華為路由交換筆記15 NAT

2021-08-28 19:16:09 字數 2679 閱讀 7390

網路位址轉換nat(network address translation)是將ip資料報報頭中的ip位址轉換為另乙個ip位址的過程,用於實現私有網路和公有網路直接的互訪。

優點:nat節省公網ip位址

nat在實現位址轉換的同時,還隱藏了內網主機的真實ip位址,從而防止外部網路對內部主機的攻擊行為,提高了內網的安全性

nat可以控制訪問外部網路的內網主機範圍,方便了內網的管理。

nat特性

應用場景

nat用於內網主機使用內網ip訪問外網位址

nat sserver

用於外網使用者訪問內網伺服器 ,當內網需要提供外網服務時,可以在內網邊緣路由上配置nat sserver

靜態nat

用於內網的重要主機對映成固定外網ip位址和埠號與外網主機通訊

1、拓撲圖

2、在ar1上進行配置:

第一步,定義可以上網的位址段列表

acl 2000

rule 5 permit source 192.168.0.0 0.0.255.255

第二步,定義位址池範圍

nat address-grou 1 202.100.1.101 202.100.1.102

第三步,在埠配置位址轉換

int g0/0/1

nat outbound 2000 address-group 1    //配置埠-ip位址轉換,乙個ip可以承載65535-1023個會話程序,後面還可跟可選項no-pat,變成一對一轉換,即乙個內網ip對應乙個外網ip

測試nat是否成功:

在ar2上配置:

user-inte***ce vty 0 4

authentication-mode password test1234

在lsw1上telnet ar2:

在ar2上可以看到登入位址為202.100.1.101:

在ar1上可以檢視nat具體會話,192.168.100.254位址被轉換為202.100.1.101:10241

在int g0/0/1埠上配置位址轉換的完整方法:

nat outbound acl-number

由此,第三步還有如下的配置:

拓撲圖同上,目的是將右側的server1內網位址轉換為公網位址。

在ar2上進行配置:

方法一:

int g0/0/1

nat static global 202.100.1.121 inside 172.16.1.1

方法二:

int g0/0/1

nat static enable

quit

nat static global 202.100.1.121 inside 172.16.1.1 netmask 255.255.255.255

這樣配置後,左側客戶端就可通過公網位址202.100.1.121訪問server1。

display nat static   //檢視nat

nat static protocol tcp global 202.100.1.121 8080 inside 172.16.10.1 80 //同時轉換埠,這樣配置後,如果埠不匹配 ,不會觸發轉換。

命令格式:nat server protocol global global-port inside host-address [host-port] [vpn-instance vpn-instance-name] [acl acl-number] [description description]

示例:nat server global 202.100.1.102 inside 172.16.1.1

nat server protocol tcp global 202.100.1.102 8080 inside 172.16.1.1 80

一般情況下,nat只能對ip報文頭和tcp/udp頭部的埠資訊進行轉換,對於特殊協議,如nds\ftp等,他們報文的資料部分可能包含ip位址或埠資訊,這些內容不能被nat有效轉換,從而無法正確完成通訊。

在全域性模式下:

nat alg all/dns/ftp/rtsp/sip enable

還是以上面的拓撲圖為例,右側的pc1使用內部位址可以直接訪問server1,假如server1有自己的網域名稱www.abc.com,pc1直接訪問網域名稱www.abc.com就會去訪問server1的外部位址,導致訪問失敗。這個時候ar2需要做dns轉換:

nat alg dns enable

nat dns-map www.abc.com

202.100.1.103 80 tcp  //這樣配置後,pc1訪問www.abc.com,ar2會把外網位址轉換為內網位址,pc1就可以正常訪問了。

華為路由交換筆記 IP編址

前言 網路層位於資料鏈路層與傳輸層之間。網路層中包含了許多協議,其中最為重要的協議就是ip協議,網路層提供了ip路由功能。ip報文的結構 利用子網掩碼 子網掩碼為1對應的ip位址部分為網路位 為0對應主機位 2.二進位制 十進位制換算 1 1 1 1 1 1 1 1 128 64 32 16 8 4...

華為路由交換學習篇 NAT

目錄 nat的實現方式 basic nat方式 動態nat easy ip natserver 一對一 見實驗一 basic nat屬於一對一的位址轉換,在這種方式下只轉換ip位址,而不處理tcp udp協議的埠號,乙個公網ip位址不能同時被多個私網ip位址使用者使用。靜態nat並不能實現節省ip位...

華為三層交換機路由器 動態NAT 靜態NAT

動態nat 基本網路位址轉換 basic nat 要求對每乙個當前連線都要對應乙個公網ip位址,僅支援位址轉換,不支援埠對映,因此要維護乙個公網的位址池。basic nat要維護乙個無埠號nat表,結構如下 內網ip 外網ip 192.168.1.1 219.152.168.222 192.168....