NAT功能介绍及配置应用
写在开头的话:
关于华为模拟器ENSP的几点注意事项:
1、Router路由器的NAT功能存在BUG,无法作为NAT设备使用;
2、AR201路由器的Ethernet端口无法直接作为三层接口使用,必须绑定VLAN后,将虚拟VLAN接口作为三层接口使用,所以AR201不支持NAT转换功能。
3、配置NAT的Global地址时,不能配置为路由器出接口的IP地址,但是现网设备中是可以配置的,所以大家在ENSP上配置NAT的Global地址时注意一下。
一、NAT功能简介
NAT(Network Address Translation,网络地址转换),用于将私网地址转换为公网地址,解决IPv4地址资源枯竭的问题以及企业内网安全问题。NAT功能包括静态NAT、动态NAT、端口NAT以及服务映射等。
1、静态NAT
一个公网地址对应一个私网地址,是“一对一”的转换,常用于公网地址固定且比较多的场景中。
2、动态NAT
多个公网地址对应多个私网地址,公网地址与私网地址动态转换。当一个私网地址需要转换时查找未被使用的公网地址进行转换,当没有可转换的公网地址时,新的私网地址通信就无法正常进行。因为该缺陷,动态NAT基本被淘汰。
3、端口NAT
私网转换为公网时,转换地址后面会跟一个端口号,用于区分私网地址,这样公网的利用率就大大提升了,也就是多个私网地址转换为一个公网地址后仍然可以正常通信。
端口NAT应用时,公网地址可以是企业申请的公网地址池,也可以是出口设备的出端口IP地址,前者一般适用于大型企业,企业向运营商申请多个公网IP地址进行使用,后者一般适用于小型企业或者家庭网络,因为小型企业或者家庭网络的公网地址一般都是动态分配,公网地址不固定,所以在NAT配置时,公网地址配置为出口设备出端口,这种NAT也叫Easy-NAT。
4、服务映射
很多企业内网中会部署服务器,为企业内部和互联网用户提供服务,因为企业内部服务器使用的都是私网地址,如果不进行地址转换配置,互联网用户无法访问到企业内部服务器。针对该需求,有两种方式可以解决互联网用户访问企业内部服务器的问题。其中一种方式就是我们前面讲到的静态NAT,但是静态NAT用于向互联网开放企业内部服务时,它存在很大的弊端,就是一旦开放,互联网用户可以拥有访问内部企业服务器的所有服务的权限,这种应用存在很大的安全问题,一般不提倡这么配置。
对于企业内部服务器向互联网开放的一种比较安全的解决方案是利用服务映射的配置方式,服务映射可以设定用户能访问哪些服务,不能访问哪些服务,甚至可以通过端口号转换提升熟知端口号的安全性。
二、NAT配置应用案例
1、拓扑图
拓扑图说明:
1、 静态NAT、端口NAT、服务映射等功能案例均用上图完成;
2、静态NAT客户端用于验证静态NAT功能
动态NAT客户端用于验证端口NAT功能
HttpServer用于验证服务映射功能
三种NAT功能的不同配置见配置中的说明,配置差异均在出口路由器的出端口GE0/0/0上。
2、配置
出口路由器:
# 批量创建vlan10,vlan20,vlan30
vlan batch 10 20 30
# 创建ACL 2000,只允许192.168.30.0/24网段的报文通过
acl number 2000
rule 5 permit source 192.168.30.0 0.0.0.255
# 创建ACL 3000,只允许目的端口号为80的报文通过,用于服务映射功能验证
acl number 3000
rule 5 permit tcp destination-port eq www
# 设置公网地址池,用于端口NAT功能验证
nat address-group 1 100.0.0.4 100.0.0.10
#创建Vlan虚拟接口并配置ip地址,分别对应端口Ethernet0/0/1、Ethernet0/0/2、Ethernet0/0/3
interface Vlanif10
ip address 192.168.10.1 255.255.255.0
interface Vlanif20
ip address 192.168.20.1 255.255.255.0
interface Vlanif30
ip address 192.168.30.1 255.255.255.0
#端口绑定Vlan
interface Ethernet0/0/1
port link-type access
port default vlan 10
interface Ethernet0/0/2
port link-type access
port default vlan 20
interface Ethernet0/0/3
port link-type access
port default vlan 30
# 出端口配置不同类型的NAT功能,其中静态NAT支持全局和接口配置,配置命令一样,选择其一即可,而且静态NAT要在出接口使能
interface GigabitEthernet0/0/0
ip address 100.0.0.1 255.0.0.0
nat static global 100.0.0.3 inside 192.168.20.2 netmask 255.255.255.255 //静态NAT配置
nat server global 100.0.0.11 inside 192.168.10.2 acl 3000 //服务映射配置
nat outbound 2000 address-group 1 //端口NAT配置
nat static enable //静态NAT使能
# 配置通往互联网的默认路由
ip route-static 0.0.0.0 0.0.0.0 100.0.0.2
R2:
作为普通的路由设备,只需要在接口配置IP地址即可。
interface Ethernet0/0/0
ip address 8.8.8.1 255.0.0.0
interface GigabitEthernet0/0/0
ip address 100.0.0.2 255.0.0.0
HttpServer:
HttpServer上配置IP地址为192.168.10.2/24,网关地址为192.168.10.1;
启动FtpServer和HttpServer服务,端口默认。
动态NAT客户端:
配置IP地址为192.168.30.2/24,网关地址为192.168.30.1。
静态NAT客户端:
配置IP地址为192.168.20.2/24,网关地址为192.168.20.1。
Internet:
配置IP地址为8.8.8.8/8,网关地址为8.8.8.1。
3、结果
(1)验证静态NAT功能
操作:R2路由器的G0/0/0端口上开启抓包功能,并在静态NAT客户端对Internet客户端发起PING 包。
结果:
1)可以PING通
2)报文源IP地址由192.168.20.2转换为了100.0.0.3,静态NAT转换成功。
(2)验证端口NAT功能
操作:R2路由器的G0/0/0端口上开启抓包功能,并在动态NAT客户端对Internet客户端发起PING 包。
结果:
1)可以PING通
2)报文源IP地址由192.168.30.2转换为了100.0.0.6(在配置的动态公网IP地址100.0.0.4- 100.0.0.10范围内),端口NAT转换成功。
(3)验证服务映射功能
操作:Internet客户端向公网IP地址100.0.0.11分别发起HTTP、FTP请求。
结果:
1)HTTP访问请求成功
2)FTP访问请求失败,原因是服务映射配置中只允许目的端口为80的报文通过,其他端口的报文拒绝。另,因为模拟器中FTP不对用户名、密码做检查,所以用户名和密码是否输入不影响登录。
NAT功能介绍及配置应用相关推荐
- 操作Redis客户端工具详解之功能介绍及配置
问题背景 日常开发过程中,对于缓存,我们并不陌生.常用的缓存有个Redis.memcache.memcached等.那么操作缓存的工具又有很多,我们该怎么选择呢? 今天我们聊一下Redis的操作客户端 ...
- 路由器nat虚拟服务器,使用路由器的NAT功能(Apache配置和www服务)
1.首先,要配置网络环境,总共使用两台虚拟路由器.当数据从一个子网传输到另一个子网时,可通过路由器的路由功能来完成.因此,路由器具有判断网络地址和选择IP路径的功能,它能在多网络互联环境中,建立灵活的 ...
- Cisco PT模拟实验(19) 路由器的NAT功能配置
Cisco PT模拟实验(19) 路由器的NAT功能配置 实验目的: 掌握NAT网络地址转换的原理及功能 掌握NAT地址映射和端口映射的配置方法 掌握广域网(WAN)接入技术的原理 实验背景: 情景一 ...
- 1、solr包结构介绍,solrCore的安装配置,solr部署到Tomcat,多solrCore配置,配置中文分词器,界面功能介绍,Schema.xml的基本使用,数据导入
一.下载solr,下载地址是:http://archive.apache.org/dist/lucene/solr/,选择自己想要的solr的版本,本项目使用的版本是4.10.3 二.如果想下载Luc ...
- Alibaba Nacos配置中心功能介绍与不同命名空间、分组等配置
概述:我们前面介绍过 Nacos 可以为我们提供服务注册与发现,以及实现了配置中心功能,本章将介绍nacos 配置中心的使用方法,以及其不同场景下的配置方式.在前面我们介绍过nacos的领域模型(下图 ...
- 华为防火墙的NAT介绍及配置详解
一.华为防火墙NAT的六个分类 华为防火墙的NAT分类: NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端口,属于多对多转换,不能节约公网IP地址,使用情况较少. NAPT ...
- 配置华为防火墙NAT功能
Web配置NAT功能: 命令行配置NAT功能: [FW1]nat-policy //配置NAT策略 [FW1-policy-nat]rule name trust_ISP //策略名称 [FW1-po ...
- 02.虚拟功能介绍虚拟机网络配置xshell远程连接
文章目录 0.运维三大职责 1.虚拟机功能介绍 1.1快照 1.2挂起操作 1.3复制系统 1.4克隆机修改ip 1.5删除虚拟系统 1.6导出系统 2.操作规范 2.1第一个规范 2.2第二个规范 ...
- 会声会影2023旗舰版中文版永久功能介绍,会声会影版本系统要求配置及使用技巧
会声会影2023旗舰版是一款广受欢迎的视频编辑软件,它的最新版本,会声会影2023,已经发布.在这篇文章中,我们将探讨会声会影2023的新功能以及它对视频制作人员的影响. 会声会影20233旗舰版带来 ...
最新文章
- R语言apriori算法进行关联规则挖掘(限制规则的左侧或者右侧的内容进行具体规则挖掘)、使用subset函数进一步筛选生成的规则去除左侧规则中的冗余信息、获取更独特的有新意的关联规则
- mysql 数据库中心_mysql数据库管理中心
- 大话设计模式—建造者模式
- cloud一分钟 | 李飞飞离任谷歌云,工作重心将重新转回学术界
- 怎么把桌面计算机放到快速启动栏,怎么把桌面图标放到快速启动栏
- linux ip to int,linux ip选项处理(二)
- 【Python】os库介绍
- 大会预告 | 第一届中国情感计算大会
- 怎么安装mysql5.6.19_centos6.5 rpm安装mysql5.6.19操作及步骤
- 计算机病毒属于源程序吗,计算机病毒是否是源程序吗
- checking for libzip... configure: error: system libzip must be upgraded to version = 0.11问题解决
- pymol安装教程linux,Pymol安装与问题解决
- 整理的最新的前端面试题必问集锦 (持续更新)
- VS无法打开项目文件“Web.csproj” -此安装不支持该项目类型问题解决方案
- 获取实时汇率代码片段
- 计算机学院肖鹏,肖鹏-重庆大学物理学院
- 微信转发网站怎么可以看到icon图标?
- 不同颜色的RGB值、透明度A
- 「大哉数学之为用」优选法——梯级水库灌溉的优化设计
- 在vue中二级页面返回一级页面