NAT配置

时间:2024-05-31 08:58:15

静态NAT

1.在AR1的g0/0/1上配置静态NAT,使得私网的PC1能和公网的PC 2通信
NAT配置

步骤:
AR1:
1)配置g0/0/0的ip,并在该端口开启dhcp接口地址池
2)配置g0/0/1的ip,并在接口视图下开启静态NAT功能,然后配置静态NAT

AR2:
1)配置g0/0/0的ip
2)配置g0/0/1的ip,并在该端口开启dhcp接口地址池

实验须知:
⦁ 必须要在接口视图开启静态nat功能
⦁ nat static global { global-address} inside {host-address } 命令用于创建静态NAT。
global参数用于配置外部公网地址。
inside参数用于配置内部私有地址。
⦁ 命令display nat static用于查看静态NAT的配置。

AR1的配置:
[Huawei]dhcp enable
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.0.254 24
[Huawei-GigabitEthernet0/0/0]dhcp select int
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 2.2.2.1 24
[Huawei-GigabitEthernet0/0/1]nat static enable //开启静态nat功能
[Huawei-GigabitEthernet0/0/1]nat static global 2.2.2.3 inside 192.168.0.253 //配置的公网地址必须要和接口1处于同一个网段
[Huawei-GigabitEthernet0/0/1]q
[Huawei]dis nat static

NAT配置

AR2的配置:
[Huawei]dhcp enable
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 2.2.2.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 3.3.3.254 24
[Huawei-GigabitEthernet0/0/1]dhcp select int

测试:
PC 1 ping PC 2:
NAT配置

在AR1的g0/0/1口进行抓包,可以看到源地址为192.168.0.253的icmp报文变为了源地址为2.2.2.3的icmp报文
NAT配置

动态NAT

1.在AR1的g0/0/1上配置动态NAT,使得私网的PC能和公网的PC通信
NAT配置

实验须知:
⦁ nat address-group 1 //该命令用来创建NAT地址池。本实例中,指的是创建地址池1
⦁ nat outbound 2000 address-group 1 no-pat //该命令用来将一个访问控制列表ACL和一个地址池关联起来,表示ACL中规定的地址可以使用地址池进行地址转换。ACL用于指定一个规则,用来过滤特定流量。本示例中使用nat outbound命令将ACL 2000与地址池1(address-group 1)中的地址关联起来。no-pat表示只转换数据报文的地址而不转换端口信息。
⦁ display nat address-group 1 //该命令用来查看NAT地址池配置信息。本实例中,指的是查看地址池1
⦁ 命令display nat outbound用来查看动态NAT配置信息。

AR1的配置:
[Huawei]dhcp enable
[Huawei]nat address-group 1 2.2.2.3 2.2.2.5 //创建地址池
[AR1]acl 2000 //配置acl,和动态NAT配合使用
[AR1-acl-basic-2000]rule 5 permit source 192.168.0.0 0.0.0.255 //允许192.168.0.0网段通过
[Huawei-acl-basic-2000]q
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.0.254 24
[Huawei-GigabitEthernet0/0/0]dhcp select int
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 2.2.2.1 24
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat //这条命令表示不带端口转化,可以使用命令nat outbound 2000 address-group 1 (带端口转化,即NAPT或PAT)替换
[Huawei-GigabitEthernet0/0/1]q
[Huawei]dis nat address-group
NAT配置

[Huawei]dis nat outbound
NAT配置
AR2的配置:
[Huawei]dhcp enable
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 2.2.2.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 3.3.3.254 24
[Huawei-GigabitEthernet0/0/1]dhcp select int

测试:
PC 1 ping PC 2:
NAT配置

在AR1的g0/0/1接口抓包结果如下:
NAT配置
2.Easy IP的配置(Easy IP是在华为设备上的叫法,是动态NAT的一种特例,内网主机利用路由器出口的公网地址进行NAT转换,从而实现与外网通信)

NAT配置

实验须知:

⦁ nat outbound 2000 //该命令用来配置Easy-IP地址转换。Easy IP的配置与动态NAT的配置类似,需要定义ACL和nat outbound命令,主要区别是Easy IP不需要配置地址池,所以nat outbound命令中不需要配置参数address-group。在本示例中,命令nat outbound 2000表示对ACL 2000定义的地址段进行地址转换,并且直接使用私网出口的IP地址作为NAT转换后的地址。

AR1的配置:
[Huawei]dhcp enable
[AR1]acl 2000 //创建acl
[AR1-acl-basic-2000]rule 5 permit source 192.168.0.0 0.0.0.255 //允许192.168.0.0网段通过
[Huawei-acl-basic-2000]q
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.0.254 24
[Huawei-GigabitEthernet0/0/0]dhcp select int
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 2.2.2.1 24
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 //与动态NAT命令相似
[Huawei-GigabitEthernet0/0/1]q
[AR1]dis nat outbound

NAT配置

AR2的配置:
[Huawei]dhcp enable
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 2.2.2.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 3.3.3.254 24
[Huawei-GigabitEthernet0/0/1]dhcp select int

测试:

PC 1 ping PC 2:
NAT配置

在AR1的g0/0/1接口抓包结果如下:
NAT配置

NAT服务器的配置

1.通过配置使得处于外网的Client 1能够访问处于私网的Server 1
NAT配置

实验须知:
⦁ nat server [ protocol {protocol-number | icmp | tcp | udp} global { global-address | current-interface global-port} inside {host-address host-port } v*n-instance v*n-instance-name acl acl-number description description ]命令用来定义一个内部服务器的映射表,外部用户可以通过公网地址和端口来访问内部服务器。
参数protocol指定一个需要地址转换的协议;
参数global-address指定需要转换的公网地址;
参数inside指定内网服务器的地址。
⦁ display nat server命令用于查看详细的NAT服务器配置结果。

AR1 的配置:

[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.0.2 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 2.2.2.1 24
[AR1-GigabitEthernet0/0/1]q
[AR1]ip route-static 3.3.3.0 255.255.255.0 g0/0/1 2.2.2.2
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat server protocol tcp global 2.2.2.3 8080 inside 192.168.0.1 80 //若想使用公网的出口ip地址作为需要转换的公网地址,可以使用命令nat server protocol tcp global current-interface 8080 inside 192.168.0.1 80

AR2的配置:
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 2.2.2.2 24
[Huawei-GigabitEthernet0/0/1]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 3.3.3.1 24

测试:
NAT配置

1.在做NAT服务器的过程中,配置完AR1和AR2后,但还是无法使得client 1访问server 1。并且我反复检查AR1和AR2的配置,都没有发现问题,后来我在私网中添加一台新的client 2,结果发现这台client 2也无法访问server 1,最后我去检查server 1,发现居然是因为我没有开启server 1
2.在配置命令gnat server protocol tcp global 2.2.2.3 8080 inside 192.168.0.1 80时,一开始搞不懂端口该怎样设置,也用了很长时间去弄懂。global 2.2.2.3 8080的8080代表主机去访问私网服务器时,访问的地址应该为2.2.2.3:8080,这就相当于访问内网服务器ip为192.168.0.1的80端口
3.NAT服务器和静态NAT很相似,它们的主要区别为:NAT服务器是将报文的目的ip地址转换成一个私有地址,而动态NAT则是把报文的源ip地址转换成一个公网地址。