华为NAT配置

背景:

  早在20世纪90年代初,有关RFC文档就提出啦IP地址耗尽的可能。,2019年11月26日,是人类互联网时代值得纪念的一天,全球43亿个IPv4地址今日正式耗尽。IPv6技术虽然能从根本上解决地址短缺的问题,但也无法立刻替换现有成熟且广泛应用的IPv4网络。那么必须使用一些技术手段来延长IPv4的寿命,,其中广泛使用的技术之一就是网络地址转换(Network Address Translation,NAT)

原理:

  NAT是将IP数据报文报头中的IP地址 转换为另一个IP地址的过程

NAT有3种类型:静态NAT、动态地址NAT以及网络地址端口转换NAPT 

功能及应用场景:

  功能:主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)

  NAT转换设备(实现NAT功能的网络设备)维护这地址转换表,所有经过NAT转换设备并且需要进行地址转换的报文,,都会通过该表做相应转换。NAT转换设备处于内部网络和外部网络的连接处,,常见的有路由器、防火墙等。

实验目的:

 实验内容:

 实验拓扑:

 实验编址:

  实验步骤:

  1.基本配置

  根据实验编址表进行相应的基本配置,,并使用ping命令检测各直连链路的连通性。

   2.配置静态NAT(一对一)

  公司在网关路由器R1上配置访问外网的默认路由

   由于内网使用的都是私有IP地址,,员工无法直接访问公网。现需要在网关路由器R1上配置NAT地址转换,将私网地址转换为公网地址。

  PC1为公司客户经理使用的终端,不仅需要自身能访问外网,,还需要外网用户也能直接访问他,,因此网络管理员分配啦一个公网IP地址202.1069.10.2给PC1座金泰NAT地址转换。在R1的GE 0/0/0接口下使用nat static 命令配置内部地址到外部地址的一对一转换

配置完之后,在R1上查看NAT静态配置信息,并在PC1ping检测与外网的连通

 

   PC1通过静态NAT地址转换,成功访问外网,,在路由器R1上的GE 0/0/0接口抓包查看NAT地址是否转换成功,

结果如下图

 

   可以看到R1已经成功把来自PC1的ICMP报文的源地址172.16.1.1转换为公网地址202.169.10.5。

在R2上使用环回口Loopback0模拟外网用户访问PC1,,并在PC1的E0/0/1接口上抓包观察

可以发现PC1的私网地址被转换为唯一的公网地址,,外网用户也能主动访问PC1,,且数据包经过R1进入内网是,R1把目的IP转换与公网地址202.169.10.5对应的私网地址172.16.1.1发给PC1

  

  3.配置内市场部的员工,都需要能够访问外网。。市场部使用私网IP地址172.17.1.0/24网段,现在要求使用公网地址池202.169.10.50~202.169.10.60为市场部员工做NAT转换。(多对多)

  在R1上使用nat address-group命令配置NAT地址池,设置其实和结束地址分别为202.169.10.50和202.169.10.60

 

   创建基本acl2000  ,匹配172.17.1.0  

 

  在GE 0/0/0接口使用nat outbound命令将ACL 2000 与地址池相关联,,使得ACL中规定的地址,可以使用地址池,

进行地址转换。

  

配置完后,在R1上查看NAT Outbound的信息

 

   可以看到R1上的NAT Ountbound 配置信息,,使用PC2检测与外网的连通性,,并在R1的接口GE 0/0/0上

抓包观察地址转换情况

 

   PC2ping通外网,通过抓包分析,来自PC2的ICMP数据包,在R1的GE 0/0/0接口上  源地址172.17.1.2被替换为地址池中第一个地址202.169.10.50

  

  4.配置NAT的Easy-IP(多对一)

 

   在R1的GE 0/0/0接口上删除NAT Outbound 配置,并使用nat outbound命令配置Easy0IP特效,直接使用接口IP地址作为NAT转换后的地址。

 

   配置完后,在PC2和PC3上使用UDP法宝工具发送UDP数据包到公网地址202.169.20.1,配置好目的IP和UDP源,

目的端口号后,输入字符串数据后单击“发送”按钮。

 

 

   发送完后,在R1上查看NAT Session的详细信息

 

   可以看到,源地址为172.17.1.2的UDP数据包被,新源地址202.169.10.1和新源端口好10242替换,

        源地址为172.17.1.3的UDP数据包被,新源地址202.169.20.1和新源端口好10241替换,

R1借用自身GE 0/0/0接口的公网IP地址为  所有私网地址做NAT转换,使用不同的端口号

来区分不同私网数据,,此方式不需要创建地址池,,大大节省了地址空间。

 

  5.配置NAT Server

  公司内Server提供FTP服务 供外网用户访问,配置NAT Server并使用公网IP地址202.169.10.6对外公布服务器地址,,然后开启器NAT ALG功能。因为,对于封装在IP数据报文中的应用层,协议报文,正常的NAT转换会导致错误,在开启某应用协议的NAT ALG功能后,,该应用层协议报文可以正常进行NAT转换,否则该应用协议不能正常工作。

  在R1的GE 0/0/0接口上,使用nat server命令定义内部服务器的映射表,,指定服务器通信协议类型为TCP,,配置服务器使用的公网IP地址为202.169.10.6,,服务器内网通信地址为172.16.1.3,指定端口为21,该常用端口号可以直接使用关键字“ftp”代替。

 

   配置完后,在R1上查看NAT Server信息

 

 可以看到,配置已经生效,现在我们去Sverver终端开启,服务器的FTP功能

 

 设置完后,在R2上模拟,公网用户访问该私网服务器

 可以看到,公网用户,可以成功登入公司内的私网FTP服务器。

 

思考:

  什么情况下需要使用到NAT的双向转换?

  当两个私有网络的IP地址相同(发生重叠),并又想能够实现互相访问时,就可以通过中间的设备部署双向的nat转换了。

 

 

 

 

 

 

 

 

 

 

 

posted @ 2019-12-12 17:26  escwq  阅读(20139)  评论(0编辑  收藏  举报