一、了解NAT 网络地址转换NAT(network address translation),用于实现内部网络(私有ip地址)的主机访问外部网络(公有ip地址)的功能。NAT一般部署在连接内网络和
.
一、了解NAT
网络地址转换NAT(network address translation),用于实现内部网络(私有ip地址)的主机访问外部网络(公有ip地址)的功能。NAT一般部署在连接内网络和外网的网关设备上,NAT的实现方式有:静态NAT,动态NAT,网络地址端口转换NAPT(Network Address Port Translation),Easy Ip ,配置NAT服务器。1、静态NAT
静态NAT实现了私有地址和公有地址的一一映射,这种方式可实现外部网络使用一个指定的公网地址访问内部服务器,但此种方式无法解决公网地址短缺。2、动态NAT
动态NAT是基于地址池来实现私网地址和公网地址的转换,实际上也是一种一一映射的关系,区别在于,每台主机都会随机分配到地址池中的一个唯一地址,当主机不再需要连接时,对应的地址映射将会被删除,当地址池中的地址用尽后,其他主机只能等待被占用的公有地址释放后才能使用。3、NAPT
网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。4、Easy Ip
Easy Ip 允许将多个内部地址映射到网关出接口地址上的不同端口。5、配置NAT服务器
通过配置NAT服务器,可实现外网用户访问内网服务器。
接下来我们以实例讲解,NAT在PPPOE中的应用配置,拓扑图如下
二、PPPOE的配置
PPPOE的配置,请参考如下链接,此处不在做过多详细的解释与说明。华为pppoe配置实战演练
注意:在pppoe的配置中,IP地址为10.1.12.254并不是公网地址,只是在实验中,我们假设它是一个公网地址。
三、NAT的配置
- 3.1 基础工作
开启AR1的接口IP地址以及接口dhcp
<Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sysn AR1[AR1]dhcp enableInfo: The operation may take a few seconds. Please wait for a moment.done.[AR1]int g0/0/1[AR1-GigabitEthernet0/0/1]ip add 192.168.1.254 24Aug 4 2018 22:40:19-08:00 AR1 %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP on the interface GigabitEthernet0/0/1 has entered the UP state. [AR1-GigabitEthernet0/0/1]dhcp select interface[AR1-GigabitEthernet0/0/1]quit[AR1]查看电脑终端是否自动获取到IP地址,并测试是否能相互通信
PC1:IP地址对应192.168.1.251
PC2:IP地址对应192.168.1.253
PC3:IP地址对应192.168.1.252
3.2 静态nat转换
1、在AR1和AR2上查看PPPOE的接口简单配置
AR1:
AR2:pppoe server
2、创建静态NAT地址转换
[AR1]int dialer 1[AR1-Dialer1]nat static global 10.1.12.101 inside 192.168.1.251 [AR1-Dialer1]nat static global 10.1.12.102 inside 192.168.1.252 [AR1-Dialer1]nat static global 10.1.12.103 inside 192.168.1.253 [AR1-Dialer1]quit[AR1]3、在PC端上ping PPPOE服务器的地址10.1.12.254,验证效果。以PC1为例。
在PPPOE服务器的g0/0/0口上进行抓包:
- 3.3 动态nat转换
1、先删除原先的静态nat配置
[AR1]int dialer 1[AR1-Dialer1]undo nat static global 10.1.12.101 inside 192.168.1.251[AR1-Dialer1]undo nat static global 10.1.12.102 inside 192.168.1.252[AR1-Dialer1]undo nat static global 10.1.12.103 inside 192.168.1.253[AR1-Dialer1]quit[AR1]2、动态nat配置
[AR1]nat address-group 1 10.1.12.101 10.1.12.120 //配置地址池[AR1]acl 2000[AR1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 [AR1-acl-basic-2000]quit[AR1]int dialer 1[AR1-Dialer1]nat outbound 2000 address-group 1 no-pat[AR1-Dialer1]quit[AR1]display nat address-group 1 NAT Address-Group Information: -------------------------------------- Index Start-address End-address -------------------------------------- 1 10.1.12.101 10.1.12.120 -------------------------------------- Total : 1[AR1]3、验证效果
3.4 网络地址端口转换:NAPT
NAPT的配置,只需要将第五步骤中的nat outbound 2000 address-group 1 no-pat命令中的no-pat(不使用端口转换)去掉即可。- 3.5 easy ip配置
AR1]int dialer 1[AR1-Dialer1]undo nat outbound 2000 address-group 1 no-pat[AR1-Dialer1]q[AR1]int g0/0/0[AR1-GigabitEthernet0/0/0]nat outbound 2000 Info: The NAT address pool is empty [AR1-GigabitEthernet0/0/0]quit[AR1]dis nat outbound NAT Outbound Information: --------------------------------------------------------------------------- Interface Acl Address-group/IP/Interface Type -------------------------------------------------------------------------- GigabitEthernet0/0/0 2000 0.0.0.0 easyip -------------------------------------------------------------------------- Total : 1验证:使用PC端去ping 10.1.12.254,此处省略。
- 3.6 nat服务器配置
1、首先在AR2的g0/0/1接口上配置IP地址为10.1.24.254,配置client 1的IP地址为10.1.24.200,网关为10.1.24.254。
[SERVER]int g0/0/1[SERVER-GigabitEthernet0/0/1]ip add 10.1.24.254 24[SERVER-GigabitEthernet0/0/1]Aug 5 2018 10:18:57-08:00 SERVER %%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP on the interface GigabitEthernet0/0/1 has entered the UP state. client 1 :
2、配置server1为http服务,并启动http服务器
3、配置AR1为NAT服务器
[AR1]int Dialer 1[AR1-Dialer1]nat server protocol tcp global 10.1.12.200 80 inside 192.168.1.2000 80[AR1-Dialer1]quit[AR1]dis nat server Nat Server Information: Interface : Dialer1 Global IP/Port : 10.1.12.200/80(www) Inside IP/Port : 192.168.1.200/80(www) Protocol : 6(tcp) ××× instance-name : ---- Acl number : ---- Description : ---- Total : 14、在client 1 上获取服务器地址。当我们访问10.1.12.200的服务IP地址时,nat服务器会将10.1.12.200的ip地址转换为内网IP地址192.168.1.200,即http服务器。
