NAT
一、NAT的概念
NAT(网络地址转换)是一种网络协议和技术,用于在互联网协议(IP)网络中转换和映射IP地址。NAT主要用于在私有网络(如家庭网络或企业内部网络)与公共网络(如互联网)之间共享有限的公共IP地址。
NAT的基本原理是将私有IP地址转换为公共IP地址,以便内部设备可以与互联网上的其他设备进行通信。它通过在网络边界上的转换设备(例如路由器)来实现地址转换。
二、NAT的种类
静态NAT
- 将一个私有地址和一个公网地址进行关联,一 一对应,缺点和静态路由一样
动态NAT
- 建立和维护一个地址表,该表存储了内部设备与相应的公共IP地址,允许内部网络中的多个设备共享一组公共IP地址
NATPT(端口映射)
- NAT Server----内网服务器对外提供服务,针对目的ip和目的端口映射,即内网服务器的相应端口映射成路由器公网ip地址的相应端口
- 即让外网可以访问内网
Easy-IP
将私有网络中的IP地址和端口映射到公共网络中的公共IP地址和端口。通过这种方式,私有网络中的多个终端可以共享一个公共IP地址,从而实现了IP地址的节约和网络连接的共享。
- 1.出去的所有ip都是同一外网ip,但后面的端口号都不同(用于区分)
- 2.使用列表匹配私网的ip地址
三、NAT的工作机制
一个数据包从企业内网去往公网时,路由器将数据包当 中的源ip(私有地址),翻译成公网地址
四、NAT的作用
NAT的主要作用如下:
-
- IP地址转换:NAT允许将内部网络(如家庭或企业局域网)使用的私有IP地址转换为公共IP地址,从而实现与公共互联网的连接。这样,一个公共IP地址就可以代表整个内部网络的所有设备。
-
- 地址隐藏和安全性:通过使用私有IP地址,NAT可以在内部网络和外部网络之间建立一道“屏障”,隐藏内部网络的真实IP地址,增加了网络的安全性,减少了受到网络攻击的风险。
-
- 节约公共IP地址:由于IPv4地址空间有限,NAT可以在一定程度上缓解公共IP地址的短缺问题。内部网络可以使用私有IP地址,只需要一个或几个公共IP地址来与外部网络通信。
五、数据包经过NAT设备从内网到外网和从外网到内网的转换过程
- 从内网到外网:
数据包的源IP由私网IP转换成公网iP
- 从外网到内网
数据包的目的IP由公网转换成私网IP
NAT的配置
一、如何配置静态NAT
1.配置好主机ip和网关
PC1:192.168.1.1/24。
PC2:192.168.1.2/24。
2.在企业出口中配置静态ANT绑定
<Huawei>u t m //关闭华为提示信息
Info: Current terminal monitor is off.
<Huawei>sys //切换至系统视图
Enter system view, return user view with Ctrl+Z.
[Huawei]sys AR1 //重命名
[AR1]int g0/0/0 //进入接口g0/0/0
[AR1-GigabitEthernet0/0/1]ip add 192.168.1.254 24 //设置子接口的IP地址(即AR1下面所属主机的网关地址)
[AR1]int g0/0/1 //进入接口g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 200.1.1.1 24 //设置子接口的IP地址(即AR1下面所属主机的网关地址)
[AR1-GigabitEthernet0/0/1]nat static enable //设置静态NAT
[AR1-GigabitEthernet0/0/1]nat static global 200.1.1.100 inside 192.168.1.1//在g/0/0/1端口上配置静态NAT绑定200.1.1.100 和 192.168.1.1
[AR1-GigabitEthernet0/0/1]q //返回上一级
[AR1]dis nat static //查看静态NAT
Static Nat Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 200.1.1.100/----
Inside IP/Port : 192.168.1.1/----
Protocol : ----
VPN instance-name : ----
Acl number : ----
Netmask : 255.255.255.255
Description : ----
3.测试静态NAT绑定
二、如何配置动态NAT
1.配置好主机ip和网关
PC1:192.168.1.1/24。
PC2:192.168.1.2/24。
2.在企业出口中配置动态NAT
<Huawei>u t m //关闭华为提示信息
Info: Current terminal monitor is off.
<Huawei>sys //切换至系统视图
Enter system view, return user view with Ctrl+Z.
[Huawei]sys AR1 //重命名
[AR1]int g0/0/0 //进入接口g0/0/0
[AR1-GigabitEthernet0/0/1]ip add 192.168.1.254 24 //设置子接口的IP地址(即AR1下面所属主机的网关地址)
[AR1]int g0/0/1 //进入接口g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 200.1.1.1 24 //设置子接口的IP地址(即AR1下面所属主机的网关地址)
[AR1-GigabitEthernet0/0/1]q //返回上一级
[AR1]nat address-group 1 200.1.1.10 200.1.1.15 //建立地址池
[AR1]acl 2000 //创建基本ACL 2000
[AR1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255//默认规则5 允许192.168.1.0通过
[AR1-acl-basic-2000]q //返回上一级
[AR1]int g0/0/1 //进入接口g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat//在该端口启用动态NAT,调用ACL2000地址池中的地址,不使用端口号
[AR1-GigabitEthernet0/0/1]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/1
ip address 200.1.1.1 255.255.255.0
nat outbound 2000 address-group 1 no-pat
#
return
3.测试动态NAT绑定
三、如何配置NATPT(端口映射)
1.配置好主机ip和网关
PC1:192.168.1.1/24。
PC2:192.168.1.2/24。
Server1:192.168.1.100/24。
Client1:202.1.1.1/24。
2.开启服务器的http服务
3.配置路由器AR1(企业出口),AR2(运营商设备)
AR1:企业出口
<Huawei>u t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys AR1
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 200.1.1.1 24
[AR1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface www i
nside 192.168.1.100 www
Warning:The port 80 is well-known port. If you continue it may cause function fa
ilure.
Are you sure to continue?[Y/N]:
[AR1-GigabitEthernet0/0/1]nat static enable
[AR1-GigabitEthernet0/0/1]q
[AR1]ip route-static 202.1.1.2 24 200.1.1.2
Info: The destination address and mask of the configured static route mismatched
, and the static route 202.1.1.0/24 was generated.
[AR1]dis this
[V200R003C00]
#
sysname AR1
#
snmp-agent local-engineid 800007DB03000000000000
snmp-agent
#
clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
drop illegal-mac alarm
#
set cpu-usage threshold 80 restore 75
#
ip route-static 202.1.1.0 255.255.255.0 200.1.1.2
#
return
AR2:运营商设备
<Huawei>u t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys AR2
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 200.1.1.2 24
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 202.1.1.2 24
[AR2-GigabitEthernet0/0/1]q
[AR2]dis this
[V200R003C00]
#
sysname AR2
#
snmp-agent local-engineid 800007DB03000000000000
snmp-agent
#
clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
drop illegal-mac alarm
#
set cpu-usage threshold 80 restore 75
#
return
4.在服务器中测试NATPT配置
四、如何配置Esay-IP
1.配置好主机ip和网关
PC1:192.168.1.1/24。
PC2:192.168.1.2/24。
2.配合AR1并查询配置
创建基本ACL2000:acl 2000
允许192.168.1.0网段完全通过:rule permit source 192.168.1.0 0.0.0.255
进入接口g0/0/1:int g0/0/1
在该端口出口调用ACL200的规则:nat outbound 2000
显示NAT所有NAT会话:display nat session all
<Huawei>u t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys AR1
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 200.1.1.1 24
[AR1-GigabitEthernet0/0/1]q
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[AR1-acl-basic-2000]q
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000
[AR1-GigabitEthernet0/0/1]display nat session all
NAT Session Table Information:
Total : 0
[AR1-GigabitEthernet0/0/1]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/1
ip address 200.1.1.1 255.255.255.0
nat outbound 2000
#
return
