实验8 NAT配置

实验8 NAT配置

      • [一、 原理描述](#一、 原理描述)
      • [二、 实验目的](#二、 实验目的)
      • [三、 实验内容](#三、 实验内容)
      • [四、 实验配置](#四、 实验配置)
      • [五、 实验步骤](#五、 实验步骤)
        • 2.静态NAT配置
        • [3.NAT Outbound配置](#3.NAT Outbound配置)
        • [4.NAT Easy-IP配置](#4.NAT Easy-IP配置)

一、 原理描述

2019年11月26日,全球43亿个IPv4地址正式耗尽,这意味着没有更多的IPv4地址可以分配给 ISP 和其他大型网络基础设施提供商。IPv6 技术虽然可以从根本上解决地址短缺的问题,但是无法即刻替代成熟的IPv4 网络。人们很早就发现了IPv4设计的不足,为解决地址不足问题,1994年提出了NAT (Network Address Translation,网络地址转换)技术,它不仅能解决卫地址不足的问题,还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。

NAT 通常部署在一个组织的网络出口位置,通过将内部网络的私有IP地址替换为出口的公共I地址,来提供公网可达性和上层协议的连接能力。图8-1所示为NAT示意图。

NAT 的实现方式有3种:静态NAT、动态NAT以及网络地址端口转换NAPT。

(1)静态NAT。实现了私有地址和公有地址的一对一转换,一个公网地址对应一个私网地址。

(2)动态NAT。基于地址池来实现私有地址和公有地址的转换,转换是随机的,私有I地址与公有IP地址是多对一的。

(3)网络地址端口转换NAPT。NAT 实现的是私有IP地址和NAT公共地址之间的转换,因此内网中能够同时与公共网进行通信的主机数量就受到NAT的公共I地址数量的限制。为了克服这种限制,NAT 被进一步扩展到使用卫地址和端口(Port)共同参与IP 地址转换,这就是NAPT(Network Address Port Translation)技术。

二、 实验目的

1.理解NAT的应用场景。
2.掌握静态NAT的配置。
3.掌握动态NAT的配置。
4.掌握NAT Easy-IP的配置。

三、 实验内容

1.实验场景

某学院建立了内部的局域网,使用私网IP 地址。R1为学院的出口网关路由器,学院某教研室通过交换机连接在R1上,R2 模拟为外网设备与R1相连。为了实现该教研室能够访问外网,同时服务器可以供外网用户访问,网络管理员需在路由器R1上配置NAT。

2.实验要求

根据实例说明,建立一个网络拓扑,分别使用静态NAT、动态NAT 和网络地址端口转换NAPT的配置,使部分教职员工可以访问外网。

四、 实验配置

1.实验拓扑

S3700交换机1台,AR1220路由器2台,PC3台,NAT配置拓扑结构如图8-2所示。

2.设备编址

设备编址如表8-1所示。

五、 实验步骤

1.基本配置

根据编址对主机PC1和PC2进行基本I地址配置,同时更改R1、R2名称并配置相应接口地址。其中,R2作为模拟外网,在这里要设置一个环回路由接口LoopBack0,它是应用较为广泛的一种虚接口,在路由器上配置LoopBack0地址,起到本地回环接口作用。

所有配置完成后注意及时使用save命令保存。

R1的配置

[Huawei] sysname R1
[R1]interface GigabitEthernet 0/0/0
[Rl-GigabitEthernet0/0/0]ip address 172.10.0.254 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 26.28.10.1 24
<Rl>save

R2的配置

[Huawei] sysname R2
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip address 26.28.10.2 24
[R2]interface LoopBack 0
[R2-LoopBackO] ip address 26.28.20.1 24
<R2>save

配置完成后,对直连链路进行连通性测试。以R1和PC2的连通为例。

2.静态NAT配置

在网关路由器R1上配置学院访问外网的默认路由,地址要指向R2与R1相连的接口。

[R1]ip route-static 0.0.0.0 0.0.0.0 26.28.10.2

学院内部使用的都是私有地址,相互之间可以连通,但是无法直接访问外网。此时需要在网关路由器R1上进行配置,使用NAT地址转换,从而将私网地址转换为公网地址。

PC1是该学院网络管理员,由于其工作特殊性,需要外网也可以访问到它,因此需要为其分配一个公网地址26.28.10.3给PC1用作静态NAT地址转换。进入R1对外的接口,本例中是GE0/0/1,对其使用nat static 命令来进行配置静态NAT地址转换:

[R1]interface GigabitEthernet 0/0/1
[Rl-GigabitEthernet0/0/1]nat static global 26.28.10.3 inside 172.10.0.1

其中,global 表示公网未被分配的地址,inside 表示内网需要进行地址转换的私有IP地址,save后配置生效。

配置完成后,在R1上查看NAT静态配置信息:

使用ping命令测试与外网(这里为环回路由接口地址LoopBack0)的连通性。

此时可以看到,PC1通过静态NAT 地址转换,可以成功访问外网。我们可以通过抓包来进行查看,首先在PC1上持续发包,然后在路由器R1的对外接口处进行抓包,如图8-3所示。

PC>ping 26.28.10.2 -t

图8-3路由器R1的抓包结果

从图中可以看到,R1已经成功地将 PC1的ICMP 报文源地址转换为公网地址26.28.10.3。

同样,再测试一下外网是否可以访问PC1,这里将R2的环回路由口LoopBack0模拟为外网用户来访问PC1对外的接口地址26.28.10.3。在PC1的Ethernet 0/0/1接口上进行抓包分析,如图8-4所示,同时,在R2上执行以下命令。

<R2>ping -a 26.28.20.1 26.28.10.3


图8-4 PC1的抓包结果

可以看到,外网用户也可以主动访问内网用户,且数据在经过R1进入内网时,R1将目的IP地址转换为与公网地址26.28.10.3对应的内网地址172.10.0.1,并将数据转交。

3.NAT Outbound配置

学院的教职员工都有访问外网进行办公的需求,现进行动态NAT的配置。

某教研室使用的私网地址为172.10.0.0/24网段,管理员使用公网地址池26.28.10.10-26.28.10.20为该教研室教职员工进行NAT转换。

首先在R1上使用nat address-group命令配置NAT公网地址池,起始地址和结束地址分别为26.28.10.10、26.28.10.20。

[R1]nat address-group 1 26.28.10.10 26.28.10.20

访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。当ACL应用在设备接口入方向时,若接口收到数据包,则先根据应用在接口上的ACL条件进行匹配,如果允许就根据路由表进行转发,如果拒绝直接丢弃。ACL应用在设备接口出方向时,报文先经过路由表路由后转至出接口,根据接口上应用的出方向ACL条件进行匹配,是允许permit 还是拒绝deny,如果是允许,就根据路由表转发数据,如果是拒绝,就直接将数据包丢弃了。命名ACL用字母数字字符串(名称)标识IP 标准ACL 和扩展ACL,其中,标准编号IPv4列表(1-1999,1300-1999)只可以根据源地址设置IP报文过滤条件;扩展编号IPv4列表(100-199,2000-2699)可以根据源目地址、TCP/IP 协议号和TCP/UDP源目的端口条件设置IP报文过滤条件。

rule-id:指定IPv4高级 ACL规则的编号,取值范围为0~65534。若未指定本参数,则系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。

在这里创建基本的ACL2000,匹配172.10.0.0/24地址段。

[Rl]acl 2000
[Rl-acl-basic-2000]rule 5 permit source 172.10.0.0 0.0.0.255

在里,ACL的子网掩码用反向子网掩码。

在R1对外网接口GE0/0/1上使用nat outbound命令,将ACL2000与地址池相关联,使得ACL中规定的地址可以使用地址池进行地址转换。

[R1]interface GigabitEthernet 0/0/1
[Rl-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat

outbound 表示在接口出方向上使用动态NAT,no-pat表示不做PAT端口复用。

配置完成后,使用命令display nat outbound在R1上查看NATOutbound信息。

使用PC2测试与外网的连通性,并在R1的GE 0/0/1接口上进行抓包,查看地址转换情况,如图8-5所示。

图8-5 R1的抓包结果

可以看到,PC2可以成功访间外网,而且来自该主机的ICMP 数据包在R1的GE0/0/1接口上,源地址被替换为外网地址池中的地址。

4.NAT Easy-IP配置

根据当前新冠肺炎疫情管控需要,学生上网课成为主要授课方式,上外网需求急剧上升。目前路由器 R1的公网地址数不足,为了方便学生使用外网,网络管理员使用多对一的Easy-IP转换方式来实现学生上外网的需求。

Easy-IP 是NAPT的一种方式,直接借用路由器出接口I地址作为公网地址,使多个内网地址可以映射到同一个公网地址的不同端口号上,从而实现多对一的地址转换。此时,需要网络管理员将路由器对外接口设置为Easy-IP接口。

我们仍在原有的拓扑结构上来完成。要设置新的接口类型,需要将原有配置删除。使用undo nat outbound命令删除上一步的配置。使用nat outbound命令,配置动态NAT在出接口上使用PAT端口复用,且直接使用接口IP地址作为NAT转换后的地址。

[Rl]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 no-pat
[Rl-GigabitEthernet0/0/1]nat outbound 2000

配置完成后,在PC2上使用UDP发包工具发送UDP数据包到公网地址26.28.20.1。
双击 PC2,选择"UDP发包工具"选项卡,将目的IP地址和端口号、源IP地址和端口号填写完整,并在数据框中填写测试数据,单击"发送"按钮。同样,为PC3也进行配置,如图8-6和图8-7所示。

图8-6 PC2配置界面

图8-7 PC3配置界面

display nat session 命令用来查看NAT映射表项。在数据发送后,在R1上使用display nat session protocol udp verbose 命令查看NAT Session的详细信息。

从结果可以看到,PC2和PC3均使用了同一个R1公网地址与外网连通,但是使用的端口号不同。这种方式不需要建立地址池,大大节省了地址空间。

注:此为记录笔记,如有不足,还望海涵,可留言斧正

相关推荐
小场面丨不慌6 个月前
实验13 简单拓扑BGP配置
服务器·网络·智能路由器·路由与交换技术·ensp路由器·简单bgp协议
小场面丨不慌7 个月前
实验9 静态路由配置
智能路由器·静态路由·路由与交换技术·ensp路由器
小场面丨不慌8 个月前
实验2 路由器基本配置
ensp·路由与交换技术
旺旺仙贝1 年前
中继DHCP配置实验
网络·cisco·路由与交换技术·中继dhcp配置
旺旺仙贝1 年前
HSRP配置指南
网络·智能路由器·cisco·路由与交换技术·hsrp配置
旺旺仙贝1 年前
串行线路和静态路由配置
网络·智能路由器·cisco·路由与交换技术·无线路由
小场面丨不慌1 年前
实验4.4 动态路由OSPF协议的配置
路由与交换技术·ensp路由器·动态路由ospf协议的配置
小场面丨不慌1 年前
实验4.2 默认路由和浮动静态路由的配置
网络·智能路由器·路由与交换技术·ensp路由器·默认路由和浮动静态路由的配置
小场面丨不慌1 年前
实验4.1 静态路由的配置
网络·路由与交换技术·ensp路由器