实验8 NAT配置
一、 原理描述
2019年11月26日,全球43亿个IPv4地址正式耗尽,这意味着没有更多的IPv4地址可以分配给 ISP 和其他大型网络基础设施提供商。IPv6 技术虽然可以从根本上解决地址短缺的问题,但是无法即刻替代成熟的IPv4 网络。人们很早就发现了IPv4设计的不足,为解决地址不足问题,1994年提出了NAT (Network Address Translation,网络地址转换)技术,它不仅能解决卫地址不足的问题,还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT 通常部署在一个组织的网络出口位置,通过将内部网络的私有IP地址替换为出口的公共I地址,来提供公网可达性和上层协议的连接能力。图8-1所示为NAT示意图。
NAT 的实现方式有3种:静态NAT、动态NAT以及网络地址端口转换NAPT。
(1)静态NAT。实现了私有地址和公有地址的一对一转换,一个公网地址对应一个私网地址。
(2)动态NAT。基于地址池来实现私有地址和公有地址的转换,转换是随机的,私有I地址与公有IP地址是多对一的。
(3)网络地址端口转换NAPT。NAT 实现的是私有IP地址和NAT公共地址之间的转换,因此内网中能够同时与公共网进行通信的主机数量就受到NAT的公共I地址数量的限制。为了克服这种限制,NAT 被进一步扩展到使用卫地址和端口(Port)共同参与IP 地址转换,这就是NAPT(Network Address Port Translation)技术。
二、 实验目的
1.理解NAT的应用场景。
2.掌握静态NAT的配置。
3.掌握动态NAT的配置。
4.掌握NAT Easy-IP的配置。
三、 实验内容
1.实验场景
某学院建立了内部的局域网,使用私网IP 地址。R1为学院的出口网关路由器,学院某教研室通过交换机连接在R1上,R2 模拟为外网设备与R1相连。为了实现该教研室能够访问外网,同时服务器可以供外网用户访问,网络管理员需在路由器R1上配置NAT。
2.实验要求
根据实例说明,建立一个网络拓扑,分别使用静态NAT、动态NAT 和网络地址端口转换NAPT的配置,使部分教职员工可以访问外网。
四、 实验配置
1.实验拓扑
S3700交换机1台,AR1220路由器2台,PC3台,NAT配置拓扑结构如图8-2所示。
2.设备编址
设备编址如表8-1所示。
五、 实验步骤
1.基本配置
根据编址对主机PC1和PC2进行基本I地址配置,同时更改R1、R2名称并配置相应接口地址。其中,R2作为模拟外网,在这里要设置一个环回路由接口LoopBack0,它是应用较为广泛的一种虚接口,在路由器上配置LoopBack0地址,起到本地回环接口作用。
所有配置完成后注意及时使用save命令保存。
R1的配置
[Huawei] sysname R1
[R1]interface GigabitEthernet 0/0/0
[Rl-GigabitEthernet0/0/0]ip address 172.10.0.254 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 26.28.10.1 24
<Rl>save
R2的配置
[Huawei] sysname R2
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip address 26.28.10.2 24
[R2]interface LoopBack 0
[R2-LoopBackO] ip address 26.28.20.1 24
<R2>save
配置完成后,对直连链路进行连通性测试。以R1和PC2的连通为例。
2.静态NAT配置
在网关路由器R1上配置学院访问外网的默认路由,地址要指向R2与R1相连的接口。
[R1]ip route-static 0.0.0.0 0.0.0.0 26.28.10.2
学院内部使用的都是私有地址,相互之间可以连通,但是无法直接访问外网。此时需要在网关路由器R1上进行配置,使用NAT地址转换,从而将私网地址转换为公网地址。
PC1是该学院网络管理员,由于其工作特殊性,需要外网也可以访问到它,因此需要为其分配一个公网地址26.28.10.3给PC1用作静态NAT地址转换。进入R1对外的接口,本例中是GE0/0/1,对其使用nat static 命令来进行配置静态NAT地址转换:
[R1]interface GigabitEthernet 0/0/1
[Rl-GigabitEthernet0/0/1]nat static global 26.28.10.3 inside 172.10.0.1
其中,global 表示公网未被分配的地址,inside 表示内网需要进行地址转换的私有IP地址,save后配置生效。
配置完成后,在R1上查看NAT静态配置信息:
使用ping命令测试与外网(这里为环回路由接口地址LoopBack0)的连通性。
此时可以看到,PC1通过静态NAT 地址转换,可以成功访问外网。我们可以通过抓包来进行查看,首先在PC1上持续发包,然后在路由器R1的对外接口处进行抓包,如图8-3所示。
PC>ping 26.28.10.2 -t
图8-3路由器R1的抓包结果
从图中可以看到,R1已经成功地将 PC1的ICMP 报文源地址转换为公网地址26.28.10.3。
同样,再测试一下外网是否可以访问PC1,这里将R2的环回路由口LoopBack0模拟为外网用户来访问PC1对外的接口地址26.28.10.3。在PC1的Ethernet 0/0/1接口上进行抓包分析,如图8-4所示,同时,在R2上执行以下命令。
<R2>ping -a 26.28.20.1 26.28.10.3
图8-4 PC1的抓包结果
可以看到,外网用户也可以主动访问内网用户,且数据在经过R1进入内网时,R1将目的IP地址转换为与公网地址26.28.10.3对应的内网地址172.10.0.1,并将数据转交。
3.NAT Outbound配置
学院的教职员工都有访问外网进行办公的需求,现进行动态NAT的配置。
某教研室使用的私网地址为172.10.0.0/24网段,管理员使用公网地址池26.28.10.10-26.28.10.20为该教研室教职员工进行NAT转换。
首先在R1上使用nat address-group命令配置NAT公网地址池,起始地址和结束地址分别为26.28.10.10、26.28.10.20。
[R1]nat address-group 1 26.28.10.10 26.28.10.20
访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。当ACL应用在设备接口入方向时,若接口收到数据包,则先根据应用在接口上的ACL条件进行匹配,如果允许就根据路由表进行转发,如果拒绝直接丢弃。ACL应用在设备接口出方向时,报文先经过路由表路由后转至出接口,根据接口上应用的出方向ACL条件进行匹配,是允许permit 还是拒绝deny,如果是允许,就根据路由表转发数据,如果是拒绝,就直接将数据包丢弃了。命名ACL用字母数字字符串(名称)标识IP 标准ACL 和扩展ACL,其中,标准编号IPv4列表(1-1999,1300-1999)只可以根据源地址设置IP报文过滤条件;扩展编号IPv4列表(100-199,2000-2699)可以根据源目地址、TCP/IP 协议号和TCP/UDP源目的端口条件设置IP报文过滤条件。
rule-id:指定IPv4高级 ACL规则的编号,取值范围为0~65534。若未指定本参数,则系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。
在这里创建基本的ACL2000,匹配172.10.0.0/24地址段。
[Rl]acl 2000
[Rl-acl-basic-2000]rule 5 permit source 172.10.0.0 0.0.0.255
在里,ACL的子网掩码用反向子网掩码。
在R1对外网接口GE0/0/1上使用nat outbound命令,将ACL2000与地址池相关联,使得ACL中规定的地址可以使用地址池进行地址转换。
[R1]interface GigabitEthernet 0/0/1
[Rl-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
outbound 表示在接口出方向上使用动态NAT,no-pat表示不做PAT端口复用。
配置完成后,使用命令display nat outbound在R1上查看NATOutbound信息。
使用PC2测试与外网的连通性,并在R1的GE 0/0/1接口上进行抓包,查看地址转换情况,如图8-5所示。
图8-5 R1的抓包结果
可以看到,PC2可以成功访间外网,而且来自该主机的ICMP 数据包在R1的GE0/0/1接口上,源地址被替换为外网地址池中的地址。
4.NAT Easy-IP配置
根据当前新冠肺炎疫情管控需要,学生上网课成为主要授课方式,上外网需求急剧上升。目前路由器 R1的公网地址数不足,为了方便学生使用外网,网络管理员使用多对一的Easy-IP转换方式来实现学生上外网的需求。
Easy-IP 是NAPT的一种方式,直接借用路由器出接口I地址作为公网地址,使多个内网地址可以映射到同一个公网地址的不同端口号上,从而实现多对一的地址转换。此时,需要网络管理员将路由器对外接口设置为Easy-IP接口。
我们仍在原有的拓扑结构上来完成。要设置新的接口类型,需要将原有配置删除。使用undo nat outbound命令删除上一步的配置。使用nat outbound命令,配置动态NAT在出接口上使用PAT端口复用,且直接使用接口IP地址作为NAT转换后的地址。
[Rl]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 no-pat
[Rl-GigabitEthernet0/0/1]nat outbound 2000
配置完成后,在PC2上使用UDP发包工具发送UDP数据包到公网地址26.28.20.1。
双击 PC2,选择"UDP发包工具"选项卡,将目的IP地址和端口号、源IP地址和端口号填写完整,并在数据框中填写测试数据,单击"发送"按钮。同样,为PC3也进行配置,如图8-6和图8-7所示。
图8-6 PC2配置界面
图8-7 PC3配置界面
display nat session 命令用来查看NAT映射表项。在数据发送后,在R1上使用display nat session protocol udp verbose 命令查看NAT Session的详细信息。
从结果可以看到,PC2和PC3均使用了同一个R1公网地址与外网连通,但是使用的端口号不同。这种方式不需要建立地址池,大大节省了地址空间。
注:此为记录笔记,如有不足,还望海涵,可留言斧正