大型企业网络构建之动态NAT、静态NAT和华为NAT

动态NAT、静态NAT和华为NAT
一、NAT概述
1、(network address translation )网络地址转换。
2、NAT的工作过程:
NAT设备收到内网的数据包以后,
1、首先查看本地是否有去往数据包目地地址的路由;
2、再次查看本地设备是否存在对应的nat转换条目;
-- 如果有,则进行地质转换,然后发送出去;
-- 如果无,则不进行地质转换,然后发送出去。
3、静态NAT:
私有-公有 1:1,不节省IP地址;
4、配置静态NAT:
1、给R1(即内部最末端的路由器)配置一个去往运营商的缺省路由
[R1]Ip route-static 0.0.0.0 0.0.0.0 100.1.12.2
2、在R1(即内部最末端的路由器)上创建“静态NAT转换条目”
[R1] nat static global 100.1.12.3 inside 192.168.1.1 可以创建多条
3、在R1(即内部最末端的路由器)上数据包的出端口,启用“静态NAT”功能
[R1]interface gi0/0/1
[R1-gi0/0/1] nat static enable
5、动态NAT:不节省IP地址,不做细致讲解
私有-公有 1:1,不节省IP地址;
6、PAT/PNAT/NAT-Port/端口复用/端口NAT/ port NAT
私有-公有 多:1,节省IP地址;
7、配置思路
1、搭建拓扑图,给终端设备和服务器配置IP地址和网关
2、给各路由器各端口配置IP地址
3、配置终端路由器到运营商服务器的默认路由
4、在终端路由器的出口或者入口配置ACL,无需在接口下调用
5、在终端路由器的出口上配置动态NAT(即在出口上调用ACL)
8、配置命令:
1、定义感兴趣的流量,即创建ACL
[R1] acl 2000
[R1-acl-basic-2000] rule 5 permit source 192.168.1.1 0.0.0.0
2、在出端口上调用 NAT 命令
[R1]interface gi0/0/1
[R1-gi0/0/1] nat outbound + ACL的号码
-->在改端口发送出去的数据包,如果被 acl 2000 匹配,并且执行 permit 动作,
则对这些数据的 源IP地址进行 NAT 转换,转换成该接口的 公网IP 地址;
注意:
在 NAT 中调用的 ACL与在接口上调用的 ACL ,稍有不同:
NAT中调用的ACL的最后一个隐含的默认动作是 --- 拒绝所有;
接口上调用的ACL的最后一个隐含的默认动作是 --- 允许所有;
案例1:
-环境
内网有2台主机,PC-1/2,IP:192.168.1./24 和 192.168.1.2/24
网关IP:192.168.1.254
公司购买的公网IP地址:100.1.12.1/24 和 100.1.12.3/24

-要求:
PC-1可以访问外网的服务器:200.1.1.2/24
并测试 PC-2 是否可以访问外网的服务器
-配置:
1、配置PC-1,PC-2以及 网关设备的 IP 地址信息
2、配置网关去往外网的路由 -- 默认路由
[R1] ip route-static 0.0.0.0 0.0.0.0 100.1.12.2
3、在网关设备上配置 静态 NAT :
[R1] nat static global 100.1.12.3 inside 192.168.1.1
[R1] interface gi0/0/1
[R1-gi0/0/1] nat static enable
4、测试
PC-1:
ping 200.1.1.2 ,OK ;
PC-2:
ping 200.1.1.2 ,不通;因为没有进行 NAT 转换。
-结论:
静态 NAT 中,私有地址与公有地址的关系是:1:1 , 不节省IP地址;
静态 NAT 需要在 数据包的出接口 “启用”,才能实现数据互通。

-优化方案:
使用“PNAT”,即端口 NAT ,来替换原来的“静态NAT”。
配置思路如下:

创建感兴趣流量 -- 通过 ACL 实现;

            acl 2000
               rule 5  permit source 192.168.1.1  0.0.0.0 

                &&以上的 ACL 条目仅仅能匹配 PC-1 发送的数据包,
                  然后进行 NAT 转换,从而实现 PC-1 可以访问外网;
       # 创建 NAT 转换条目
            interface gi0/0/1
               nat outbound 2000 

                && 通过该接口发送出去的数据,都要经过 ACL 2000 的检查,
                   能被 ACL 匹配,并且执行 permit 动作的,则进行 NAT
                   转换,即最终可以实现上网。此案例中,PC-1可以上网,
                   PC-2不可以。

                   如果想实验 PC-2 上网,则必须修改 ACL 2000 的配置,
                   如下:
                      acl 2000
                         rule 5 permit 192.168.1.0  0.0.0.255

案例2:
-- 环境
内网有一台 web 服务器,IP:192.168.1.8/24 ,使用的默认端口;
内网有2台主机,PC-1/2,IP:192.168.1.1/24、192.168.1.2/24
网关IP:192.168.1.254/24
公司购买了2个公网IP地址:100.1.12.1/24 100.1.12.3/24
-- 要求
PC-1可以访问外网的服务器(200.1.1.1/24)
PC-2不可以访问外网
外网的 http-client 可以直接通过外网IP的 8080 访问到内部的 web服务器;(100.1.12.3/24)
-- 配置步骤
1、PC-1/2/Web-server 配置好对应的IP地址和网关IP地址;
给PC机和Web-server配置好IP地址和网关IP地址
2、配置网关设备 R1 的出现路由 --- 默认路由
<R1>system-view
[R1]ip route-static 0.0.0.0 0.0.0.0 100.1.12.2
3、配置好 模拟器的 ISP 端的设备
4、配置路由器R1、R2的各端口配置相应的IP地址
<Huawei>system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 100.1.12.1 24

<Huawei>system-view
[Huawei]sysname R2
[R2]interface GigabitEthernet 0/0/1
[R2-GigabitEthernet0/0/1]ip address 100.1.12.2 24
[R2]interface GigabitEthernet 0/0/2
[R2-GigabitEthernet0/0/2]ip address 200.1.1.254 24
5、在边界设备上配置 - NAT
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.1 0.0.0.0
[R1-acl-basic-2000]rule 10 permit source 192.168.1.2 0.0.0.0
6、在数据包的出端口配置 NAT ,实现 PNAT
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000
7、NAT-Server (端口映射)
在数据包的出端口上配置
[R1]interface GigabitEthernet 0/0/1 (公司所购买的公网段内IP地址除了两端的IP地址)
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 100.1.12.3 8080
inside 192.168.1.8 80
8、在桌面上新建一个文本文档,文件书写格式如下: (Server的IP + 端口号)
<html><head><title> + 内容 </title></head></html>写完之后(保存在一个文件夹里)另存为
随便取一个名字 + 后缀是.html
保存类型选所有文件
9、打开Server1,选择HttpServer --- 选择保存Html文件的文件夹 -- 启动
10、打开Client --- 客户端信息 -- 输入http://100.1.12.10:8080 -- 获取 就可以了

原文地址:http://blog.51cto.com/13700952/2119275

时间: 2024-11-05 14:37:12

大型企业网络构建之动态NAT、静态NAT和华为NAT的相关文章

大型企业网络构建之网关冗余

大型企业网络构建之网关冗余一.HSRP原理1.HSRP(Hot Standby Routing Protocol)热备份路由选择协议,是cisco的私有协议.HSRP 运行在UDP上,采用端口号1985.2.热备份原理:该协议中含有多台路由器,对应一个HSRP组-- 活动路由器:该组中只有一个路由器承担转发用户流量的职责:-- 备份路由器:当活动路由器失效后,备份路由器将承担该职责,成为新的活动路由器.-- 虚拟路由器:3.HSRP优先级HSRP协议利用一个优先级来决定哪个配置了HSRP协议的路

大型企业网络构建——OSPF路由原理详解(一)

**OSPF的基本概念:** OSPF区域:为了适应大型网络,OSPF在AS内划分多个区域, 每个OSPF 路由器只维护所在区域的完整链路状态信息. 区域ID:可以表示成一个十进制的数字,也可以表示成一个IP. 骨干区域的Area 0:负责区域间路由信息的和传播 非骨干区域:必须通过骨干区域0 才能通信. **OSPF的工作原理:** 1. 建立邻居表 a) 链路互通 b) 正常发送报文--确保启用了OSPF,报文比较(hello) 2. 同步数据库(邻居的状态如果是 full ,就表示数据库同

大型企业网络构建(二)——高级OSPF&amp;虚链路应用

OSPF的高级 链路状态常见通告(LSA)类型 AS区域允许泛洪的LSA OSPF路由汇总(LSA汇总) (1)3类LSA的汇总:在产生这个 LSA 的 ABR 上 仅仅对一个区域的出向 LSA 起作用 仅仅对一个区域的内部的路由起作用 配置命令:area 1--abr-summary (汇总地址) (2)5类LSA的汇总 产生5类LSA 的 ASBR 上配置 配置命令:area 2--asbr-summary ip addrss mask (3)注:我们需要在配置汇总路由的路由器上,关注 本地

ubuntn 虚拟机NAT 静态IP 网络配置

在虚拟机安装ubuntu12.04自动获取IP 一切都没有问题 ssh连接也正常.关机重启后郁闷的发现网络已经不通了,于是开始了以下的摸索. 1.配置静态IP 网关: ip段: 命令: Vim /etc/network/interface auto lo iface lo inet loopback auto eth0 # Assgin static IP by eric on 26-SEP-2012 iface eth0 inet static address 192.168.91.200 #

NAT(PNAT)华为版静态及动态配置PNAT

前言: 1.NAT是为了私有地址和公有地址出现的,私有地址和公有地址是为了节省IP地址出现的: (所以,实验中不考虑IP地址的节约问题:但是,在实际生活中,IP地址一个月一千多,所以我们得考虑子网划分) 2.另:NAT的最终目的是将数据包中的私有地址转换位公有地址 3.华为NAT (分类与思科完全相同) 静态NAT :私有地址与公有地址是 1:1 ,不节省IP地址: 动态NAT :私有地址与公有地址是 多:1 , 节省IP地址: -普通"动态NAT" -PAT/PNAT/NAPT/端口

虚拟机vmware,NAT静态IP配置和接入互联网

虽然网上有很多关于虚拟机vmware配置静态IP的文章,但是笔者还是要在这里写一下关于NAT下配置静态IP的心得,笔者可是在吃了大亏的情况下总结出来的. 首先正如大家都知道的首先要设置虚拟机的网络适配器的模式为NAT模式,如下图: 紧接着是这个过程中比较关键的部分了,那就是通过"编辑"-->"虚拟网络编辑器",查看NAT的虚拟网卡的配置信息,其中对于配置静态IP的部分特别重要的是要观察DHCP设置中的IP的区域,NAT静态IP的配置应该在该IP地址之间,一定要

NAT静态路由内网访问外网(华为)

1,实验名称:NAT静态路由内网访问外网(华为)2,实验目的:将私有地址转换为合法的IP地址,并解决IP地址不足的问题,而且还能有效的避免来自网络外的攻击.让内网可以访问外网,而外网不可以访问内网,起到内网安全保护数据的作用:3,实验拓扑: ,配置环境:① 先准备环境 2台PC机 1台交换机4台路由器② 先将PC机配置IP地址及子网掩码和网关(网关配置在路由器R1与交换机端口)③ 在路由器R1->R2端口配置不同网段IP:R1->R2->R3共两个不同网段④ 在R1->PC上的不同

NAT静态网络地址转换

NAT静态网络地址转换第一个实验,静态网络地址转换.原理:将内部网络的私有IP地址转换为公用合法的IP地址,IP地址的对应关系是一对一的,而且是不变的,即某个私有IP地址只转换为某个固定的合法的外部IP地址.借助于静态转换,能实现外部网络对内部网络中某些特定设备(服务器)的访问.实验目的:把两台C1和C2主机的私有IP地址的分别转换为公用合法的IP地址并进行测试转换结果. 实验步骤:1.给sw二层交换机配置为全双工模式且关闭他的路由功能2.为R1路由器的两个端口配置IP并在f0/0的端口 上开启

路由的几个基本概念-直连路由/网关路由/主机路由/网络路由/动态路由/静态路由/默认路由

1.动态路由/静态路由 动态路由 路由选择器自动共享路由信息 自动构造路由表,需要一个路由协议,如RIP或OSPF 静态路由 路由选择器不共享路由信息(单方向路由) 手工构造路由表 2.直连路由/网关路由(间接路由) 其区别在于,发往直连路由的设备中不但具有指明目的端的I P地址,还具有其mac地址. 当报文被发往一个间接路由时,I P地址指明的是最终的目的地,但是mac地址指明的是网关(即下一跳路由器). 3.主机路由/网络路由 直连路由和网关路由是由下一跳区分的,而主机路由和网络路由是由目的