記事ディレクトリ
序文
- 会社のオフィスネットワークはインターネットにアクセスする必要がありますが、プライベートネットワークアドレスをインターネットで使用することは許可されていないため、すべてのパブリックIPアドレスに高額の料金を支払う必要があり、多くの企業がATテクノロジーを使用してインターネットにアクセスします。
- この記事では、NATの原理と動作プロセスを学び、インターネットにアクセスするための社内ネットワークのさまざまなニーズを満たすためにHuaweiルーターでNATを構成する方法を習得します。
1.NATの概要
- ネットワークの発展に伴い、パブリックIPアドレスの需要は日々増加しています。
- パブリックIPアドレスの不足を軽減し、社内サーバーのプライベートネットワークアドレスを保護するために、ネットワークアドレス変換(NAT)テクノロジを使用して、プライベートネットワークアドレスをパブリックアドレスに変換し、パブリックネットワークIPの不足を軽減できます。また、内部サーバーのプライベートネットワークアドレスを非表示にすることができます
1.NATの概念
- NATは、内部ネットワークのプライベートIPアドレスを世界で唯一のパブリックIPアドレスに変換するため、内部ネットワークはインターネットなどの外部ネットワークに接続でき、さまざまな種類のインターネットアクセス方法やさまざまな種類のネットワークで広く使用されています。
- NATは、不十分なパブリックIPアドレスの問題を解決するだけでなく、内部ネットワークの詳細を隠し、ネットワーク外部からの攻撃を回避し、特定のセキュリティの役割を果たすことができます。
- NATの助けを借りて、プライベート予約アドレスを持つ内部ネットワークがルーターを介してデータパケットを送信すると、プライベートアドレスが有効なIPアドレスに変換されるため、ローカルエリアネットワークは、プライベートアドレスネットワークとインターネット内のすべてのコンピューターを実現するために少数(または1つ)のアドレスしか必要としません。コミュニケーションの必要性
2.パブリックネットワークアドレスとプライベートネットワークアドレス
- パブリックネットワークアドレス(以下、パブリックネットワークアドレスと呼びます)は、インターネット上でグローバルに一意のIPアドレスを指します。
- 2019年11月26日は人類のインターネットの時代の思い出に残る日です。世界中で43億近くのIPV4アドレスが使い果たされています
- プライベートネットワークアドレス(以下、プライベートネットワークアドレスといいます)とは、内部ネットワークまたはホストのIPアドレスを指します。IANA(Internet Number Allocation Agency)は、以下のIPアドレスをプライベートネットワークアドレスとして予約することを規定しています。これらはインターネット上で割り当てられず、企業で使用できます。または内部使用
- RFC1918で指定されているプライベートアドレスは次のとおりです。
クラスAプライベートアドレス:10.0.0.0〜10.255.255.255
クラスBプライベートアドレス:172.16.0.0〜172.31.255.255
クラスCプライベートアドレス:192.168.0.0〜192.168.255.255
3.NATのしくみ
- NATは、内部ネットワークアドレスとポート番号を有効なパブリックネットワークアドレスとポート番号に変換し、セッションを確立し、パブリックネットワークホストと通信するために使用されます。
- NATの外部のホストは、NATの内部のホストとアクティブに通信できません。NATの内部のホストが通信する場合は、パブリックネットワーク上のIPとアクティブに通信する必要があります。ルーターは、データ転送を実現するためのマッピング関係を確立する責任があります。
4.NAT機能
- ブロードバンド共有:これはNATホストの最大の機能です
- セキュリティ保護:NAT内のPCがインターネットに接続されている場合、表示されるIPはNATホストのパブリックIPです。すべてのクライアントPCには、ある程度のセキュリティがあります。外界がポートスキャン(ポートスキャン)を実行する場合、ソースクライアント側のPCを検出できません
5.NATの長所と短所
- 利点:パブリックリーガルIPアドレスの保存、アドレスの重複の処理、柔軟性の強化、およびセキュリティ
- 短所:待ち時間の増加、構成とメンテナンスの複雑さ、特定のアプリケーション(VPNなど)をサポートしない
6.静的NAT
- 静的NATは、プライベートネットワークアドレスとパブリックネットワークアドレス間の1対1の変換を実現します。プライベートネットワークアドレスと同じ数のパブリックネットワークアドレスを構成する必要があります。静的NATは、パブリックネットワークアドレスを保存できませんが、内部ネットワークを非表示にすることはできます。
- 内部ネットワークが外部ネットワークにメッセージを送信すると、静的NATはメッセージの送信元IPアドレスを対応するパブリックネットワークアドレスに置き換えます。外部ネットワークが内部ネットワークに応答メッセージを送信すると、NATはメッセージの宛先アドレスを対応するプライベートアドレスに置き換えます。
ルーターテーブル3の役割に対応
- ルーティングテーブル:データパケットは宛先IPを介して転送され、ルーティングテーブルをチェックします
- ACL:アクセス制御リスト、データパケットのフィルタリング、拒否、手放す
- NAT変換テーブル:送信元IPアドレスを内部ネットワークから外部ネットワークに変換し、宛先IPアドレスを外部ネットワークから内部ネットワークに変換します
2.NAT構成
1.静的NAT
- 静的NATは、プライベートネットワークアドレスとパブリックネットワークアドレス間の1対1の変換を実現します。プライベートネットワークアドレスと同じ数のパブリックネットワークアドレスを構成する必要があります。静的NATは、パブリックネットワークアドレスを保存できませんが、内部ネットワークを非表示にすることはできます。
- 内部ネットワークが外部ネットワークにメッセージを送信すると、静的NATはメッセージの送信元IPアドレスを対応するパブリックネットワークアドレスに置き換えます。外部ネットワークが内部ネットワークに応答メッセージを送信すると、静的NATはメッセージの宛先アドレスを対応するアドレスに置き換えます。プライベートネットワークアドレス
2つの構成方法があります。
- 最初のタイプ:
静的NATをグローバルモードに設定
[R1]nat static global 8.8.8.8 inside 192.168.10.10
[R1]int g0/0/1 ##外网口
[R1-GigabitEthernet0/0/1] nat static enable ###在网口上启动nat static enable功能
- 2番目のタイプ:
インターフェース上で直接natstaticを宣言します
[R1]int g0/0/1 ###外网口
[R1-GigabitEtherneto/0/1] nat static global 8.8.8.8 inside 192.168.10.10
[R1]dis nat static ###查看NAT静态配置信息
2.動的NAT
複数のプライベートIPアドレスは、アドレスプールの1対1のマッピングに基づいて、複数のパブリックIPアドレスに対応します。
- 外部ネットワークポートと内部ネットワークポートのIPアドレスを構成します
- 正当なIPアドレスプールを定義する
[R1] nat address-group 1 212.0.0.100 212.0.0.200 #新建一个名为1的nat地址池
- アクセス制御リストを定義する
[R1] acl 2000
###创建ACL,允许源地址为192.168.20.0/24网段和11.0.0.0/24的数据通过
[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[R1-acl-basic-2000] rule permit source 11.0.0.0 0.0.0.255
4.外部ネットワークポートで動的IPアドレス変換を設定します
[R1-acl-basic-2000]int g0/0/1 ###外网口
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat ###将ACL
2000匹配的数据转换为改接口的IP地址作为源地址(no pat不做端口转换,只做IP地址转换,默认为pat)
[R1] dis nat outbound ###查看NAT Outbound的信息
3.PATポートの多重化
- PATはNAPT(Network Address Port Translation)とも呼ばれ、パブリックネットワークアドレスと複数のプライベートネットワークアドレス間のマッピングを実装するため、パブリックネットワークアドレスを保存できます。
- PATの基本原則は、異なるプライベートネットワークアドレスを持つパケットの送信元IPアドレスを同じパブリックネットワークアドレスに変換することですが、それらはアドレスの異なるポート番号に変換されるため、同じアドレスを共有できます。
PATには次の機能があります。
- データパケットのIPアドレスとポート番号を変更します
- 多くのパブリックIPアドレスを保存できます
PATの種類は次のとおりです。
- NAPTおよびEasyIPを含む動的PAT
- NATサーバーを含む静的PAT
4.NAPT
複数のプライベートネットワークIPアドレスは固定外部ネットワークIPアドレス(200.1.1.10など)に対応し、構成方法は動的NATに似ています
- 外部ネットワークポートと内部ネットワークポートのIPアドレスを構成します
- 正当なIPアドレスプールを定義する
[R1]nat address-group 1 200.1.1.10 200.1.1.10 ##使用一个固定IP
- アクセス制御リストを定義する
|[R1]acl 2000
###允许源地址为192.168.30.0/24网段的数据通过
[R1-acl-adv-2000] rule permit source 192.168.30.0 0.0.0.255
- 外部ネットワークポートに1Pアドレス変換を設定する
[R1-acl-basic-2000]int g0/0/1 ###外网口
[R1-GigabitEthernet0/0/1] nat outbound 2000 address-group 1
5.簡単なIP
複数のプライベートネットワークIPアドレスは、外部ネットワークポートのパブリックネットワークIPアドレスに対応します(たとえば、12.0.0.1)。
- 外部ネットワークポートと内部ネットワークポートのIPアドレスを構成します
- 有効なIPアドレスプールを定義します。
外部ネットワークポートのIPアドレスを直接試すため、1Pアドレスプールを定義する必要はありません。 - アクセス制御リストを定義する
[R1] acl 3000 ##允许源地址为192.168.30.0/24网段的数据通过
[R1-acl-adv-3000]rule permit ip source 192.168.30.0 0.0.0.255
- 外部ネットワークポートにIPアドレス変換を設定する
[R1]int g0/0/1 ###外网口
[R1-GigabitEthernet0/0/1] nat outbound 3000
##当acl 3000匹配的源IP数据到达此接口时,转换为该接口的IP地址做为源地址
[R1] display nat session all ####查看NAT的流表信息
6.NATサーバー
ポートマッピング、プライベートネットワークアドレスポートのパブリックネットワークアドレスへのマッピング、および外部ネットワークユーザーがアクセスするための内部ネットワークサーバーの実現
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www ###在连接公网的接口上将私网服务器地址和公网地址做一对NAT映射绑定
[R1-GigabitEthernet0/0/1] nat server protocol tcp global current-interface 8080 inside 10.1.1.1 www
##在连接公网的接口上将私网服务器地址和外网接口做一对NAT映射绑定
[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 2121 inside 10.1.1.2 ftp
###端口为21可以直接使用关键字"ftp"代替
3.Huawei実験
1.トポロジー図
2.グローバルモードでNATを構成します
- R1
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R1
[R1]un in en
Info: Information center is disabled.
##配置各端口IP
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0]un sh
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 12.0.0.254 24
[R1-GigabitEthernet0/0/1]un sh
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.2.254 24
[R1-GigabitEthernet0/0/2]un sh
Info: Interface GigabitEthernet0/0/2 is not shutdown.
[R1-GigabitEthernet0/0/2]q
##全局模式下将私网地址配置8.8.8.8公网地址
[R1]nat static global 8.8.8.8 inside 192.168.1.1
[R1]di th
[R1]int g0/0/1
##在此端口上启用nat功能
[R1-GigabitEthernet0/0/1]nat static enable
3.動的NAT
複数のプライベートIPアドレスは、アドレスプールの1対1のマッピングに基づいて、複数のパブリックIPアドレスに対応します。
##因为我们这里基于上一个实验继续往下面做,所以需要先删除旧配置
[R1-GigabitEthernet0/0/1]undo nat static enable
[R1-GigabitEthernet0/0/1]q
[R1]un nat static global 8.8.8.8 inside 192.168.1.1
##配置nat公网地址池
[R1]nat address-group 1 12.0.0.100 12.0.0.200
#创建acl
[R1]acl 2000
##筛选部分私网地址,避免全部私网地址进入导致路由崩溃
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]q
[R1]int g0/0/1
##将nat功能配置至此端口中
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
[R1-GigabitEthernet0/0/1]di th
4.簡単なIP
複数のプライベートネットワークIPアドレスは、外部ネットワークポートのパブリックネットワークIPアドレスに対応します
##首先删除旧配置
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]un nat ou 2000 address-group 1 no-pat
##创建acl3000
[R1-GigabitEthernet0/0/1]acl 3000
##允许私网网段
[R1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255
[R1-acl-adv-3000]di th
[R1-acl-adv-3000]q
##进入配置端口
[R1]int g0/0/1
##将acl3000配置上端口
[R1-GigabitEthernet0/0/1]nat outbound 3000
[R1-GigabitEthernet0/0/1]q
##查看信息
[R1]dis nat session all
5.NATサーバー
ポートマッピング、プライベートネットワークアドレスポートをパブリックネットワークアドレスにマッピングして、外部ユーザーがアクセスできる内部ネットワークサーバーを実現します
[R1]int g0/0/0
[R1-GigabitEthernet0/0/1]un nat outbound 3000
[R1-GigabitEthernet0/0/1]di th
[R1-GigabitEthernet0/0/1]q
[R1]int g0/0/0
##在连接公网的接口上将私网服务器地址和外网接口做一对NAT映射绑定
[R1-GigabitEthernet0/0/0]nat server protocol tcp global current-interface 8080 i
nside 12.0.0.1 www
[R1-GigabitEthernet0/0/0]di th