NAT网络地址转换
地址转换,私有地址转换公网地址。为了节省IP地址,为了解决IPV4地址不够用了的问题。 网络安全,将私网信息隐藏在私网,不会暴露道公网上。
NAT一般部署在连接内网和外网的网关设备上。
NAT分为静态和动态两种类型
做实验必须要用ensp中AR的路由器,不然nat不生效,这是ensp模拟器的bug
一、静态NAT(一对一)
私有IP-公有IP 1对1,不节省IP地址。只是把内网ip转换成外网的另一个公有ip进行访问
global是公有地址, inside是私有地址
例:配置nat转发,PC24可以通过ip 111.11.1.100访问PC23、PC24通过访问ip 111.11.1.200访问PC25
第一种办法:
1.配置接口IP
<Huawei>sys [Huawei]sysname AR7 [AR7]int g0/0/0 [AR7-GigabitEthernet0/0/0]ip add 192.168.1.1 24 [AR7-GigabitEthernet0/0/0]int g0/0/2 [AR7-GigabitEthernet0/0/2]ip add 192.168.2.1 24 [AR7-GigabitEthernet0/0/2]int g0/0/1 [AR7-GigabitEthernet0/0/1]ip add 111.11.1.1 24 [AR7-GigabitEthernet0/0/1]quit
2.配置 静态NAT
[AR7]int g0/0/1 [AR7-GigabitEthernet0/0/1]nat static global 111.11.1.100 inside 192.168.1.2 [AR7-GigabitEthernet0/0/1]nat static global 111.11.1.200 inside 192.168.2.2
3.查看静态NAT
[AR7-GigabitEthernet0/0/1]dis nat st Static Nat Information: Interface : GigabitEthernet0/0/1 Global IP/Port : 111.11.1.100/---- Inside IP/Port : 192.168.1.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Global IP/Port : 111.11.1.200/---- Inside IP/Port : 192.168.2.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Total : 2
第二种办法:
1.配置接口IP
<Huawei>sys
[Huawei]sysname AR7
[AR7]int g0/0/0
[AR7-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[AR7-GigabitEthernet0/0/0]int g0/0/2
[AR7-GigabitEthernet0/0/2]ip add 192.168.2.1 24
[AR7-GigabitEthernet0/0/2]int g0/0/1
[AR7-GigabitEthernet0/0/1]ip add 111.11.1.1 24
[AR7-GigabitEthernet0/0/1]quit
2.配置 静态NAT
[AR7]nat static global 111.11.1.100 inside 192.168.1.2 [AR7]nat static global 111.11.1.200 inside 192.168.2.2 [AR7]int g0/0/1 [AR7-GigabitEthernet0/0/1]nat static enable
现在从pc23 去ping pc24:111.11.1.2 进行抓包分析(路由器g0/0/2端口)
现在从pc25 去ping pc24:111.11.1.2 进行抓包分析(路由器g0/0/2端口)
二、动态NAT(Basic NAT)
内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,
是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。
1、路由器基础配置
[Huawei]int g0/0/2 [Huawei-GigabitEthernet0/0/2]ip add 111.11.1.1 24 [Huawei-GigabitEthernet0/0/2]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 24 [Huawei-GigabitEthernet0/0/0]int g0/0/1 [Huawei-GigabitEthernet0/0/1]ip add 192.168.2.1 24 [Huawei-GigabitEthernet0/0/1]quit
2、配置动态NAT
[Huawei]nat address-group 1 111.11.1.100 111.11.1.200 [Huawei]acl 2000 [Huawei-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 [Huawei-acl-basic-2000]rule 5 permit source 192.168.2.0 0.0.0.255 [Huawei-acl-basic-2000]quit
[Huawei]int g0/0/2 [Huawei-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 no-pat #no-pat 输入no-pat后不转换端口号
现在从pc8 去ping pc10:111.11.1.2 进行抓包分析(路由器g0/0/2端口)
三、Easy IP
- Easy IP 同时转换IP地址和端口号,自动利用WAN口的公网地址与私网IP地址映射,无需创建公网地址池 其中,Easy IP方式特别适合小型局域网访问Internet的情况。这里的小型局域网主要指中小型网吧、小型办公室等环境,一般具有以下特点:内部主机较少、出接口通过拨号方式获得临时公网IP地址以供内部主机访问Internet。对于这种情况,可以使用Easy IP方式使局域网用户都通过这个IP地址接入Internet。
内网所有地址都通过Easy IP转发成出接口的公网地址
类似于我们申请了一个公网固定的ip宽带,局域 网所有的主机ip都通过这个公网ip访问互联网
IP地址如上图中的配置,nat启用在AR7的GE 0/0/2接口上。
1).配置接口IP
<Huawei>sys [Huawei]sysname AR7 [AR7]int g0/0/0 [AR7-GigabitEthernet0/0/0]ip add 192.168.1.1 24 [AR7-GigabitEthernet0/0/0]int g0/0/2 [AR7-GigabitEthernet0/0/2]ip add 192.168.2.1 24 [AR7-GigabitEthernet0/0/2]int g0/0/1 [AR7-GigabitEthernet0/0/1]ip add 111.11.1.1 24 [AR7-GigabitEthernet0/0/1]quit
2).建立acl规则
[AR7]acl 2000 [AR7-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 [AR7-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255 [AR7-acl-basic-2000]dis this [V200R003C00] # acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 rule 10 permit source 192.168.2.0 0.0.0.255
[AR7-acl-basic-2000]quit
3).在接口GE 0/0/1启用nat
[AR7]int g0/0/1 [AR7-GigabitEthernet0/0/1]nat outbound 2000
4).使能ALG(Application Level Gateway)功能可以使NAT设备识别被封装在报文数据部分的IP地址或端口信息,并根据映射表项进行替换,实现报文正常穿越NAT。目前设备的ALG功能所支持的协议包括:DNS、FTP、SIP、PPTP和RTSP。
[AR7]nat alg ALL enable
查看结果:
以上转换方式为源地址转换,即内容访问互联网时,把内网地址转换成外网地址访问互联网