華為NAT配置

背景：

　　早在20世紀90年代初，有關RFC文檔就提出啦IP地址耗盡的可能。，2019年11月26日，是人類互聯網時代值得紀念的一天，全球43億個IPv4地址今日正式耗盡。IPv6技術雖然能從根本上解決地址短缺的問題，但也無法立刻替換現有成熟且廣泛應用的IPv4網絡。那么必須使用一些技術手段來延長IPv4的壽命，，其中廣泛使用的技術之一就是網絡地址轉換（Network Address Translation，NAT）

原理：

　　NAT是將IP數據報文報頭中的IP地址 轉換為另一個IP地址的過程

NAT有3種類型：靜態NAT、動態地址NAT以及網絡地址端口轉換NAPT 

功能及應用場景：

　　功能：主要用於實現內部網絡（私有IP地址）訪問外部網絡（公有IP地址）

　　NAT轉換設備（實現NAT功能的網絡設備）維護這地址轉換表，所有經過NAT轉換設備並且需要進行地址轉換的報文，，都會通過該表做相應轉換。NAT轉換設備處於內部網絡和外部網絡的連接處，，常見的有路由器、防火牆等。

實驗目的：

 實驗內容：

 實驗拓撲：

 實驗編址：

  實驗步驟：

　　1.基本配置

　　根據實驗編址表進行相應的基本配置，，並使用ping命令檢測各直連鏈路的連通性。

 　　2.配置靜態NAT（一對一）

　　公司在網關路由器R1上配置訪問外網的默認路由

 　　由於內網使用的都是私有IP地址，，員工無法直接訪問公網。現需要在網關路由器R1上配置NAT地址轉換，將私網地址轉換為公網地址。

　　PC1為公司客戶經理使用的終端，不僅需要自身能訪問外網，，還需要外網用戶也能直接訪問他，，因此網絡管理員分配啦一個公網IP地址202.1069.10.2給PC1座金泰NAT地址轉換。在R1的GE 0/0/0接口下使用nat static 命令配置內部地址到外部地址的一對一轉換

配置完之后，在R1上查看NAT靜態配置信息，並在PC1ping檢測與外網的連通

 

 　　PC1通過靜態NAT地址轉換，成功訪問外網，，在路由器R1上的GE 0/0/0接口抓包查看NAT地址是否轉換成功，

結果如下圖

 

 　　可以看到R1已經成功把來自PC1的ICMP報文的源地址172.16.1.1轉換為公網地址202.169.10.5。

在R2上使用環回口Loopback0模擬外網用戶訪問PC1，，並在PC1的E0/0/1接口上抓包觀察

可以發現PC1的私網地址被轉換為唯一的公網地址，，外網用戶也能主動訪問PC1，，且數據包經過R1進入內網是，R1把目的IP轉換與公網地址202.169.10.5對應的私網地址172.16.1.1發給PC1。

　　

　　3.配置內市場部的員工，都需要能夠訪問外網。。市場部使用私網IP地址172.17.1.0/24網段，現在要求使用公網地址池202.169.10.50~202.169.10.60為市場部員工做NAT轉換。（多對多）

　　在R1上使用nat address-group命令配置NAT地址池，設置其實和結束地址分別為202.169.10.50和202.169.10.60

 

 　　創建基本acl2000  ，匹配172.17.1.0  

 

　　在GE 0/0/0接口使用nat outbound命令將ACL 2000 與地址池相關聯，，使得ACL中規定的地址，可以使用地址池，

進行地址轉換。

　　

配置完后，在R1上查看NAT Outbound的信息

 

 　　可以看到R1上的NAT Ountbound 配置信息，，使用PC2檢測與外網的連通性，，並在R1的接口GE 0/0/0上

抓包觀察地址轉換情況

 

 　　PC2ping通外網，通過抓包分析，來自PC2的ICMP數據包，在R1的GE 0/0/0接口上  源地址172.17.1.2被替換為地址池中第一個地址202.169.10.50

　　

　　4.配置NAT的Easy-IP（多對一）

 

 　　在R1的GE 0/0/0接口上刪除NAT Outbound 配置，並使用nat outbound命令配置Easy0IP特效，直接使用接口IP地址作為NAT轉換后的地址。

 

 　　配置完后，在PC2和PC3上使用UDP法寶工具發送UDP數據包到公網地址202.169.20.1，配置好目的IP和UDP源，

目的端口號后，輸入字符串數據后單擊“發送”按鈕。

 

 

 　　發送完后，在R1上查看NAT Session的詳細信息

 

 　　可以看到，源地址為172.17.1.2的UDP數據包被，新源地址202.169.10.1和新源端口好10242替換，

　　　　　　　 源地址為172.17.1.3的UDP數據包被，新源地址202.169.20.1和新源端口好10241替換，

R1借用自身GE 0/0/0接口的公網IP地址為　　所有私網地址做NAT轉換，使用不同的端口號

來區分不同私網數據，，此方式不需要創建地址池，，大大節省了地址空間。

 

　　5.配置NAT Server

　　公司內Server提供FTP服務 供外網用戶訪問，配置NAT Server並使用公網IP地址202.169.10.6對外公布服務器地址，，然后開啟器NAT ALG功能。因為，對於封裝在IP數據報文中的應用層，協議報文，正常的NAT轉換會導致錯誤，在開啟某應用協議的NAT ALG功能后，，該應用層協議報文可以正常進行NAT轉換，否則該應用協議不能正常工作。

　　在R1的GE 0/0/0接口上，使用nat server命令定義內部服務器的映射表，，指定服務器通信協議類型為TCP，，配置服務器使用的公網IP地址為202.169.10.6，，服務器內網通信地址為172.16.1.3，指定端口為21，該常用端口號可以直接使用關鍵字“ftp”代替。

 

 　　配置完后，在R1上查看NAT Server信息

 

 可以看到，配置已經生效，現在我們去Sverver終端開啟，服務器的FTP功能

 

 設置完后，在R2上模擬，公網用戶訪問該私網服務器

 可以看到，公網用戶，可以成功登入公司內的私網FTP服務器。

 

思考：

　　什么情況下需要使用到NAT的雙向轉換？

　　當兩個私有網絡的IP地址相同（發生重疊），並又想能夠實現互相訪問時，就可以通過中間的設備部署雙向的nat轉換了。