eNSP中对NAT的配置(网络地址转换) | 您所在的位置:网站首页 › 静态路由的使用环境是什么意思 › eNSP中对NAT的配置(网络地址转换) |
地址转换是把局域网的私有地址转换为公有地址,如果想要上外网,而公有地址是有限的,则需要将私有地址转换成公有地址,用端口号进行区分。 一.基本原理NAT是改变IP报文中的源或目的地址的一种处理方式;让局域网用户访问外网资源,也可以设定内部的应用对外提供的服务;隐藏内部局域网的IP主机,起到安全保护的作用;NAT功能通常被集成到路由器,防火墙,ISDN路由器或者单独的NAT设备中。 1.IANA为私有网络预留的IP地址空间:①A类地址范围是10.0.0.0 --- 10.255.255.255; ②B类地址范围是172.16.0.0 --- 172.31.255.255; ③C类地址范围是192.168.0.0 --- 192.168.255.255。 2.NAT的优点:①节约合法的注册公网地址; ②在地址重叠时提供解决方案; ③提高连接到Internet的灵活性; ④在网络发生变化时避免重新编址。 3.NAT的缺点:①地址转换将增加交换延迟; ②导致无法进行端到端IP追踪; ③导致有些应用程序无法正常运行。 4.NAT的类型NAT的主要类型包括:①静态NAT/NAPT;②Easy IP;③NAT服务器。 (1)静态NAT简介: ①内网中一个主机的私有IP地址与一个公网IP地址相绑定; ②实现一对一的转换关系; ③实际中很少应用,因为一个公网IP地址无法为内网中的多台主机同时提供外网连接。 (2)NAPT简介: ①把二元组“内部网络主机的IP+端口号”和“公网IP+端口号”执行一对一绑定; ②一个公网IP地址可以同时为多个私有IP地址提供外网连接。 (3)Easy IP简介: ①是NAPT的一种方式,直接借用路由器出接口IP地址作为公网地址; ②常用于拨号上网的网络环境中; ③拨号得到的公网地址自动成为转换的公网IP; ④所有内网主机都需要使用这个临时公网获取的IP地址来访问互联网。 (4)NAT服务器简介: ①用于对内网应用对外提供服务; ②静态配置公网“IP地址+端口号”和私有“IP地址+端口号”之间的转换; ③公网用户只知道通过公网IP地址访问服务,内网的IP隐藏起到保护作用。 二.静态NAT配置 1.建立如下拓扑图并初始化设备 2. 配置基础IP地址[AR1]int g0/0/0 [AR1-GigabitEthernet0/0/0]ip add 10.1.0.1 24 [AR1]int g0/0/1 [AR1-GigabitEthernet0/0/1]ip add 12.1.1.1 29 [AR2]int g0/0/1 [AR2-GigabitEthernet0/0/1]ip add 12.1.1.2 29 3.在AR2上配置一个IP地址为8.8.8.8的环回接口,用以模拟Internet中的地址:[AR2]int loopback0 [AR2-LoopBack0]ip add 8.8.8.8 24 4.配置PC端 5.配置路由(1)若在AR1上配置静态路由: [AR1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 但此时PC端与AR2并不能连通,因为信号去往AR2后,没有设置返回路由。 但由于在实际生活中,公网是不能到私有IP或者路由,所以不能通过配置静态路由的方法进行连接。 所以,此时应当使用静态NAT的配置。 (2)配置静态NAT 在网关路由器AR1的G0/0/1接口上配置一对一的NAT映射: [AR1]interface GigabitEthernet 0/0/1 [AR1-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside 10.1.0.100 [AR1-GigabitEthernet0/0/1]nat static global 12.1.1.4 inside 10.1.0.101 PC1的IP地址会被转换的Global IP是12.1.1.3, PC2的IP地址会被转换的Global IP则是12.1.1.4。 若此时对AR1的g0/0/1进行抓包可得: 注:AR2并不能知道PC端真正的路由,它只能ping通12.1.1.3和12.1.1.4,并且与AR1是直连。 二.NAPT的配置静态NAT的配置是一对一的地址映射,不会节省任何地址空间。因此,网络中通常采用的网络地址转换设计方案都是将多个私有IP地址转换为一个公有IP地址,并且利用传输层的端口号来区分不同的私有IP地址,这种称为NAPT(Network Address Port Translation)的技术。 1.建立如下拓扑图并初始化设备若是在NAT静态拓扑图的基础上进行配置,则只需删除静态NAT配置即可。 [AR1]interface GigabitEthernet 0/0/1 [AR1-GigabitEthernet0/0/1]undo nat static global 12.1.1.3 inside 10.1.0.100 netmask 255.255.255.255 [AR1-GigabitEthernet0/0/1]undo nat static global 12.1.1.4 inside 10.1.0.101 netmask 255.255.255.255 2.NAPT的配置(1)使用ACL匹配内网(AR1)需要转换的私有IP地址: [AR1]acl 2000 [AR1-acl-basic-2000]rule permit source 10.1.0.0 0.0.0.255 (2)配置可用的公有IP地址组 [AR1]nat address-group 1 12.1.1.3 12.1.1.6 (3)使用前面两个步骤中配置好的ACL(编号)和NAT地址组(编号),在执行转换的接口上指定私有地址到公有地址的NAT转换关系: [AR1]interface GigabitEthernet 0/0/1 [AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 3.查看配置结果(1)查看NAT公有地址池: [AR1]display nat address-group 目前公有地址池中包含的地址范围是12.1.1.3-----12.1.1.6。 (2)查看NAT转换表项: [AR1]display nat outbound (3)在AR1上g0/0/1抓包可知,都转换为相同公有地址:12.1.1.5。 (4)查看转发表项: [AR1]display nat session all 三.Easy IP的配置 1.建立如下拓扑图并初始化设备 [AR1]int g0/0/1 [AR1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 [AR1]undo nat address-group 1 2.easy IP的配置[AR1]int g0/0/1 [AR1-GigabitEthernet0/0/1]nat outbound 2000 //acl 2000在NAPT的配置中配置过,所以这里可以直接拿来使用 3.查看配置结果(1)PC端对8.8.8.8的ping (2)查看NAT转换表项: [AR1]display nat outbound (3)在AR1上g0/0/1抓包可知,都转换为相同公有地址:12.1.1.1。 四. NAT Server的配置在真实的网络中,与NAT相关的设计方案往往会是下图所示的一种融合NAT环境。其中,内网PC设备需要使用动态NAT去访问Internet,同时又有服务器需要为公网的设备提供服务。 1.建立拓扑图如下所示并初始化设备若是在Easy IP拓扑图的基础上进行配置,则只需按照如图所示进行增减配置即可。 2.在AR2上配置连接Client1的接口IP:[AR2]int g0/0/0 [AR2-GigabitEthernet0/0/0]ip add 2.1.0.1 24 3.对server1进行配置并建立一个文件夹,使Server1能有根目录,选择点击“启动”。 4.对Client1进行配置 5.网络配置因为在Easy IP的配置里,已经实现了内网PC上网的需求。 之前配置的程序如下: [AR1]acl 2000 [AR1-acl-basic-2000]rule permit source 10.1.0.0 0.0.0.255 [AR1-acl-basic-2000]quit [AR1]interface GigabitEthernet 0/0/1 [AR1-GigabitEthernet0/0/1]nat outbound 2000 以上程序在Easy IP中已经配置过了,所以在拓扑图修改的时候,我们只需要配置内网服务器的地址转换,即NAT Server。 [AR1]interface GigabitEthernet 0/0/1 [AR1-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.6 www inside 10.1.0.101 www 6.检查配置结果 (1)NAT Server的配置结果 [AR1]display nat server 路由器AR1只把公有IP地址12.1.1.6的TCP 80端口转换为内网服务器IP地址10.1.0.101的80端口。 (2)连通性测试: (3)在AR1上对G0/0/1端口抓包,PC1 ping 2.1.0.100 测试与公网的连通性 (4)Client1进行配置结果测试 五.NAT Server的配置的升级版在内网再添加一台FTP服务器,IP地址为10.1.0.102/24 1.修改拓扑图如图所示 2.Server2的配置同样,建立一个文件夹作为根目录 3.配置内网的服务器的地址转换,即NAT Server[AR1]interface GigabitEthernet 0/0/1 [AR1-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.6 ftp inside 10.1.0.102 ftp 4.存在的问题(1) 此时若用Client登录ftp,会处于无法登录的状态。 NAT只会针对数据包头部的IP地址和端口号执行转换,而不会关注数据包载荷部分的内容。而ftp协议,也会在数据包的载荷中携带地址和端口信息。如果执行NAT转换的网关路由器不对载荷中的地址和端口信息进行任何处理的话,通信就会失败。 (2) 用户无法正常访问FTP服务器,是因为网关路由器缺少ALG配置。 ALG称为应用程序网关(Application Level Gateway),ALG地址转换改变了IP地址数据包头的IP地址信息,如果数据报文的载荷中含有地址信息,地址转换就要特殊处理,除了改变IP包头的地址信息,还得改变数据报文中载荷中的地址信息。 5.开启ALG[AR1]nat alg ftp enable //启用ALG功能 6.检测配置结果(1) 查看ALG的状态 [AR1]display nat alg (2)Client1获取 ftp (3) 在AR1上对G0/0/1端口抓包 |
CopyRight 2018-2019 实验室设备网 版权所有 |