锐捷NAT实验技术指导-对比华为

        简单实现NAT技术,R1左边是内网,R1右边是外网。应将192.168.2.0/24网段换成公网地址,不影响实验效果,在R1的g0/0/1口抓包,PC1pingPC2,可发现源IP地址发生改变,从而实现通信(本来因为R2没有192.168.1.0/24的路由而不通)。

———————————————————————————————————————————

华为静态NAT

静态:dis nat static

nat static global 12.0.0.11 inside 192.168.1.1

nat static global 12.0.0.22 inside 192.168.2.2

华为动态NAT

动态:dis nat address-group 1    dis nat outbound

nat address-group 1 12.0.0.11 12.0.0.100

acl 2000

rule 5 permit source 192.168.0.0 0.0.255.255

q

int g0/0/1

nat outbound 2000 address-group 1 no-pat

默认pat    no-pat:只转换地址而不转换端口

华为:配置NAT地址池地址和出接口IP地址不在同一网段时,必须将NAT地址池地址配置为黑洞路由。

        动态NAT选择地址池中的地址进行地址转换时不会转换端口号,即N0-PAT(No-Port Address Translation,非端口地址转换),公有地址与私有地址还是1:1的映射关系,无法提高公有地址利用率。

[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat

        NAPT(Network Address and Port Translation,网络地址端口转换):从地址池中选择地址进行地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:n映射,可以有效提高公有地址利用率。

[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

      Easy IP:实现原理和NAPT相同,同时转换IP地址、传输层端口,区别在于EasyIP没有地址池的概念,使用接口地址作为NAT转换的公有地址

        Easy IP适用于不具备固定公网IP地址的场景:如通过DHCP、PPPoE拨号获取地址的私有网络出口,可以直接使用获取到的动态地址进行转换。

acl 2000
rule 5 permit source 192.168.0.0 0.0.255.255
q
int g0/0/1
nat outbond 2000

———————————————————————————————————————————

锐捷静态

Ruijie(config)# ip nat inside source static local-address global-address [permit-inside] [vrf vrf_name]

定义内部源地址静态转换关系

Ruijie(config)# interface interface-type interface-number

进入接口配置模式

Ruijie(config-if)# ip nat inside

定义该接口连接内部网络

Ruijie(config)# interface interface-type interface-number

进入接口配置模式

Ruijie(config-if)# ip nat outside

定义该接口连接外部网络

锐捷动态

Ruijie(config)# ip nat pool address-pool start-address end-address {netmask mask | prefix-length prefix-length}

定义全局 IP 地址池

Ruijie(config)# access-list access-list-number permit ip-address wildcard

定义访问列表,只有匹配该列表的地址才转换

Ruijie(config)# ip nat inside source list access-list-number pool address-pool [vrf vrf_name]

定义内部源地址动态转换关系

Ruijie(config)# interface interface-type interface-number

进入接口配置模式

Ruijie(config-if)# ip nat inside

定义接口连接内部网络

Ruijie(config)# interface interface-type interface-number

进入接口配置模式

Ruijie(config-if)# ip nat outside

定义接口连接外部网络

—————————————————————————————————————————— 

       华为与锐捷的静态NAT和动态NAT在概念上没什么区别,华为还有NAPT和Easy IP,锐捷则使用超载NAT(overload NAT)

        超载NAT可以将公网地址的端口映射给内网地址的端口,实现多个私有地址映射为一个公有地址;超载NAT可以配置地址池,也可以直接使用外网接口的IP地址;如果直接使用外网接口的IP地址,多个内网机器访问外网时,会使用同一个外网地址的不同端口号进行访问。

(config)#ip nat inside source list access-list-number { interface interface | pool pool-name } overload

        注:(config)#ip nat inside source list access-list-number ip pool pool-name 是动态NAT,添加overload就是超载NAT(即NAPT)。

        (config)#ip nat inside source list access-list-number interface interface 是超载NAT(Easy IP),最好添加overload

———————————————————————————————————————————

        当私有网络中的服务器需要对公网提供服务时,需要将内网服务器映射到公网。华为NAT Server、锐捷服务器端口映射

[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 122.1.2.1 24
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 122.1.2.1 www inside 192.168.1.10 8080

  

Ruijie(config)# ip nat inside source static {UDP | TCP} local-address port global-address port [permit-inside] [vrf vrf_name]

        外网主机主动访问[公有地址:端口]实现内网服务器的访问。PS:一开始的两张图片有测试,除了静态NAT、NAT Server 这些一对一映射内外网地址的。外网可以访问内网,其他均不可以访问内网。

——————————————————————————————————————————

实验需求:

1,PC1和PC2的IP地址为192.168.1.1/24和192.168.2.2/24,分属于VLAN 10和VLAN 20,网关位于 SW,服务器地址为 192.168.3.1/24(23 端口对外提供服务),属于 VLAN 30;

2,R1 和 R2 互联地址为 12.0.0.1/30 和 12.0.0.2/30,SW 和 R1 的互联地址为 10.0.0.1/30 和10.0.0.2/30,PC4 和 client 为互联网的服务器以及访问局域网服务器的用户客户端,地址分别为 20.0.0.1/24 和 20.0.1.1/24,网关均在 R2 上;

3,PC1、PC2 和 Server 均可访问互联网(即 PC4);

4,互联网 Client 可以通过互联网访问 Server 的 23 端口;

1, 基本配置(略)
2, 完成基本路由配置
Ruijie-SW(config)#ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/3 10.0.0.2
Ruijie-R1(config)#ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/1 12.0.0.2
Ruijie-R1(config)#ip route 192.168.0.0 255.255.0.0 GigabitEthernet 0/0 10.0.0.1
Ruijie-R2(config)#ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/0 12.0.0.1
Ruijie-Server(config)#ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/0 192.168.3.254
Client(config)#ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/0 20.0.1.254
3, 配置动态 NAT
Ruijie-R1(config)#interface GigabitEthernet 0/0
Ruijie-R1(config-if-GigabitEthernet 0/0)#ip nat inside
Ruijie-R1(config)#interface GigabitEthernet 0/1
Ruijie-R1(config-if-GigabitEthernet 0/0)#ip nat outside
Ruijie-R1(config)#ip nat pool ruijie 183.5.1.1 183.5.1.15 netmask 255.255.255.240
Ruijie-R1(config)#ip nat inside source list 1 pool ruijie overload
4, 配置源地址转换
Ruijie-R1(config)#ip nat inside source list 1 pool ruijie overload

Ruijie-R1(config)#ip nat inside source static tcp 192.168.3.1 23 12.0.0.1 23
permit-inside

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值