabitEthernet 0/0
Ruijie-R1(config-if-GigabitEthernet 0/0)#ip nat inside
Ruijie-R1(config)#interface GigabitEthernet 0/1
Ruijie-R1(config-if-GigabitEthernet 0/0)#ip nat outside
Ruijie-R1(config)#ip nat pool ruijie 183.5.1.1 183.5.1.15 netmask 255.255.255.240
Ruijie-R1(config)#ip nat inside source list 1 pool ruijie overload
4, 配置源地址转换
Ruijie-R1(config)#ip nat inside source list 1 pool ruijie overload
Ruijie-R1(config)#ip nat inside source static tcp 192.168.3.1 23 12.0.0.1 23
permit-inside

被折叠的 条评论
为什么被折叠?



