NAT - Tradução de Endereço de Rede - Teoria e Comando Básico - Experiência Huawei

---

Prefácio

• A rede do escritório da empresa precisa acessar a Internet, mas como o endereço da rede privada não pode ser usado na Internet, todos os endereços IP públicos precisam pagar uma taxa alta, então muitas empresas usam a tecnologia AT para acessar a Internet
• Por meio deste artigo, aprenderemos o princípio e o processo de trabalho do NAT, e aprenderemos como configurar o NAT nos roteadores Huawei para realizar as várias necessidades da rede interna da empresa para acessar a Internet.

---

1. Visão geral do NAT

• Com o desenvolvimento da rede, a demanda por endereços IP públicos está aumentando dia a dia
• A fim de aliviar a escassez de endereços IP públicos e proteger os endereços de rede privada dos servidores internos da empresa, a tecnologia Network Address Translation (NAT) pode ser usada para converter endereços de rede privada em endereços públicos para aliviar a escassez de IP de rede pública. E pode ocultar o endereço de rede privada do servidor interno

1. O conceito de NAT

• O NAT traduz o endereço IP privado da rede interna no único endereço IP público do mundo, para que a rede interna possa ser conectada a redes externas, como a Internet, e é amplamente utilizado em vários tipos de métodos de acesso à Internet e vários tipos de redes
• O NAT não só resolve o problema de endereços IP públicos insuficientes, mas também oculta os detalhes da rede interna, evita ataques de fora da rede e pode desempenhar um certo papel de segurança
• Com a ajuda do NAT, quando a rede interna com endereços privados reservados envia pacotes de dados através do roteador, o endereço privado é convertido em um endereço IP legal, de modo que uma rede local só precisa de um pequeno número de endereços (ou mesmo um) para realizar todos os computadores da rede de endereços privados e da Internet Necessidades de comunicação

2. Endereço de rede pública e endereço de rede privada

• Endereço de rede pública (doravante denominado endereço de rede pública) refere-se ao endereço IP exclusivo globalmente na Internet
• 26 de novembro de 2019 é um dia memorável na era da Internet da humanidade. Quase 4,3 bilhões de endereços IPV4 em todo o mundo estão esgotados
• O endereço de rede privada (doravante denominado endereço de rede privada) refere-se ao endereço IP da rede interna ou host. A IANA (Internet Number Allocation Agency) estipula que os seguintes endereços IP são reservados como endereços de rede privada. Eles não são alocados na Internet e podem ser usados ​​em uma empresa. Ou uso interno
• Os endereços privados especificados em RFC1918 são os seguintes:
  Endereço privado de classe A: 10.0.0.0 ~ 10.255.255.255
  Endereço privado de classe B: 172.16.0.0 ~ 172.31.255.255
  Endereço privado de classe C: 192.168.0.0 ~ 192.168.255.255

3. Como funciona o NAT

1. O NAT é usado para converter o endereço da rede interna e o número da porta em um endereço de rede pública legal e número da porta, estabelecer uma sessão e se comunicar com o host da rede pública
2. O host fora do NAT não pode se comunicar ativamente com o host dentro do NAT. Se o host dentro do NAT deseja se comunicar, ele deve se comunicar ativamente com um IP na rede pública. O roteador é responsável por estabelecer uma relação de mapeamento para realizar o encaminhamento de dados.

4. Função NAT

1. Compartilhamento de banda larga: esta é a maior função do host NAT
2. Proteção de segurança: Quando o PC no NAT está conectado à Internet, o IP exibido é o IP público do host NAT. Todos os PCs clientes têm um certo grau de segurança. Quando o mundo externo realiza varredura de porta (varredura de porta), O PC no lado do cliente de origem não pode ser detectado

5. Vantagens e desvantagens do NAT

• Vantagens: salvar endereços IP legais públicos, lidar com a sobreposição de endereços, aumentar a flexibilidade e a segurança
• Desvantagens: maior latência, complexidade de configuração e manutenção e não oferece suporte a determinados aplicativos (como VPN)

6. NAT estático

• O NAT estático realiza a conversão um-para-um entre endereços de rede privada e endereços de rede pública. Você precisa configurar tantos endereços de rede pública quantos endereços de rede privada. O NAT estático não pode salvar endereços de rede pública, mas pode ocultar a rede interna.
• Quando a rede interna envia uma mensagem para a rede externa, o NAT estático substitui o endereço IP de origem da mensagem pelo endereço de rede pública correspondente; quando a rede externa envia uma mensagem de resposta para a rede interna, o NAT substitui o endereço de destino da mensagem pelo endereço privado correspondente aborda
  
  o papel do roteador tabela 3

1. Tabela de roteamento: os pacotes de dados são encaminhados através do IP de destino para verificar a tabela de roteamento
2. ACL: lista de controle de acesso, filtro de pacote de dados, negar, liberar
3. Tabela de conversão de NAT: converta o endereço IP de origem da rede interna para a rede externa e converta o endereço IP de destino da rede externa para a rede interna

---

2. Configuração NAT

1. NAT estático

• O NAT estático realiza a conversão um-para-um entre endereços de rede privada e endereços de rede pública. Você precisa configurar tantos endereços de rede pública quantos endereços de rede privada. O NAT estático não pode salvar endereços de rede pública, mas pode ocultar a rede interna.
• Quando a rede interna envia uma mensagem para a rede externa, o NAT estático substitui o endereço IP de origem da mensagem pelo endereço de rede pública correspondente; quando a rede externa envia uma mensagem de resposta à rede interna, o NAT estático substitui o endereço de destino da mensagem pelo correspondente Endereço de rede privada

Existem 2 métodos de configuração:

• O primeiro tipo:
  definir NAT estático no modo global

[R1]nat static global 8.8.8.8 inside 192.168.10.10
[R1]int g0/0/1 ##外网口
[R1-GigabitEthernet0/0/1] nat static enable ###在网口上启动nat static enable功能

• O segundo tipo:
  declara nat static diretamente na interface

[R1]int g0/0/1 ###外网口
[R1-GigabitEtherneto/0/1] nat static global 8.8.8.8 inside 192.168.10.10
[R1]dis nat static ###查看NAT静态配置信息

2. NAT dinâmico

Vários endereços IP privados correspondem a vários endereços IP públicos, com base no mapeamento um para um de pools de endereços

1. Configure o endereço IP da porta de rede externa e da porta de rede interna
2. Defina um pool de endereços IP legal

[R1] nat address-group 1 212.0.0.100 212.0.0.200 #新建一个名为1的nat地址池

3. Definir lista de controle de acesso

[R1] acl 2000

###创建ACL,允许源地址为192.168.20.0/24网段和11.0.0.0/24的数据通过
[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[R1-acl-basic-2000] rule permit source 11.0.0.0 0.0.0.255

4. Configure a conversão de endereço IP dinâmico na porta de rede externa

[R1-acl-basic-2000]int g0/0/1 ###外网口
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat ###将ACL
2000匹配的数据转换为改接口的IP地址作为源地址(no pat不做端口转换,只做IP地址转换,默认为pat)

[R1] dis nat outbound ###查看NAT Outbound的信息

3. Multiplexação da porta PAT

• O PAT também é conhecido como NAPT (Network Address Port Translation), que implementa o mapeamento entre um endereço de rede pública e vários endereços de rede privada, para que possa salvar endereços de rede pública
• O princípio básico do PAT é converter os endereços IP de origem de pacotes com diferentes endereços de rede privada para o mesmo endereço de rede pública, mas eles são convertidos em diferentes números de porta do endereço, para que ainda possam compartilhar o mesmo endereço.

O PAT tem as seguintes funções:

• Altere o endereço IP e o número da porta do pacote de dados
• Pode salvar muitos endereços IP públicos

Os tipos de PAT são os seguintes:

• PAT dinâmico, incluindo NAPT e Easy IP
• PAT estático, incluindo servidor NAT

4.NAPT

Vários endereços IP de rede privada correspondem a endereços IP fixos de rede externa (como 200.1.1.10), o método de configuração é semelhante ao NAT dinâmico

1. Configure o endereço IP da porta de rede externa e da porta de rede interna
2. Defina um pool de endereços IP legal

[R1]nat address-group 1 200.1.1.10 200.1.1.10 ##使用一个固定IP

3. Definir lista de controle de acesso

|[R1]acl 2000
###允许源地址为192.168.30.0/24网段的数据通过
[R1-acl-adv-2000] rule permit source 192.168.30.0 0.0.0.255

4. Defina a tradução de endereço 1P na porta de rede externa

[R1-acl-basic-2000]int g0/0/1 ###外网口
[R1-GigabitEthernet0/0/1] nat outbound 2000 address-group 1

5. Fácil IP

Vários endereços IP de rede privada correspondem ao endereço IP de rede pública da porta de rede externa (por exemplo, 12.0.0.1)

1. Configure o endereço IP da porta de rede externa e da porta de rede interna
2. Defina um pool de endereços IP legal.
   Como você faz experiências diretas com o endereço IP da porta de rede externa, não é necessário definir o pool de endereços 1P.
3. Definir lista de controle de acesso

[R1] acl 3000 ##允许源地址为192.168.30.0/24网段的数据通过
[R1-acl-adv-3000]rule permit ip source 192.168.30.0 0.0.0.255

4. Defina a tradução do endereço IP na porta de rede externa

[R1]int g0/0/1 ###外网口
[R1-GigabitEthernet0/0/1] nat outbound 3000
##当acl 3000匹配的源IP数据到达此接口时,转换为该接口的IP地址做为源地址
[R1] display nat session all ####查看NAT的流表信息

6. Servidor NAT

Mapeamento de porta, mapeie a porta de endereço de rede privada para o endereço de rede pública e realize o servidor de rede interno para usuários de rede externa acessarem

[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www ###在连接公网的接口上将私网服务器地址和公网地址做一对NAT映射绑定

[R1-GigabitEthernet0/0/1] nat server protocol tcp global current-interface 8080 inside 10.1.1.1 www
##在连接公网的接口上将私网服务器地址和外网接口做一对NAT映射绑定

[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 2121 inside 10.1.1.2 ftp
###端口为21可以直接使用关键字"ftp"代替

---

3. Experiência Huawei

1. Diagrama topológico

2. Configure o NAT no modo global

• R1

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys R1
[R1]un in en
Info: Information center is disabled.
##配置各端口IP
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[R1-GigabitEthernet0/0/0]un sh
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 12.0.0.254 24
[R1-GigabitEthernet0/0/1]un sh
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 192.168.2.254 24
[R1-GigabitEthernet0/0/2]un sh
Info: Interface GigabitEthernet0/0/2 is not shutdown.
[R1-GigabitEthernet0/0/2]q
##全局模式下将私网地址配置8.8.8.8公网地址
[R1]nat static global 8.8.8.8 inside 192.168.1.1
[R1]di th

[R1]int g0/0/1
##在此端口上启用nat功能
[R1-GigabitEthernet0/0/1]nat static enable 

3. NAT dinâmico

Vários endereços IP privados correspondem a vários endereços IP públicos, com base no mapeamento um para um de pools de endereços

##因为我们这里基于上一个实验继续往下面做，所以需要先删除旧配置
[R1-GigabitEthernet0/0/1]undo nat static enable 
[R1-GigabitEthernet0/0/1]q
[R1]un nat static global 8.8.8.8 inside 192.168.1.1

##配置nat公网地址池
[R1]nat address-group 1 12.0.0.100 12.0.0.200
#创建acl
[R1]acl 2000
##筛选部分私网地址，避免全部私网地址进入导致路由崩溃
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

[R1-acl-basic-2000]q
[R1]int g0/0/1
##将nat功能配置至此端口中
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat 
[R1-GigabitEthernet0/0/1]di th

4. Fácil IP

Vários endereços IP de rede privada correspondem ao endereço IP de rede pública da porta de rede externa

##首先删除旧配置
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]un nat ou 2000 address-group 1 no-pat 

##创建acl3000
[R1-GigabitEthernet0/0/1]acl 3000
##允许私网网段
[R1-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255
[R1-acl-adv-3000]di th

[R1-acl-adv-3000]q
##进入配置端口
[R1]int g0/0/1
##将acl3000配置上端口
[R1-GigabitEthernet0/0/1]nat outbound 3000

[R1-GigabitEthernet0/0/1]q
##查看信息
[R1]dis nat session all	

5. Servidor NAT

Mapeamento de porta, mapeamento da porta de endereço de rede privada para o endereço de rede pública para realizar o servidor de rede interno para usuários externos acessarem

[R1]int g0/0/0
[R1-GigabitEthernet0/0/1]un nat outbound 3000
[R1-GigabitEthernet0/0/1]di th

[R1-GigabitEthernet0/0/1]q
[R1]int g0/0/0
##在连接公网的接口上将私网服务器地址和外网接口做一对NAT映射绑定
[R1-GigabitEthernet0/0/0]nat server protocol tcp global current-interface 8080 i
nside 12.0.0.1 www
[R1-GigabitEthernet0/0/0]di th