PNAT的原理与配置

原创

qq5ea97e5ed12c0 2020-05-15 22:59:45 博主文章分类：NAT ©著作权

文章标签 PNAT PNAT原理 PNAT配置 PNAT优缺点路由器 文章分类 网络安全

©著作权归作者所有：来自51CTO博客作者qq5ea97e5ed12c0的原创作品，请联系作者获取转载授权，否则将追究法律责任

PNAT的原理与配置

动态PNAT的优点与缺点是什么？优点就是比较节省公网IP地址，缺点就是还不是最节省的动态PNAT中的私有地址与公有地址的对应关系是怎么样的？多个私有地址对应一个或者多个公有地址动态PNAT是单向转换，还是双向转换？单向转换，因为数据路径公司网络访问外网是先访问路由表生成nat条目转换公网地址发出回来的流量先访问nat条目有的就转化目标地址公司内网地址发到主机。外网直接访问内网时候在nat时候找不到对应的条目会直接转到路由表会直接再转发回去无法进入公司内网。

PNAT是单向转换因为流量出去是先看路由发现有nat协议生产nat表转化地址发出入向流量先查询nat表转化目标地址，然后再查路由表发到目标主机因为外网直接访问nat发现没有条目无法转换就相当于直接访问路由器接口，路由直接再发给r2无法发送给内网主机

3.1 问题公司要求将内部网络10.1.1.0/24转换为一个公网地址200.1.1.10/28上网（访问Server1）

动态nat的配置 R1上三条命令 1.acl 2000 rule 10 permit source 10.1.1.0 0.0.0.255 规则 10 匹配源 10.1.1.0/24网段主机 2.nat add-group 1 200.1.1.1 200.1.1.10 nat 地址池 1 起始地址结束地址 3.nat outbound 2000 address-group 1 nat 发出流量 acl2000 地址池 1 默认使用pat 查询命令 dis ACL 2000 dis nat add-group dis nat outbound dis nat session all //查询nat转发表

配置思路： 1.配置终端设备 -配置ip地址 2.配置网络设备 -配置交换机vlan 接口模式 -配置路由ip地址 3.确保两个网络内部互通 ping测试 4.配置默认静态路由r1可以发出数据包 r1配置默认静态路由条目 5.配置ACL r1配置acl匹配10.1.1.0/24网段主机 6.配置nat地址池 r1配置网络转化地址200的公网ip 7.调用动态nat 在r1 g0/0/1接口上调用pnat命令 8.验证与测试 pc1，pc2可以ping通server1 r1g0/0/1抓包发出报告源ip地址的变化 server1无法ping通pc1，2 验证动态PNAT是单向转换

3 案例3：动态PNAT 配置 3.1 问题公司要求将内部网络10.1.1.0/24转换为一个公网地址200.1.1.10/28上网（访问Server1）

3.2 方案搭建实验环境，如图-1所示。

图-1

3.3 步骤实现此案例需要按照如下步骤进行。

  地址：10.1.1.1
  掩码：255.255.255.0
  网关：10.1.1.254
  地址：10.1.1.2
  掩码：255.255.255.0
  网关：10.1.1.254

<Huawei>system-view [Huawei]sysname SW1 [SW1] vlan 10 [SW1-vlan10]quit [SW1]interface GigabitEthernet0/0/1 [SW1-GigabitEthernet0/0/1] port link-type access [SW1-GigabitEthernet0/0/1] port default vlan 10 [SW1-GigabitEthernet0/0/1] quit [SW1]interface GigabitEthernet0/0/2 [SW1-GigabitEthernet0/0/2] port link-type access [SW1-GigabitEthernet0/0/2] port default vlan 10 [SW1-GigabitEthernet0/0/2] quit [SW1]interface GigabitEthernet0/0/3 [SW1-GigabitEthernet0/0/3] port link-type access [SW1-GigabitEthernet0/0/3] port default vlan 10 [SW1-GigabitEthernet0/0/3] quit <Huawei>system-view [Huawei]sysname R1 [R1]interface GigabitEthernet0/0/0 [R1-GigabitEthernet0/0/0] ip address 10.1.1.254 255.255.255.0 [R1-GigabitEthernet0/0/0] quit [R1]interface GigabitEthernet0/0/1 [R1-GigabitEthernet0/0/1] ip address 200.1.1.13 255.255.255.240 [R1-GigabitEthernet0/0/1] quit [R1] ip route-static 0.0.0.0 0.0.0.0 200.1.1.14 [R1]acl 2000 [R1-acl-basic-2000] rule 10 permit source 10.1.1.0 0.0.0.255 [R1-acl-basic-2000] quit [R1] nat address-group 1 200.1.1.10 200.1.1.10 [R1]interface GigabitEthernet0/0/1 [R1-GigabitEthernet0/0/1] nat outbound 2000 address-group 1 [R1-GigabitEthernet0/0/1] quit <Huawei>system-view [Huawei]sysname ISP [ISP]interface GigabitEthernet0/0/0 [ISP-GigabitEthernet0/0/0] ip address 210.1.1.254 255.255.255.0 [ISP-GigabitEthernet0/0/0] quit [ISP]interface GigabitEthernet0/0/1 [ISP-GigabitEthernet0/0/1] ip address 200.1.1.14 255.255.255.240 [ISP-GigabitEthernet0/0/1] quit 地址 - 210.1.1.1 掩码 - 255.255.255.0 网关 – 210.1.1.254 [R1]display nat address-group NAT Address-Group Information:

Index Start-address End-address

1 200.1.1.10 200.1.1.10

Total : 1 [R1]display nat outbound NAT Outbound Information:

Interface Acl Address-group/IP/Interface Type

GigabitEthernet0/0/1 2000 1 pat

Total : 1 在路由器Gi0/0/1口抓包，可以看到源地址已经转换

上一篇：动态NAT配置

下一篇：ACL通配符，子网掩码，反掩码区别和计算方式

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯