用于华为eNSP的网络地址转换NAT配置1、路由器R1和R2的接口地址配置1、R1路由器接口配置2、默认路由连接配置3、静态一对一映射NAT技术4、NAT Easy IP
网络地址转换网络地址转换(NAT )主要用于提供位于内部网络中的主机访问外部网络的功能。 局域网中的主机需要接入外部网络时,NAT技术可以将其私有地址转换为公共地址,然后多个私有用户共享一个公共地址连接到互联网这保证了网络的互操作性,确保了内部网的安全,还节约了公共地址。 NAT通常部署在连接内部网和外部网的网关设备上,通常是路由器或防火墙。 实施NAT有三种技术方法: NAT、Easy IP NAT和Server NAT。
企业和家庭使用的网络是专用网络,使用的是专用地址
私人地址:任何人都可以使用
A 10.0.0.0 /8
B 172.16.0.0-172.31.255.255
C192.168.0.0/16
运营商维护的网络是公用网络,使用共享地址,不能在公用网络上路由私有地址。
要设置ACL和NAT,请选择华为模拟器AR2220。
另一方面,构成路由器R1和R2的接口地址的(一)构成R1路由器接口system-view
[ rl ]接口gi0/0/0
[ rl -千兆以太网0/0/0 ] IP地址192.168.3.124 #配置接口IP地址
[ rl -千兆以太网0/0/0 ]说明添加LAN信息可以使管理员更容易管理
[ rl ]接口gi0/0/1
[ rl -千兆以太网0/0/1 ] IP地址12.1.1.129 # 29位掩码减少了公共地址浪费
[ rl -千兆以太网0/0/1 ]说明添加wan信息
[ rl -千兆以太网0/0/1 ] dis this
[V200R003C00]
接口千兆以太网0/0/1
说明到_ wan
IP地址12.1.1.1255.255.255.248
(二)配置R2路由器接口(R2 )接口gi0/0/0
[ R2 -千兆以太网0/0/0 ] IP地址12.1.1.629
[ R2 -千兆以太网0/0/0 ] dis this
[V200R003C00]
接口千兆以太网0/0/0
IP地址12.1.1.6255.255.255.248
返回
[ R2 ]配置接口loopback0#环回接口地址
[ R2-loopback0] IP地址9.9.9.924
二、构成默认路由连通网络的[ rl ] IP route-static0.0.0. 0012.1.1.6 #默认路由目标为任意外网,下一跳为12.1.1.6
三、静态一对一映射NAT技术静态NAT :静态NAT,一对一(一对一映射),一个专用网络地址对应一个公共地址,外网用户接入内网主机缺点是,如果有n个私有地址,则需要n个公用地址,这需要成本。
全球:全球公共网络地址; local:本地专用网络地址。
inside:内部网; outside:外联网。
配置在外网口
[ rl -千兆以太网0/0/1 ] natstaticglobal 12.1.1.2 inside 192.168.3.2
将192.168.3.2和12.1.1.2进行一对一映射转换
[ rl -千兆以太网0/0/1 ] dis this
[V200R003C00]
接口千兆以太网0/0/1
说明到_ wan
IP地址12.1.1.1255.255.255.248
natstaticglobal 12.1.1.2 inside 192.168.3.2 net mask 255.255.255.255
返回
实时查看disNATsessionprotocolicmp#NAT会话
四. NAT Easy IP技术
允许将多个私有地址转换为一个公共IP,企业通常使用Easy IP。
在路由器的出口处,如果acl首先被写为与内联网的专用网络地址段匹配,并且acl用于匹配范围,则默认情况下不是所有规则都是隐式允许的。
[Rl]acl 2000
[Rl-acl-basic-2000]rule permit?
fragment check fragment包
无第一标志检查程序块
源特定源地址
时间范围特殊a特殊时间
VPN-instancespecifyavpn-instance
pleasepressentertoexecutecommand
[ rl-ACL-basic-2000 ]规则性能源192.168.3.0.0.0.0.255
匹配对192.168.3.0网段的访问
[Rl-acl-basic-2000]dis this
[V200R003C00]
acl number 2000
规则5 permit source 192.168.3.0.0.0.255
返回
[ rl千兆以太网0/0/1 ] NAT outbound 2000
#2000是acl的表号,在intranet地址打包时被转换为公用网络接口gi0/0/1的当前IP地址12.1.1.1
PC标识的是序列号Sequence Numer。
五、Server NAT技术可以映射某个服务的端口,只提供端口服务,非常安全。
(一)与一台服务器对应的服务器NAT system-view
[ rl千兆以太网0/0/1 ] undonatoutbound 2000
#请取消上次NAT的easy IP配置
[ R2 ]接口loopback 0
[ R2-loopback0]还原IP地址9.9.9.924 #取消上一次环回接口的配置
[ R2 ]接口gi0/0/1
[ R2 -千兆以太网0/0/1 ] IP地址9.9.9.124 #客户端网关地址配置
[ rl -千兆以太网0/0/1 ] natserverprotocoltcpglobal 12.1.1.4 www inside 192。
将168.3.254 www #服务器上的80个端口映射到12.1.1.4,仅提供web访问服务,不提供ping服务。
服务器192.168.3.3的HTTP配置如图所示。
获取的数据表明HTTP连接成功,如图所示。
(二)支持多台服务器的服务器NAT
[ rl -千兆以太网0/0/1 ] undonatserverprotocoltcpglobal 12.1.1.4 www inside
取消192.168.3.254 www #之前配置的单个设备
[ rl千兆以太网0/0/1 ] natserverprotocoltcpglobal 12.1.1.44000 inside 192
. 168.3.254 3389 #依次配置以下远程设置
[ rl千兆以太网0/0/1 ] natserverprotocoltcpglobal 12.1.1.44001 inside 192
. 168.3.253 3389
[ rl千兆以太网0/0/1 ] natserverprotocoltcpglobal 12.1.1.44002 inside 192
. 168.3.252 3389
远程192、168.3.254上的主机可以连接如下