ENSP配置NAT
一、原理概述
早在20世纪90年代初,有关RFC文档就提出了 IP地址耗尽的可能性。IPv6技术的提出虽然可以从根本上解决地址短缺的问题,但是也无法立刻替换现有成熟且广泛应用的IPv4网络。既然不能立即过渡到IPv6网络,那么必须使用一些技术手段来延长IPv4的寿命,其中广泛使用的技术之一就是网络地址转换(Network Address Translation, NAT) 。NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能。
二、实验场景
本实验模拟企业网络场景。R1是公司的出口网关路由器,公司内员工和服务器都通过交换机S1或 S2连接到R1上,R2模拟外网设备与R1直连。由于公司内网都使用私网IP地址,为了实现公司内部分员工可以访问外网,服务器可以供外网用户访问,网络管理员需要在路由器R1上配置NAT:使用静态NAT和 NAT Outbound 技术使部分员工可以访问外网,使用NAT Server技术使服务器可以供外网用户访问。
三、实验拓扑
四、实验编址
五、开始实验
公司在网关路由器R1上配置访问外网的默认路由。
配置静态NAT
由于内网使用的都是私有1P地址,员工无法直接访问公网。现需要在网关路由器R1上配置NAT地址转换,将私网地址转换为公网地址。
(存在的问题:Ensp中路由器的选择,Router类型的不支持NAT,选择AR类型的就行了)
配置完成后,在 R1上查看NAT静态配置信息,并在PC1上使用ping命令测试与 外网的连通性。
可以观察到,PC1通过静态NAT地址转换己经可以成功访问外网。在路由器R1的GE 0/0/0接口上抓包查看NAT地址转换是否成功,结果如图所示。
可以观察到R 1已经成功把来自PC1的ICMP报文的源地址172.16.1.1转换成公网地址202.169.10.5。
在R2上使用环回口 Loopback 0 模拟外网用户访问PC1并在PC1的E 0/0/1接口上抓包观察
可以观察到由于PC1的私网地址被转换为唯一的公网地址,外网用户也能主动访问 PC1,旦数据包在经过R 1 进入内网的时候,R1把 目 的 IP 转换为与公网地址202.169.10.5对应的私网地址172.16.1.1发给PC1。
配置动态NAT
公司内市场部的员工都需要能够访问外网。市场部使用私网IP地址172.17.1.0/24网段,网络管理员使用公网地址池202.169.10.50〜202.169.10.60为市场部员工做NAT转换。
在 R1上使用nat addres-group命令配置NAT地址池,设置起始和结束地址分别为202.169.10.50和 202.169.10.60。
配置acl控制,rule 5是以5为间隔设置规则
使用PC-2测试与外网的连通性,并 在 R1的接口 GE 0/0/0上抓包观察地址转换情况
可以看到来自PC2的1CMP数据包在 R1的GE 0/0/0接口上源地址172.17.1.2被替换为地址池中第一个地址202.169.10.57,且一直在动态变化。
配置 NAT Easy-IP
由于公司发展人员扩招,若继续使用多对多的NAT转换方式,就必须增加公网地址池的地址数。为了节约公网地址,网络管理员使用多对一的Easy-IP转换方式实现市场部员工访问外网的需求。
Easy-IP是NAPT的一种方式,直接借用路由器出接口 IP 地址作为公网地址,将不同的内部地址映射到同一公有地址的不同端口号上,实现多对一地址转换。配置路由器R 1的GE 0/0/0接口为Easy-IP接口。
在 R1的GE 0/0/0接口上删除NAT Outbound配置,并使用nat outbound命令配置Easy-IP特性,直接使用接口 IP地址作为NAT转换后的地址。
配置完成后,在 PC-2和 PC-3上使用UDP发包工具发送UDP数据包到公网地址202.169.20.1,配置好目的IP和UDP源、目的端口号后,输入字符串数据后单击“发送”按钮,如图所示
在 PC2和 PC3发送UDP数据包后,在 R1上查看NAT Session的详细信息。
可以观察到,源地址为172.17.1.2的UDP数据包被新源地址202.169.10.1和新源端口号10242替换,源地址为172.17.1.3的UDP数据包被新源地址202.169.10.1和新源端口号10243替换。
R1借用自身GE 0/0/0接口的公网1P地址为所有私网地址做NAT转换,使用不同的端口号区分不同私网数据。此方式不需要创建地址池,大大节省了地址空间。
配置NAT Sever
公司内Server提供FTP服务供外网用户访问,配置NAT Server并使用公网IP地址 202.169.10.6对外公布服务器地址。
在R1的GE 0/0/0接口上,使用nat server命令定义内部服务器的映射表
配置完成后,在R l上查看NAT Server信息
可以看到,配置已经生效,然后开启服务器的FTP功能,如图
设置完服务器后,在 R2上模拟公网用户访问该私网服务器
公网用户可以成功登录公司内的私网FTP服务器