DHCP
DHCP---动态主机配置协议 (应用层)--UDP 67,68 端口号
C/S架构
首次获取IP地址--4个过程
- DHCP客户端 -----DHCP服务器---广播---DHCP-Discover报文
应用层:DHCP:Discover
传输层:UDP:SPORT 68 DPORT:67
网络层:SIP:0.0.0.0 DIP:255.255.255.255
数据链路层:SMAC:自己 DMAC: 全F
- DHCP服务器----DHCP客户端-----单播/广播(基于厂商决定)---DHCP-Offer
华为的设备在第二个数据包中一定是单播发送
思科的设备第二个数据包就是一广播形式发送
应用层DHCP:offer---其中会携带可用的IP地址及相关信息
传输层:SPORT:67 DPORT:68
网络层:IP: SIP:服务器的IP地址 DIP :计划分配到IP地址
以太网:SMAC:服务器的MAC地址 DMAC: 客户端的MAC地址
-
DHCP客户端----DHCP服务端---广播------DHCP-Request
-
DHCP服务器---DHCP客户端--- 单播/广播 --- DHCP -ACK
再次获取IP地址(再次打开电脑之后获取)
-
DHCP客户端----DHCP服务端---广播------DHCP-Request
-
DHCP服务器---DHCP客户端--- 单播/广播 --- DHCP -ACK /DHCP - NAK
租期:----24h
T1 --- 50%租期 ---12h
续租: DHCP-Request ---单播
T2 ---87.5%租期 --- 21h
DHCP-Request ---广播
1.开启DHCP服务
Huawei\]dhcp enable ---告诉路由器:我打算让你当DHCP服务器
Info: The operation may take a few seconds. Please wait for a moment.done.
**2.创建地址池**
\[Huawei\]ip pool aa
Info: It's successful to create an IP address pool.
\[Huawei-ip-pool-aa
3.配置地址池
Huawei-ip-pool-aa\]network 192.168.1.0 mask 24
\[Huawei-ip-pool-aa\]gateway-list 192.168.1.1
\[Huawei-ip-pool-aa\]dns-list 192.168.2.40 114.114.114.114
**4.接口选择全局配置**
\[Huawei\]interface GigabitEthernet 0/0/0
\[Huawei-GigabitEthernet0/0/0\]dhcp select global
## 静态路由
路由器和路由器之间-----骨干链路
查看路由表信息:\[Huawei\]display ip routing-table
获取未知网段的路由信息
**静态路由**:由网络管理员手工配置的路由信息
**动态路由**:所有路由器运行相同的路由协议,彼此之间沟通交流最终计算出到达未知网段的路由信息
##### 配置静态路由:
\[Huawei\]ip route-static 192.168.3.0 24 192.168.2.2
192.168.3.0 -目标网段
192.168.2.2--下一跳
Pre---优先级---到达相同网段,如果有多条相同路径时,比较优先级,选择优先级高的加载到路由表中。华为设备静态路由的默认优先级为60,直连路由的优先级为0,0-255,优先级数值越小,优先级越高。
静态路 由拓展配置
1**.负载均衡** :当到达同一个目标网段拥有多条开销相似的路径时,我们可以将多条路径同时加载到路由表中,当流量匹配到该路由时,将同时从多条链路发出,起到叠加带宽的效果。
2.**环回接口**---虚拟接口
创建环回接口----虚拟接口是一个双up的
\[Huawei\]interface LoopBack 0
\ping -a 192.168.1.1 192.168.3.1-------指定源IP地址ping目标IP测试
3.**手工汇总**--如果到达做条连续的子网时,都需要经过相同的下一跳,则可以将这些子网进行汇总操作,仅需要编写一条到达汇总网段的路由即可。可以减少路由条目数量,可以提高转发效率
4.**路由黑洞---**如果在进行汇总时,汇总网段中包含本地不存在的网段时,该网段成为路由黑洞,可能会造成链路资源的浪费。
合理的子网划分和汇总可以减少路由黑洞的产生
5.**缺省路由**----路由黑洞和缺省路由相遇100%出环
缺省路由就是一条不限定目标的路由条目,缺省路由是在路由表中所有路由表中条路匹配完才会匹配的。
\[Huawei\]ip route-static 0.0.0.0 0 12.0.0.2
12.0.0.2---下一跳
6.**空接口路由**
1.路由表的匹配原则:最长匹配原则(精准匹配原则)
2.空接口-----一个路由器中的虚拟接口,如果一条路由条目的出接口写的是空接口,则匹配到这条路由条目的数据包将直接被丢弃掉
\[Huawei\]ip route-static 192.168.0.0 22 NULL 0---------在产生环路的路由器身上配置一条空接口路由条目
192.168.0.0--目标网段
7.**浮动静态**--通过修改优先级,实现静态路由的备份效果
\[Huawei\]ip route-static 1.1.1.0 24 21.0.0.2 preference 61---配置备份路由
preference--优先级
61---只要比60大就可以,数字越高优先级越低
\[Huawei\]display ip routing-table protocol static -----过滤配置的静态路由信息
## 动态路由
**🌍 动态路由的核心意义**
一句话概括:**让路由器自己学习、计算、更新路由表,不用管理员手动一条条写静态路由。**
**静态路由**:由网络管理员手工配置的路由信息
**动态路由**:所有路由器运行相同的路由协议,彼此之间沟通交流最终计算出到达未知网段的路由信息
**静态路由:**
**优点:1.静态路由选路更加合理**
**2.不需要额外消耗资源**
**3.更加安全**
**缺点:1.在复杂网络环境下,配置量比较大**
**2.无法基于网络拓扑变更而自动收敛 (** 无法自动感知路由变化而进行调整**)**
自动根据环境变化而变化--(收敛)
**动态路由:**
**优点:1.配置简单**
**2.可以基于网络拓扑变更而自动收敛**
路由之间运行相同的规则,如果有一个路由器down掉了,他们彼此之间可以互相通信,他们之间可以互相告知哪个坏掉了,然后从自己本地路由表中删除,之后有数据包来到路由器上,就可以直接丢弃掉了
**缺点:**
**1.由单一算法选择的路径不一定合理**
**2.需要消耗额外的资源**
**3.更容易受到安全风险**
静态路由和动态路由的使用场景:
静态路由:适合规模较小,变更较小的网络
动态路由:适合更适合应用在大型网络环境中
AS---自治系统---AS号---16位2进制-- 1-65534个AS自治系统----拓展版AS号 ----32位二进制构成
IGP---内部网关协议---应用在AS内部的动态路由协议---RIP、OSPF、ISIS、EIGRP
EGP---外部网关协议--应用在AS之间的动态路由协议--BGP
IGP协议根据算法进行分类:
**距离矢量型协议**:贝尔曼-福特算法--RIP---直接传递路由条目信息--'依据传闻的路由信息'
**链路状态型协议**:设备将自身的连接情况描述成LSA(链路状态通告),之后互相交换LSA信息,最终将整个网络的拓扑获取到,在使用SPF算法将图形结构转换成树形结构,计算到达未知网段的路由信息。--OSPF、 ISIS
###### RIP---路由信息协议
在RIP中,我们将两台直连的,一开始具备通信条件的设备,他们之间的关系成为邻居关系
传递路由信息时的两个参数:**目标网段、开销值**
cost开销值---如果到达同一个目标网段存在多条路径时,我们将比较开销值,选择开销值小的路径。----动态路由协议选路的主要依据
RIP使用跳数作为评判标准,但是不合理,如果上面每条路径是1000M而下面是100M,
最优选择还是上面的路
RIP的优先级--100
不同路由协议比较的是优先级,相同路由协议里面比较开销值
RIP存在15跳工作半径的限制,当RIP接收到开销值为16的路由信息时,将视为不可达。
RIP通过贝尔曼-福特算法计算出下一跳的初接口
RIP只发给**直连邻居**
###### 贝尔曼-福特算法
* 场景1. R2发送2.0网段的信息到R1身上,R1身上的路由表中没有该网段的路由信息,R1将**刷新**路由信息到路由表中。
Destination/Mask Proto Pre Cost Flags NextHop Interface
192.168.2.0/24 RIP 100 1 D 12.0.0.2 G0/0/0
Flags NextHop :谁给我发的下一跳就写谁
Interface:从哪个接口收到的我的初接口就写谁
* 场景2. R2发送2.0网段的路由信息到R1身上,R1身上的路由表中存在2.0网段的路由信息,如果该路由的下一跳就是R2。R1将**刷新**路由信息到路由表中
* 场景3,R2发送2.0网段的路由信息到R1身上,R1身上的路由表中存在2.0网段的路由信息,如果该路由的下一跳不是R2。本地路由表中的开销值大于R2发来的开销值,R1将**刷新**路由信息到路由表中
这个时候就是到达目标网段拥有多条路径,都是RIP算的,他的优先级都是100,所以相同协议比开销,则比较开销值。**RIP 的开销值 = 跳数**,二者完全等同。
* 场景4,R2发送2.0网段的路由信息到R1身上,R1身上的路由表中存在2.0网段的路由信息,如果该路由的下一跳不是R2。则比较开销值,地路由表中的开销值小于R2发来的开销值,R1将**不刷新**路由信息到路由表中
RIP也支持等开销负载均衡
**RIP版本**
RIPV1,RIPV2----ipv4
RIPNG ----IPV6
**RIPV1和RIPV2的区别**:
1. RIPV1是有类别的路由协议,RIPV2是无类别的路由协议;
RIPV1在发送目标网段信息时不携带子网掩码
RIPV2在发送目标网段信息时携带子网掩码
RIPV2支持VLSM(可变长子网掩码)和CIDR(无类域间路由)
类别是在地址划分时说的划分的ABC三类掩码信息
RIPV2 无类别就是写掩码信息,不按照这个类来自动分配掩码
A:255.0.0.0
B:255.255.0.0
C:255.255.255.0
2.RIPV1不支持手工认证,RIPV2支持手工认证
手工认证=加了秘钥保证安全性
3.RIPV1以广播的形式发送信息,RIPV2以组播的形式发送信息。
* RIPV1和RIPV2传输层使用的是UDP协议,端口号是520
* RIPV2组播地址224.0.0.9(224.0.0.X的组播地址我们称为本地链路组播,TTL值为1)---TTL=1意味着没有办法把组播数据包发到其他广播域,只能在当前广播域去发
* 所有运行RIPV2的设备默认被加入一个组播组 ------224.0.0.9
* 224.0.0.9组播地址会有一个对应的组播MAC地址:01-00-5e-00-00-09
* RIPV2以组播形式进行通信,链路资源的占用并没有减少(交换机拿到后还是要泛洪),但是其余未运行RIPV2协议的设备资源得以节省。
RIPV2在RIPV1基础上 节约了设备在处理信息时的资源
RIP 数据包
RIP-request报文---请求报文
RIP-response报文---应答报文
RIP在收敛完成后,依然会每隔30s发送一个RIP-response报文---周期更新----可靠性保障
RIP弥补了自身缺少确认机制以及保活机制
RIP 收敛完还每 30s 发一次更新,是为了 "保活 + 同步 + 防失效",
路由器每隔 30s 发一次,告诉邻居:"我还在,这些路由我依然可达。"
RIP采用异步周期更新机制
RIP计时器
周期更新计时器--30s---每隔30s发送一个更新报文
失效计时器--180s ---附加在每一条路由条目中,在路由信息刷新后,同时也刷新计时器,如果路由器信息没有被刷新,则计时一直到达180s,则将认为该路由信息失效,将从路由表中删除掉。
但是,RIP不会彻底删除该路由信息。而是将他保存在本地的缓存中,并且,之后周期更新的时候,依旧会携带该路由信息,只不过开销值设置为16. ----带毒传输
垃圾收集计时器---120s--在路由条目失效后开始计时,时间内,周期更新依然携带,实现带毒传输,超过时间120s,将彻底删除。
**RIP的环路问题**
**RIP的破环机制**
1. 15跳的工作半径限制
2.触发更新---在拓扑结构发生变化时,第一时间将该变更信息发送出去
3.水平分割---从那个接口接受到的收据将不再从这个接口发出去
eg:我的八卦是从R2身上听来的,我在传八卦时还给R2传了一份,是不是没有必要
4.毒性逆转--- 从哪个接口收到的数据依然从哪个接口发出去,但是续带毒
**注意:因为水平分割和毒性逆转做法矛盾,所以 只能选择其中的一个执行,华为设备默认开启的是水平分割。**
###### RIP的基本配置
1.启动RIP进程
[Huawei]rip 1----进程号仅具有本地意义
2.选择RIP版本
[Huawei-rip-1]version 2
如果选1都得选1,如果选2 都得选2
3.宣告
[Huawei-rip-1]network 1.0.0.0
[Huawei-rip-1]network 12.0.0.0
**规则1:所有直连网段都要宣告**
1.通俗理解:路由器的每一个直连网段(包括物理接口直连的链路网段、环回接口模拟的网段),都必须通过network命令宣告进RIP,否则路由器不会将该网段的路由发给邻居。
##### 规则2:必须按照主类进行宣告
* 主类网段:就是默认的A、B、C类网段,不包含子网掩码的细分,比如192.168.1.0/24的主类网段是192.168.1.0(C类,默认子网掩码255.255.255.0),10.0.12.0/24的主类网段是10.0.0.0(A类,默认子网掩码255.0.0.0)。
* 宣告要求:network命令后面,必须写**主类网段**,不能写子网网段(比如不能写192.168.1.1、10.0.12.0,要写主类,例如A类的要写10.0.0.0,C类的要写190.168.1.0)。
结合实验举例:
* R1的环回网段192.168.1.0/24(主类是192.168.1.0),宣告时写network 192.168.1.0(正确)
* R1的物理链路网段10.0.12.0/24(主类是10.0.0.0),宣告时写network 10.0.0.0(正确)
**RIP的拓展配置**
1.RIPV2的手工认证
[Huawei-GigabitEthernet0/0/0]rip authentication-mode md5 usual cipher 123456
md5---认证方式,两边必须一样
usual--封装方式-标准,两边必须一样
cipher--本地以加密方式存储,不必须相同
123456-口令,两边必须一样
* **两种方式** :
* **明文认证(Simple)** :密码直接明文传输,抓包可见,**仅用于测试 / 低安全场景**。
* **MD5 认证** :基于 MD5 哈希算法,报文只带摘要、不带明文密码,**生产环境推荐**。
* **配置位置** :**必须在邻居互联的接口上配置**,不是全局 RIP 进程。
2.RIPV2的手工汇总
[Huawei-GigabitEthernet0/0/0]rip summary-address 192.168.0.0 255.255.252.0
防环:写空接口------
[Huawei]ip route-static 192.168.2.0 24 NULL 0
3.沉默接口---该接口将只接收不发送RIP的数据包--在进程里配
system-view
rip 1 # 进入 RIP 进程
silent-interface GigabitEthernet 0/0/1 # 将指定接口设为沉默
4.加快收敛
timers rip <更新时间> <无效时间> <冲刷时间>
[Huawei-rip-1]timers rip 30 120 180
注意:修改计时器时不要改变他们之间的倍数关系,1:6:4
5.缺省路由
[r3-rip-1]default-route originate
在规定的目的路由器上写,其他的路由器都指向R3
AR1上:
AR2上:
**策略**
## ACL--访问控制列表
1.访问控制---在路由器流量流入或者流出的接口上,匹配对应的流量然后执行设定的动作。
(permit--允许,deny--拒绝)
2.抓取感兴趣流---ACL可以和其他的服务配合工作,ACL仅完成匹配流量的动作,而具体的执行动作有其他服务提供。
ACL匹配规则:自上而下,逐一匹配,如果匹配上,则将执行对应的动作,不再向下匹配
思科设备:末尾隐含一条拒绝所有的规则
华为设备:末尾没有隐含规则
**ACL访问控制列表的分类:**
**基础ACL**列表----只看源IP地址
|-------------|--------|
| IP | 规则 |
| 192.168.1.1 | permit |
| 192.168.2.1 | deny |
**高级ACL**列表---不仅关注数据包中源IP,还会关注数据包中的目标IP,协议和端口号
**二层ACL**---针对MAC地址
**用户自定义ACL**
需求一:PC1可以访问3.0网段,但是PC2不行
基础ACL的位置原则:因为基础ACL仅关注源IP地址,所以,在部署时应该越靠近目标越好,避免对其他网段的访问造成误伤
所以这个在4接口创建ACL列表
**1.创建ACL列表**
[Huawei] acl 2000---基础ACL编号
[Huawei-acl-basic-2000]
**2.在ACL列表中定义规则**
[Huawei-acl-basic-2000]rule deny source 192.168.1.253 0.0.0.0
0.0.0.0--通配符--1代表可变,0代表不可变
[Huawei-acl-basic-2000]display acl 2000---查看ACL列表
Basic ACL 2000, 2 rules
Acl's step is 5
rule 5 deny source 192.168.1.253 0 (5 matches)
rule 10 permit (15 matches)
注意:华为以默认以5为步调自动添加规则序号,方便插入或者删除规则
[Huawei-acl-basic-2000]rule 6 deny source 192.168.1.254 0.0.0.0---自定义序号添加规则
[Huawei-acl-basic-2000]display acl 2000
Basic ACL 2000, 3 rules
Acl's step is 5
rule 5 deny source 192.168.1.253 0
rule 6 deny source 192.168.1.254 0
rule 10 permit (1 matches)
删除自定义规则
[Huawei-acl-basic-2000]undo rule 6
**3.在接口调用ACL列表**
[Huawei-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
注意:一个接口的一个方向上只能调用一张ACL列表
需求二、 pc1可以ping通pc3 不能ping通pc4
高级ACL的位置原则:因为高级ACL可以精准匹配,所以部署时越靠近源越好。
ACL列表部署在一号口
**1.创建ACL列表**
[Huawei]acl name xuqiu2 3000
[Huawei-acl-adv-xuqiu2]
**2.在ACL列表中定义规则**
[Huawei-acl-adv-xuqiu2]rule deny icmp source 192.168.1.254 0.0.0.0 destination 1
92.168.3.253 0.0.0.0
icmp---协议类型,专门用来在**IP 主机、路由器之间传递控制消息**。
**3.在接口调用ACL列表**
[Huawei-GigabitEthernet0/0/0]traffic-filter inbound acl name xuqiu2
|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| \<1-255\> Protocol number gre GRE tunneling(47) icmp Internet Control Message Protocol(1) igmp Internet Group Management Protocol(2) ip Any IP protocol ipinip IP in IP tunneling(4) ospf OSPF routing protocol(89) tcp Transmission Control Protocol (6) udp User Datagram Protocol (17) 都是二三层协议,高级ACL列表还可以控制应用层,所以就有了需求三 |
需求三:pc5 可以ping通R2但是不能telnetR2
传输层TCP的23号端口代表的是telnet,其他端口代表了其他协议,UDP的67 68代表了DHCP
[Huawei-acl-adv-xuqiu2]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23
AR2上有两个接口,都要做
[Huawei-acl-adv-xuqiu2]rule deny tcp source 192.168.1.10 0.0.0.0 destination 192.168.3.1 0.0.0.0 destination-port eq 23
| 关键词 | 含义 | 示例 | 说明 |
|-----------|----|-------------------|-------------|
| **eq** | 等于 | `eq 80` | 精确匹配单个端口 |
| **gt** | 大于 | `gt 1024` | 匹配所有高于该值的端口 |
| **lt** | 小于 | `lt 1024` | 匹配所有低于该值的端口 |
| **range** | 介于 | `range 5000 6000` | 匹配区间内的所有端口 |
练习题:
## VLAN--虚拟局域网
V--(virtual)虚拟
LAN--局域网--虚拟广播域--交换机和路由器协同工作后,将原先的一个广播域,逻辑上切分为多个虚拟的广播域。
**第一步:创建VLAN 在交换机上**
\display vlan---查看VLAN详细信息
注意:设备中默认存在VLAN1 --- VLAN ID---VID --在802.1Q定义,VID是由12位2进制构成-------
1-4094。用来区分和标识不同VLAN
**单个创建**
[Huawei]vlan 2
[Huawei-vlan2]quit
**批量创建**
[Huawei]vlan batch 4 to 50
[Huawei]vlan batch 4 8 10 27---也可以不连续创建
**批量删除**
[Huawei]undo vlan batch 4 to 50----批量删除
Warning: The configurations of the VLAN will be deleted. Continue?[Y/N]:y
Info: This operation may take a few seconds. Please wait for a moment...done
**第二步:将接口划分到VLAN**
划分VLAN 的范围
将接口和VLAN ID的对应关系记录下来,用来区分VLAN的范围----物理VLAN(一层VLAN)
将MAC地址和VLAN ID的对应关系记录下来,用来区分VLAN的范围---二层VLAN
将数据帧中的类型字段和VLAN ID的对应关系记录下来,用来区分VLAN的范围--三层VLAN
 802.1Q标准中,在原有以太网二型帧的基础上,源MAC地址和类型字段中间增加了4个字节的标签(tag),(里面包含12位的VID),我们把添加了标签的数据帧叫tagged帧,或者叫做802.1Q帧;没有打标签的数据帧,称为untagged。
根据以上特性,我们将交换机和电脑之间的链路成为access链路,这样的链路只能通过untagged帧,并且这些数据帧一定属于同一种VLAN;我们将交换机和交换机之间的链路我们称为trunk链路(trunk干道),这样的链路可以通过tagged帧,并且这些数据帧可以属于多种不同VLAN
**第三步:配置trunk干道**
第二步配置
进入接口划分
\[Huawei-GigabitEthernet0/0/4\]port link-type access
\[Huawei-GigabitEthernet0/0/4\]port default vlan 3
**批量划分**
\[Huawei\]port-group group-member GigabitEthernet 0/0/7 GigabitEthernet 0/0/8
\[Huawei-port-group\]port link-type access
\[Huawei-GigabitEthernet0/0/7\]port link-type access
\[Huawei-GigabitEthernet0/0/8\]port link-type access
\[Huawei-port-group\]port default vlan 3
\[Huawei-GigabitEthernet0/0/7\]port default vlan 3
\[Huawei-GigabitEthernet0/0/8\]port default vlan 3
第三步配置:
\[Huawei-GigabitEthernet0/0/5\]port link-type trunk
\[Huawei-GigabitEthernet0/0/5\]port trunk allow-pass vlan 2 3
\[Huawei-GigabitEthernet0/0/5\]port link-type trunk
\[sw2-GigabitEthernet0/0/1\]port trunk allow-pass vlan all
第四步: VLAN间路由
多臂路由
交换机和交换机之间配trunk链路
交换机和路由器之间的接口在交换机上配assess链路
**子接口--单臂路由**
\[Huawei\]in g 0/0/0.1
\[Huawei-GigabitEthernet0/0/0.1\]ip address 192.168.1.254 24
\[Huawei-GigabitEthernet0/0/0.1\]dotlq termination vid 2
\[Huawei-GigabitEthernet0/0/0.1\]arp broadcast enable
交换机连路由器的接口配trunk
练习题:
拿到一个拓扑图的配置流程:
①:VLAN
②:数广播域
③:划分网段
④:配IP
⑤:静态路由/动态路由
## NAT--网络地址转换
主要实现的是私网地址和公网地址之间的转换
在ipv4地址空间中,有一部分地址被称为私有地址(私网地址),其余的地址叫公有地址(公网地址)
A:10.0.0.0-10.255.255.255
B:172.16.0.0-172.31.255.255
C:192.168.0.0-192.168.255.255
在华为设备中,所有和NAT相关的配置都是在边界路由器的出接口上配置的。
* 里面:**企业内网(私网)**
* 外面:**互联网(公网)**
中间交界的地方,就叫**网络边界** 。站在这个边界上、负责内外互通的路由器,就是**边界路由器**。
### **静态NAT**
**静态NAT** ---一对一NAT----在边界路由器上维护一张静态地址映射表,里面记录的是公网地址和私网地址一一映射的关系。
配置:
[Huawei-GigabitEthernet0/0/2]nat static global 12.0.0.3 inside 192.168.1.2
12.0.0.3---公网地址 192.168.1.2---私网地址
查看:
display nat static
### **动态NAT**
**动态NAT---多对多的NAT**
* 公网池:`12.0.0.3 ~ 12.0.0.5`(一共 3 个公网 IP)
* 私网设备:PC1、PC2、PC3、PC4
#### 分配过程:
1. PC1 上网 → 占用 **12.0.0.3**
2. PC2 上网 → 占用 **12.0.0.4**
3. PC3 上网 → 占用 **12.0.0.5**
4. PC4 想上网 → **公网 IP 用完了,没的借,直接不通!**
这就是**纯动态 NAT(no-pat)**。
1.创建公网地址池
nat address-group 0 12.0.0.3 12.0.0.7
0-----编号
12.0.0.3-起始地址
12.0.0.7-终止地址-必须是连续的
2.通过ACL抓取私网地址
acl 2000
rule permit sorce 192.168.0.0 0.0.255.255
3.做动态nat
nat outbound 2000 address-group 0 no-pat
## **NAPT**
**NAPT---基于端口的网络地址转换技术**
**一对多的NAPT(easy ip)一个公网对应多个私网**
**1.**通过ACL抓取私网地址
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
2.配置easy ip
[Huawei-GigabitEthernet0/0/2]nat outbound 2000
**多对多的NAPT**
1.创建公网地址池
\[Huawei\]nat address-group 0 12.0.0.3 12.0.0.8
0-----编号
12.0.0.3-起始地址
12.0.0.7-终止地址-必须是连续的
2.通过ACL抓取私网地址
\[Huawei\]acl 2000
\[Huawei-acl-basic-2000\]rule permit source 192.168.0.0 0.0.255.255
3.做动态nat
\[Huawei-GigabitEthernet0/0/2\] nat outbound 2000 address-group 0
## **端口映射**
**(保证从公网访问内部) 目标地址做一个转换**
# 进入外网接口(根据你实际接口改)
interface GigabitEthernet 0/0/2
# 映射 80 端口
\[Huawei-GigabitEthernet0/0/2\]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
\[Huawei-GigabitEthernet0/0/2\]nat server protocol tcp glaobl current-interface 80
80 inside 192.168.1.20 80
同一个公网 IP,**用不同的公网端口** ,映射到**不同的内网服务器**: