ENSP配置NAT

本文轉載自查看原文 2019-12-12 18:40 3657

一、原理概述

早在20世紀90年代初，有關RFC文檔就提出了 IP地址耗盡的可能性。IPv6技術的提出雖然可以從根本上解決地址短缺的問題，但是也無法立刻替換現有成熟且廣泛應用的IPv4網絡。既然不能立即過渡到IPv6網絡,那么必須使用一些技術手段來延長IPv4的壽命，其中廣泛使用的技術之一就是網絡地址轉換（Network Address Translation, NAT）。NAT是將IP數據報文報頭中的IP地址轉換為另一個IP地址的過程，主要用於實現內部網絡（私有IP地址）訪問外部網絡（公有IP地址）的功能。

二、實驗場景

本實驗模擬企業網絡場景。R1是公司的出口網關路由器，公司內員工和服務器都通過交換機S1或 S2連接到R1上，R2模擬外網設備與R1直連。由於公司內網都使用私網IP地址，為了實現公司內部分員工可以訪問外網，服務器可以供外網用戶訪問，網絡管理員需要在路由器R1上配置NAT：使用靜態NAT和 NAT Outbound 技術使部分員工可以訪問外網，使用NAT Server技術使服務器可以供外網用戶訪問。

三、實驗拓撲

四、實驗編址

五、開始實驗

公司在網關路由器R1上配置訪問外網的默認路由。

配置靜態NAT

由於內網使用的都是私有1P地址，員工無法直接訪問公網。現需要在網關路由器R1上配置NAT地址轉換，將私網地址轉換為公網地址。

（存在的問題：Ensp中路由器的選擇，Router類型的不支持NAT，選擇AR類型的就行了）

配置完成后，在 R1上查看NAT靜態配置信息，並在PC1上使用ping命令測試與外網的連通性。

可以觀察到，PC1通過靜態NAT地址轉換己經可以成功訪問外網。在路由器R1的GE 0/0/0接口上抓包查看NAT地址轉換是否成功，結果如圖所示。

可以觀察到R 1已經成功把來自PC1的ICMP報文的源地址172.16.1.1轉換成公網地址202.169.10.5。

在R2上使用環回口 Loopback 0 模擬外網用戶訪問PC1並在PC1的E 0/0/1接口上抓包觀察

可以觀察到由於PC1的私網地址被轉換為唯一的公網地址，外網用戶也能主動訪問 PC1,旦數據包在經過R 1 進入內網的時候，R1把目的 IP 轉換為與公網地址202.169.10.5對應的私網地址172.16.1.1發給PC1。

配置動態NAT

公司內市場部的員工都需要能夠訪問外網。市場部使用私網IP地址172.17.1.0/24網段，網絡管理員使用公網地址池202.169.10.50〜202.169.10.60為市場部員工做NAT轉換。

在 R1上使用nat addres-group命令配置NAT地址池，設置起始和結束地址分別為202.169.10.50和 202.169.10.60。

配置acl控制，rule 5是以5為間隔設置規則

使用PC-2測試與外網的連通性，並在 R1的接口 GE 0/0/0上抓包觀察地址轉換情況

可以看到來自PC2的1CMP數據包在 R1的GE 0/0/0接口上源地址172.17.1.2被替換為地址池中第一個地址202.169.10.57，且一直在動態變化。

配置 NAT Easy-IP

由於公司發展人員擴招，若繼續使用多對多的NAT轉換方式，就必須增加公網地址池的地址數。為了節約公網地址，網絡管理員使用多對一的Easy-IP轉換方式實現市場部員工訪問外網的需求。
Easy-IP是NAPT的一種方式，直接借用路由器出接口 IP 地址作為公網地址，將不同的內部地址映射到同一公有地址的不同端口號上，實現多對一地址轉換。配置路由器R 1的GE 0/0/0接口為Easy-IP接口。

在 R1的GE 0/0/0接口上刪除NAT Outbound配置，並使用nat outbound命令配置Easy-IP特性，直接使用接口 IP地址作為NAT轉換后的地址。