NAT
先放几个图,比较官方,如果可以看懂就省事了。
静态NAT
动态NAT
easy IP
NAT服务器
------------------------------------------------------------------------------------------------------
接下来是正式实验。
配置NAT
1、实验原理
早在20世纪90年代初,有关RFC文档就提出了IP地址耗尽的可能性。IPv6 技术的提出虽然可以从根本上解决地址短缺的问题,但是也无法立刻替换现有成熟且广泛应用的IPv4网络。既然不能立即过渡到IPv6网络,那么必须使用一-些技术手段来延长IPv4的寿命,其中广泛使用的技术之一就是网络地址转换(Network Address Translation,NAT)。
NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能。NAT有3种类型:静态NAT、动态地址NAT以及网络地址端口转换NAPT。
NAT转换设备(实现NAT功能的网络设备)维护着地址转换表,所有经过NAT转:换设备并且需要进行地址转换的报文,都会通过该表做相应转换。NAT转换设备处于内部网络和外部网络的连接处,常见的有路由器、防火墙等。
2、实验内容
本实验模拟企业网络场景。R1是公司的出口网关路由器,公司内员工和服务器都通过交换机S1或S2连接到R1上,R2模拟外网设备与R1直连。由于公司内网都使用私网IP地址,为了实现公司内部分员工可以访问外网,服务器可以供外网用户访问,网络管理员需要在路由器R1.上配置NAT:使用静态NAT和NAT Outbound技术使部分员工可以访问外网,使用NAT Server 技术使服务器可以供外网用户访问。
3、实验拓扑图
4、实验步骤
4.1基本配置
根据实验编址表进行相应的基本配置,并使用PING命令进行检测各直连链路的连通性。
[fengwenbo-R1-GigabitEthernet0/0/0]ip add 202.169.10.1 24
[fengwenbo-R1-GigabitEthernet0/0/1]ip add 172.16.1.254 24
[fengwenbo-R1-GigabitEthernet0/0/2]ip add 172.17.1.254 24
[fengwenbo-R2-GigabitEthernet0/0/0]ip add 202.169.10.2 24
[fengwenbo-R2]interface LoopBack 0
[fengwenbo-R2-LoopBack0]ip add 202.169.20.1 24
4.2配置静态NAT
(1)公司再网关路由器R1上配置访问外网的默认路由。
[fengwenbo-R1]ip route-static 0.0.0.0 0 202.169.10.2
(2)由于内网使用的都是私有IP地址,员工无法直接访问公网。现需要在网关路由器R1上配置NAT地址转换,将私网地址转换为公网地址。
PC-1为公司客户经理使用的终端,不仅需要自身能访问外网,还需要外网用户也能够直接访问他,因此网络管理员分配了一个公网IP地址202.169.10.5给PC-1做静态NAT地址转换。在R1的GE 0/0/0接口下使用nat static命令配置内部地址到外部地址的一对一转换。
[fengwenbo-R1-GigabitEthernet0/0/0]nat static global 202.169.10.5 inside 172.16.1.1
(3)配置完成后,再R1上查看NAT静态配置信息,并在PC-1上使用ping命令测试与外网的连通性。
(4)可以看到PC-1通过静态NAT地址转换已经可以成功访问外网。在路由器R1的GE0/0/0接口上抓包查看NAT地址转换是否成功。
可以观察到R1已经成功把来自PC-1的ICMP报文的源地址172.16.1.1转换成公网地址202.169.10.5。
(5)在R2上使用环回口loop back0模拟外网用户访问PC-1,并在PC-1的E 0/0/1 接口上抓包观察。
可以观察到由于PC-1的私网地址被转换为唯一的公网地址,外网用户也能主动访问PC-1,且数据包在经过RI进入内网的时候,R1把目的IP转换为与公网地址202.169.10.5对应的私网地址172.16.1.1发给PC-1。
4.3配置NAT Outbound
公司内市场部的员工都需要能够访问外网。市场部使用私网IP地址172.17.1.0/24网段,网络管理员使用公网地址池202.169.10.50-202.169.10.60为市场部员工做NAT转换。
(1)在R1上使用nat addres-group命令配置NAT地址池,设置起始和结束地址分别为202.169.10.50和202.169.10.60。
[fengwenbo-R1]nat address-group 1 202.169.10.50 202.169.10.60
(2)创建ACL 2001。
[fengwenbo-R1]acl 2000
[fengwenbo-R1-acl-basic-2000]rule 5 permit source 172.17.1.0 0.0.0.255
(3)在GE 0/0/0 接口下使用nat outbound 命令将ACL 2001与地址池相关联,使得ACL中规定的地址可以使用地址池进行地址转换。
[fengwenbo-R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat
(4)配置完成后,在R1上查看NAT Outbound信息。
可以观察到R1上的NAT Outbound配置信息。
(5)使用PC-2测试与外网的连通性。并且在R1的接口GE 0/0/0 上抓包观察地址转换情况。
可以观察到PC-2可以成功访问外网,且通过抓包分析,来自PC-2的ICMP数据包在R1的GE 0/0/0接口上源地址172.17.1.2 被替换为地址池中第一个地址202.169.10.50。
4.4配置NAT Easy- IP
由于公司发展人员扩招,若继续使用多对多的NAT转换方式,就必须增加公网地址池的地址数。为了节约公网地址,网络管理员使用多对- -的Easy-IP 转换方式实现市场部员工访问外网的需求。
Easy-IP是NAPT的一种方式,直接借用路由器出接口IP地址作为公网地址,将不同的内部地址映射到同一公有地址的不同端口号上,实现多对一地址转换。网络管理员配置路由器R1的GE 0/0/0接口为Easy-IP接口。
(1)在R1的GE 0/0/0接口上删除NAT Outbound配置,并使用nat outbound命令配置Easy-IP特性,直接使用接口IP地址作为NAT转换后的地址。
[fengwenbo-R1-GigabitEthernet0/0/0]undo nat outbound 2000 address-group 1 no-pat
[fengwenbo-R1-GigabitEthernet0/0/0]nat outbound 2000
(2)配置完成后,在PC-2和PC-3上使用UDP发包工具发送UDP数据包到公网地址202.169.20.1,配置好目的IP和UDP源、目的端口号后,输入字符串数据后单击“发送”按钮。
(3)发送后,在R1上查看NAT Session的详细信息。
可以观察到,源地址为172.17.1.2 的UDP数据包被新源地址202.169.20.1和新源端口号10242替换,源地址为172.17.1.3的UDP数据包被新源地址202.169.200.1和新源端口号10243替换。R1借用自身GE0/0/0接口的公网IP地址为所有私网地址做NAT转换,使用不同的端口号区分不同私网数据。此方式不需要创建地址池,大大节省了地址空间。
4.5配置NAT Server
公司内Server提供FTP服务供外网用户访问,配置NAT Server并使用公网IP地址202. 169.10.6对外公布服务器地址,然后开启NAT ALG功能。因为对于封装在IP数据报文中的应用层协议报文,正常的NAT转换会导致错误,在开启某应用协议的NATALG功能后,该应用协议报文可以正常进行NAT转换,否则该应用协议不能正常工作。
(1)在R1的GE0/0/0接口.上,使用natserver命令定义内部服务器的映射表,指定服务器通信协议类型为TCP,配置服务器使用的公网IP地址为202.169.10.6,服务器内网地址为172.16.1.3, 指定端口号为21,该常用端口号可以直接使用关键字“ftp"代替。
[fengwenbo-R1-GigabitEthernet0/0/0]nat server protocol tcp global 202.169.10.6 ftp inside 172.16.1.3 ftp
[fengwenbo-R1]nat alg ftp enable
(2)配置完成后,在R1上查看NAT Server信息。
观察到,配置生效。
(3)在Server1上开启ftp服务。
(4)在R2上模拟公网用户访问该私网服务器。
观察到,公网用户成功登录公司私网的FTP服务器。
实验结束!!!
