Basic nat

basic nat实现的是公网地址私网地址一对一转换;

物理拓扑

华三路由器配置GRE 华三路由器配置nat_网络


配置思路:

1.地址配好;(我这里组网比较简单,如果私网有多个网段,nat设备要能学习到需要转换的地址路由);

2.在nat设备上使用acl抓取需要转换的地址;

3.配置地址池范围;

4.在出接口下应用nat;

## 主机配置:

华三路由器配置GRE 华三路由器配置nat_华三路由器配置GRE_02

华三路由器配置GRE 华三路由器配置nat_服务器_03


这里交换机只是作为一个普通的二层接入交换机,不做配置;

## 路由器配置(nat设备)

[H3C]sysname NAT
[NAT-GigabitEthernet0/0]ip address  10.0.0.254 24
[NAT-GigabitEthernet0/0]in g0/1
[NAT-GigabitEthernet0/1]ip address 198.76.28.1 24

这时主机是可以ping通路由器的,可以测试一下,如果不通,就是地址配错了;

华三路由器配置GRE 华三路由器配置nat_华三路由器配置GRE_04

[NAT]acl basic  2000
[NAT-acl-ipv4-basic-2000]rule 0 permit source  10.0.0.0 0.0.0.255    #抓取需要转换的地址
[NAT]nat address-group 1
[NAT-address-group-1]address 198.76.28.11 198.76.28.20     #地址池范围
[NAT]interface g0/1 
[NAT-GigabitEthernet0/1]nat  outbound 2000 address-group 1 no-pat     #no  pat的意思是端口不参与转换

nat设备的地址和地址转换都配置完成

下面配置外网服务器的地址

[H3C]interface g0/0
[H3C-GigabitEthernet0/0]ip address  198.76.28.2 24

## 测试

这个时候在主机上ping外网的服务器发现已经可以访问了;

华三路由器配置GRE 华三路由器配置nat_服务器_05


在nat设备的出口启动抓包软件(wireshark)可以发现数据包的源地址变成了198.76.28.13,而不是PC1的地址,因为已经被nat转换了;

华三路由器配置GRE 华三路由器配置nat_NAT_06

PC2再去ping服务器,被转换成了198.76.28.14;

华三路由器配置GRE 华三路由器配置nat_服务器_07


需要注意的是,私网可以访问公网,公网是无法访问内外的主机的,也在一定程度上保护了内网安全;

华三路由器配置GRE 华三路由器配置nat_NAT_08

NAPT

napt原理基本和basic nat一致,但是它只有一个公网地址,从而也节省了IP地址,多个内网地址使用同一个公网地址的不同端口号去转换;

物理拓扑

华三路由器配置GRE 华三路由器配置nat_路由器_09


拓扑依然不变,只是地址池从多个地址变成了一个地址,现在只需修改nat设备上了一些配置即可;

nat设备

[NAT]nat address-group 1
[NAT-address-group-1]undo address 198.76.28.11 198.76.28.20
[NAT-address-group-1]address 198.76.28.11 198.76.28.11
[NAT]interface g0/1
[NAT-GigabitEthernet0/1]undo nat outbound 2000
[NAT-GigabitEthernet0/1]nat outbound 2000 address-group 1

#进入地址池1,把地址池范围修改掉,并且进入出接口,重新应用acl和地址池,但是这次不加no-apt,因为要进行端口转换;

其他配置依旧保持不变;

测试

使用pc1去ping公网服务器,然后在nat设备上查看表项:

华三路由器配置GRE 华三路由器配置nat_华三路由器配置GRE_10


使用pc2去ping:

华三路由器配置GRE 华三路由器配置nat_网络_11

ESAY IP

esay ip是一种特殊的NAPT,NAPT是多个私网地址使用一个公网地址的不同端口号去访问internet,也是需要配置地址池的,而esay ip是不需要配置地址池,私网地址直接使用公网出接口的不同端口号去实现访问,配置也相对简单;

物理托拓扑依然是上面的拓扑,我们这里在nat设备上修改一下配置即可;

nat设备

华三路由器配置GRE 华三路由器配置nat_路由器_12


这是我们上面配置的地址池,esay ip不需要配置地址池,但也没必要删了,直接在接口取消应用就行了;

[NAT]interface g0/1
[NAT-GigabitEthernet0/1]undo nat outbound 2000
[NAT-GigabitEthernet0/1]nat  outbound 2000   #应用nat,并且匹配acl 2000

测试

使用PC1去ping公网设备

华三路由器配置GRE 华三路由器配置nat_网络_13


NAT SERVER

公网设备想去访问处于私网的服务器

华三路由器配置GRE 华三路由器配置nat_服务器_14


现在我私网里面有一个服务器,地址是192.168.1.1/24 ,公网的设备想要访问者个服务器,肯定不能直接访问192.168.1.1,私网地址在公网上是无法路由的,那怎么解决呢,就用到了nat server, 我们可以对私网地址做一个伪装,给他披上一个公网地址,让公网去访问这个伪装之后的地址。

[NAT]nat static outbound 192.168.1.1 198.76.28.100
[NAT]in g0/1
[NAT-GigabitEthernet0/1]nat static enable

#这里的意思就是让192.168.1.1 伪装成198.76.28.11,公网的设备访问198这个地址的时候,就等于在访问内网的服务器,但公网从始至终不知道私网地址是多少,一定程度上保护内网安全;

测试

在公网上ping198.76.28.100

华三路由器配置GRE 华三路由器配置nat_路由器_15


在nat设备上查看nat转换信息,可以发现源和目的一些信息;

华三路由器配置GRE 华三路由器配置nat_华三路由器配置GRE_16