NAT
ネットワークスイッチングテクノロジー
序章
Nat はネットワークアドレス変換技術ですが、端的に言えば IPv4 アドレスだけでは足りないので、これを解決するために登場した技術です。Nat は主に、内部ネットワークが外部ネットワークにアクセスできるようにするために使用されます。これは、192.168.1.1 などのプライベート ネットワーク アドレスがパブリック ネットワーク アドレスにアクセスすると、パブリック ネットワーク アドレスに到達するとデータが返されないためです。
1. 静的 NAT
特徴:
- 各プライベート アドレスには対応する固定のパブリック アドレスがあり、プライベート アドレスとパブリック アドレスの対応関係は 1:1 マッピングです。
- 双方向相互アクセスをサポートルーティングデバイスNATによりプライベートアドレスアクセスを変換した後、データの送信元IPアドレスをマッピングされたパブリックアドレスに変換し、同時にデータがパブリックアドレスからプライベートアドレスに戻る際に変換します。データがルーティング デバイスを通過すると、対応するマッピング関係のパブリック アドレスがマッピング関係のプライベート アドレスに変換されます。
つまり、静的 NAT は、パブリック ネットワーク アドレスとプライベート ネットワーク アドレス間の 1:1 マッピング関係です。
場合:
図の IP アドレスが優先されます。
- 各インターフェースのIPアドレスとマスクを設定します。
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip ad 12.0.0.99 24
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip ad 12.0.0.100 24
[R2-GigabitEthernet0/0/0]int g0/0/1
[R2-GigabitEthernet0/0/1]ip ad 200.1.1.254 24
- R1 にデフォルト ルートと静的 Nat を追加する
[R1]ip route-static 0.0.0.0 0 12.0.0.100
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat static global 12.0.0.1 inside 192.168.1.1
- プライベート ネットワークのネットワーク データが正しい出口を見つけられるようにするには、デフォルト ルートを追加する必要があることに注意してください。nat が設定されている場合、インターフェイス上でパブリック ネットワーク アドレスを設定しないでください。インターフェイス上で、または直接設定できます。
nat static global 公网ip inside 私网ip
システム ビューで設定しますが、インターフェイス上で有効にする必要があるためnat static enable
、インターフェイス上で直接設定することをお勧めします。
このとき、PC1 の 192.168.1.1 はパブリック ネットワーク アドレスの 200.1.1.1 に ping を送信できます。
nat static global 公网ip inside 私网ip
nat static enable
2. ダイナミックNAT
静的 NAT は、パブリック ネットワークの IP とプライベート ネットワークの IP を 1:1 にマッピングしますが、毎回マッピングを設定するのは面倒なので、プライベート ネットワークがパブリック ネットワークにアクセスする必要があるたびに、パブリック ネットワークのアドレス プールを直接使用できます。 network , ルーティングデバイスからの外出時に使用するパブリックネットワークIPがアドレスプールから割り当てられるため、面倒な設定は必要ありません。
- まず、アドレス プール を作成します
nat address-group 地址池编号 公网ip起始地址 公网ip终止地址
。たとえば、nat address-group 1 12.1.2.1 12.1.2.10
12.1.2.1 ~ 12.1.2.10 の範囲のアドレス、合計 10 個のパブリック ネットワーク アドレスを持つ、番号 1 の nat アドレス プールを作成します。 - 動的 nat を使用してプライベート ネットワーク アドレスを許可するように ACL ルールを構成します。
nat number 2000
rule permit source 192.168.1.0 24
rule permit source ip地址 掩码
- ここでのインターフェイスでのアウトバウンド no-pat の設定とは、
nat outbound acl-number address-group-number [no-pat]
nat outbound 2000 1 no-pat
ポート変換を使用しないことを指します。
以下に例を示します。
[Huawei]ip route-static 0.0.0.0 0 12.0.0.100
[Huawei]nat address-group 0 12.0.0.1 12.0.0.10
[Huawei]acl number 2000
[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 0 no-pat
IP アドレスは図 1 とほぼ同じです。ご自身で確認してください。このコマンドには、最も重要な手順のみがリストされています。結果は以下の通りです。