NAT网络地址转换
地址转换,私有地址转换公网地址。为了节省IP地址,为了解决IPV4地址不够用了的问题。 网络安全,将私网信息隐藏在私网,不会暴露道公网上。
NAT一般部署在连接内网和外网的网关设备上。
NAT分为静态和动态两种类型
一、静态NAT
私有IP-公有IP 1对1,不节省IP地址。只是把内网ip转换成外网的另一个公有ip进行访问
global是公有地址, inside是私有地址
例:配置nat转发,PC24可以通过ip 111.11.1.100访问PC23、PC24通过访问ip 111.11.1.200访问PC25
第一种办法:
1.配置接口IP
<Huawei>sys
[Huawei]sysname AR7
[AR7]int g0/0/0
[AR7-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[AR7-GigabitEthernet0/0/0]int g0/0/2
[AR7-GigabitEthernet0/0/2]ip add 192.168.2.1 24
[AR7-GigabitEthernet0/0/2]int g0/0/1
[AR7-GigabitEthernet0/0/1]ip add 111.11.1.1 24
[AR7-GigabitEthernet0/0/1]quit
2.配置 静态NAT
[AR7]int g0/0/1
[AR7-GigabitEthernet0/0/1]nat static global 111.11.1.100 inside 192.168.1.2
[AR7-GigabitEthernet0/0/1]nat static global 111.11.1.200 inside 192.168.2.2
3.查看静态NAT
[AR7-GigabitEthernet0/0/1]dis nat st
Static Nat Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 111.11.1.100/----
Inside IP/Port : 192.168.1.2/----
Protocol : ----
VPN instance-name : ----
Acl number : ----
Netmask : 255.255.255.255
Description : ----
Global IP/Port : 111.11.1.200/----
Inside IP/Port : 192.168.2.2/----
Protocol : ----
VPN instance-name : ----
Acl number : ----
Netmask : 255.255.255.255
Description : ----
Total : 2
第二种办法:
1.配置接口IP
<Huawei>sys
[Huawei]sysname AR7
[AR7]int g0/0/0
[AR7-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[AR7-GigabitEthernet0/0/0]int g0/0/2
[AR7-GigabitEthernet0/0/2]ip add 192.168.2.1 24
[AR7-GigabitEthernet0/0/2]int g0/0/1
[AR7-GigabitEthernet0/0/1]ip add 111.11.1.1 24
[AR7-GigabitEthernet0/0/1]quit
2.配置 静态NAT
[AR7]nat static global 111.11.1.100 inside 192.168.1.2
[AR7]nat static global 111.11.1.200 inside 192.168.2.2
[AR7]int g0/0/1
[AR7-GigabitEthernet0/0/1]nat static enable
二、动态NAT
动态NAT 分为Easy IP和NAPT
这两个的区别:
- NAPT 同时转换IP地址和端口号 一对多,需要创建公网地址池
- Easy IP 同时转换IP地址和端口号,自动利用WAN口的公网地址与私网IP地址映射,无需创建公网地址池 其中,Easy IP方式特别适合小型局域网访问Internet的情况。这里的小型局域网主要指中小型网吧、小型办公室等环境,一般具有以下特点:内部主机较少、出接口通过拨号方式获得临时公网IP地址以供内部主机访问Internet。对于这种情况,可以使用Easy IP方式使局域网用户都通过这个IP地址接入Internet。
1、Easy IP
IP地址如上图中的配置,nat启用在R1的GE 0/0/2接口上。
1).配置接口IP
<Huawei>sys
[Huawei]sysname AR7
[AR7]int g0/0/0
[AR7-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[AR7-GigabitEthernet0/0/0]int g0/0/2
[AR7-GigabitEthernet0/0/2]ip add 192.168.2.1 24
[AR7-GigabitEthernet0/0/2]int g0/0/1
[AR7-GigabitEthernet0/0/1]ip add 111.11.1.1 24
[AR7-GigabitEthernet0/0/1]quit
2).建立acl规则
[AR7]acl 2000 [AR7-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 [AR7-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255 [AR7-acl-basic-2000]dis this [V200R003C00] # acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 rule 10 permit source 192.168.2.0 0.0.0.255
[AR7-acl-basic-2000]quit
3).在接口GE 0/0/1启用nat
[AR7]int g0/0/1
[AR7-GigabitEthernet0/0/1]nat outbound 2000
4).使能ALG(Application Level Gateway)功能可以使NAT设备识别被封装在报文数据部分的IP地址或端口信息,并根据映射表项进行替换,实现报文正常穿越NAT。目前设备的ALG功能所支持的协议包括:DNS、FTP、SIP、PPTP和RTSP。
[AR7]nat alg ALL enable
查看结果:
2、NATP
使用napt需要建立nat地址池
1).配置接口IP
<Huawei>sys
[Huawei]sysname AR7
[AR7]int g0/0/0
[AR7-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[AR7-GigabitEthernet0/0/0]int g0/0/2
[AR7-GigabitEthernet0/0/2]ip add 192.168.2.1 24
[AR7-GigabitEthernet0/0/2]int g0/0/1
[AR7-GigabitEthernet0/0/1]ip add 111.11.1.1 24
[AR7-GigabitEthernet0/0/1]quit
2)配置NAT公网地址池
[AR7]nat address-group 1 10.0.0.2 10.0.0.3
3)查看NAT公网地址池
[AR7]dis nat address-group
NAT Address-Group Information:
--------------------------------------
Index Start-address End-address
--------------------------------------
1 10.0.0.2 10.0.0.3
--------------------------------------
Total : 1
4)建立ACL规则
[AR7]acl 2000
[AR7-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[AR7-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[AR7-acl-basic-2000]dis this
[V200R003C00]
#
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255
rule 10 permit source 192.168.2.0 0.0.0.255
[AR7-acl-basic-2000]quit
5)出口配置带公网地址池的NAT Outbound.
[AR7]int g0/0/1
[AR7-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
注意:在这一步nat outbound 2001 address-group 1 后面有个参数“NO-PAT”这个意思是不做端口转换,而如果是NAPT的话,NO-PAT是不配置的。建议不要配置NO-PAT,不然同一个进程只能使用一个IP地址。
再看看结果:
