NAT網絡地址轉換
地址轉換,私有地址轉換公網地址。為了節省IP地址,為了解決IPV4地址不夠用了的問題。 網絡安全,將私網信息隱藏在私網,不會暴露道公網上。
NAT一般部署在連接內網和外網的網關設備上。
NAT分為靜態和動態兩種類型
做實驗必須要用ensp中AR的路由器,不然nat不生效,這是ensp模擬器的bug
一、靜態NAT(一對一)
私有IP-公有IP 1對1,不節省IP地址。只是把內網ip轉換成外網的另一個公有ip進行訪問
global是公有地址, inside是私有地址
例:配置nat轉發,PC24可以通過ip 111.11.1.100訪問PC23、PC24通過訪問ip 111.11.1.200訪問PC25
第一種辦法:
1.配置接口IP
<Huawei>sys [Huawei]sysname AR7 [AR7]int g0/0/0 [AR7-GigabitEthernet0/0/0]ip add 192.168.1.1 24 [AR7-GigabitEthernet0/0/0]int g0/0/2 [AR7-GigabitEthernet0/0/2]ip add 192.168.2.1 24 [AR7-GigabitEthernet0/0/2]int g0/0/1 [AR7-GigabitEthernet0/0/1]ip add 111.11.1.1 24 [AR7-GigabitEthernet0/0/1]quit
2.配置 靜態NAT
[AR7]int g0/0/1 [AR7-GigabitEthernet0/0/1]nat static global 111.11.1.100 inside 192.168.1.2 [AR7-GigabitEthernet0/0/1]nat static global 111.11.1.200 inside 192.168.2.2
3.查看靜態NAT
[AR7-GigabitEthernet0/0/1]dis nat st Static Nat Information: Interface : GigabitEthernet0/0/1 Global IP/Port : 111.11.1.100/---- Inside IP/Port : 192.168.1.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Global IP/Port : 111.11.1.200/---- Inside IP/Port : 192.168.2.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Total : 2
第二種辦法:
1.配置接口IP
<Huawei>sys
[Huawei]sysname AR7
[AR7]int g0/0/0
[AR7-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[AR7-GigabitEthernet0/0/0]int g0/0/2
[AR7-GigabitEthernet0/0/2]ip add 192.168.2.1 24
[AR7-GigabitEthernet0/0/2]int g0/0/1
[AR7-GigabitEthernet0/0/1]ip add 111.11.1.1 24
[AR7-GigabitEthernet0/0/1]quit
2.配置 靜態NAT
[AR7]nat static global 111.11.1.100 inside 192.168.1.2 [AR7]nat static global 111.11.1.200 inside 192.168.2.2 [AR7]int g0/0/1 [AR7-GigabitEthernet0/0/1]nat static enable
現在從pc23 去ping pc24:111.11.1.2 進行抓包分析(路由器g0/0/2端口)
現在從pc25 去ping pc24:111.11.1.2 進行抓包分析(路由器g0/0/2端口)
二、動態NAT(Basic NAT)
內部網絡的私有IP地址轉換為公用IP地址時,IP地址是不確定的,
是隨機的,所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。
1、路由器基礎配置
[Huawei]int g0/0/2 [Huawei-GigabitEthernet0/0/2]ip add 111.11.1.1 24 [Huawei-GigabitEthernet0/0/2]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 24 [Huawei-GigabitEthernet0/0/0]int g0/0/1 [Huawei-GigabitEthernet0/0/1]ip add 192.168.2.1 24 [Huawei-GigabitEthernet0/0/1]quit
2、配置動態NAT
[Huawei]nat address-group 1 111.11.1.100 111.11.1.200 [Huawei]acl 2000 [Huawei-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 [Huawei-acl-basic-2000]rule 5 permit source 192.168.2.0 0.0.0.255 [Huawei-acl-basic-2000]quit
[Huawei]int g0/0/2 [Huawei-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 no-pat #no-pat 輸入no-pat后不轉換端口號
現在從pc8 去ping pc10:111.11.1.2 進行抓包分析(路由器g0/0/2端口)
三、Easy IP
- Easy IP 同時轉換IP地址和端口號,自動利用WAN口的公網地址與私網IP地址映射,無需創建公網地址池 其中,Easy IP方式特別適合小型局域網訪問Internet的情況。這里的小型局域網主要指中小型網吧、小型辦公室等環境,一般具有以下特點:內部主機較少、出接口通過撥號方式獲得臨時公網IP地址以供內部主機訪問Internet。對於這種情況,可以使用Easy IP方式使局域網用戶都通過這個IP地址接入Internet。
內網所有地址都通過Easy IP轉發成出接口的公網地址
類似於我們申請了一個公網固定的ip寬帶,局域 網所有的主機ip都通過這個公網ip訪問互聯網
IP地址如上圖中的配置,nat啟用在AR7的GE 0/0/2接口上。
1).配置接口IP
<Huawei>sys [Huawei]sysname AR7 [AR7]int g0/0/0 [AR7-GigabitEthernet0/0/0]ip add 192.168.1.1 24 [AR7-GigabitEthernet0/0/0]int g0/0/2 [AR7-GigabitEthernet0/0/2]ip add 192.168.2.1 24 [AR7-GigabitEthernet0/0/2]int g0/0/1 [AR7-GigabitEthernet0/0/1]ip add 111.11.1.1 24 [AR7-GigabitEthernet0/0/1]quit
2).建立acl規則
[AR7]acl 2000 [AR7-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 [AR7-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255 [AR7-acl-basic-2000]dis this [V200R003C00] # acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 rule 10 permit source 192.168.2.0 0.0.0.255
[AR7-acl-basic-2000]quit
3).在接口GE 0/0/1啟用nat
[AR7]int g0/0/1 [AR7-GigabitEthernet0/0/1]nat outbound 2000
4).使能ALG(Application Level Gateway)功能可以使NAT設備識別被封裝在報文數據部分的IP地址或端口信息,並根據映射表項進行替換,實現報文正常穿越NAT。目前設備的ALG功能所支持的協議包括:DNS、FTP、SIP、PPTP和RTSP。
[AR7]nat alg ALL enable
查看結果:
以上轉換方式為源地址轉換,即內容訪問互聯網時,把內網地址轉換成外網地址訪問互聯網