|
|
华为静态NAT、动态NAT、NAPT、Easy NAT配置实例
* A0 u6 M6 A3 h+ h! D \一、NAT的四种类型9 t1 m) U6 R5 h# E
1,静态NAT(服务器地址转换)" Z$ w. B* d. A9 Y' V
静态NAT实现了私有地址和公有地址的一对一转换,一个公网地址对应一个私网地址! g* `# Y T# D- I$ v
2,动态NAT8 v6 s5 I& |+ b) d6 \5 C8 D4 D7 P `
动态NAT基于地址池来实现私有地址和公有地址的转换,转换是随机的7 v5 W6 R* [; L) B& q
3,NAPT(网络地址端口转换)
: O' J/ n& B0 M- g NAPT允许多个私网地址转换到同一个公有地址的不同端口,私网利用端口号来区分。8 U* b6 ^# y% i) p6 _
4,Easy IP:转换成出接口地址1 N7 a7 G" i+ h+ v5 L1 M
利用端口号来识别不用的私网地址,NAPT的特例。直接将内网私有地址转换为出接口的公网IP地址。) V8 C; ?# T' V- c- D! w
二、NAT配置
. {. }& [- u8 U! {1 s1 U. E1,实验拓扑以及IP地址分配如下:1 M( o; Q9 [& `: E& r
U2 ?4 C6 d: [ r$ B2,静态NAT配置步骤:
9 L! [7 ]4 u9 f* V 1,进入“出接口”:interface s4/0/0
$ R9 l/ s" X5 i7 f$ G6 @$ U& E 2,地址转换:nat static(静态) global(公网IP:未分配的IP地址)172.16.2.3 inside (内网需要转换的PC的私有IP地址)192.168.1.1
/ l9 L5 I4 q: }" u* E, [! ~3,动态NAT配置:
! H2 o3 U4 X5 _0 h6 y# I& Z. c. t 1.设置公网地址池:nat address-group 1 172.16.2.3 172.16.2.254
+ j: r; n6 i- X! S 2.创建ACL:acl 2000
7 @! T2 U+ ]9 T I6 Z0 @/ L4 Y 3.允许网段1.0的数据进行转换:rule 5 permit source 192.168.1.0 0.0.0.255
6 X0 D( f" H3 z :rule 10 deny //华为acl最后有一条默认的隐藏命令:permit any 与思科相反. v" D; A6 V6 q9 O
4.进入接口(出方向):interface serial4/0/06 Y" R" I/ ?+ {9 |# i5 o; K
5.匹配ACL:nat outbound 2000 address-group 1 no-pat //no-pat的作用:(不进行端口转换)
4 r% `# O0 ]2 u. i9 |! m# ]4,NAPT的配置:) W9 g0 k% V9 v3 q: e( |: m
1,公网地址池被缩减为只包含一个IP地址: nat address-group 1 172.16.2.254 172.16.2.254
2 u* O& K/ A" _& N 2,在动态NAT的第五步进行接口转换,nat outbound 2000 address-group 12 f J! t% t+ R2 A
5,Easy IP的配置:# q6 J2 I/ t2 W1 F- ^* I% y# B
1.创建ACL:acl 2000
0 P" n* N) s- |" l, J; V 2.允许1.0的数据进行转换:rule 5 permit source 192.168.1.0 0 .0.0.255
}9 I, S0 T+ q& V1 j7 O: {% _8 R :rule 10 deny
# \2 ^: g( Q& b6 c6 e- x, ^$ E 3.进入接口(出方向):interface serial4/0/06 d4 E% ]8 L) r
4.匹配ACL:nat outbound 20000 q- {5 N6 J2 V3 _: s9 I
三、验证Easy IP: {2 |* v0 G/ Q. [
用PC1 ping AR2,分别在接口g0/0/1和接口s4/0/0抓包查看源IP地址:9 |6 k8 G- S' M7 }: z2 k" w* f3 v
: q# T; m6 V+ j) |+ d6 F& t
接口G0/0/1
1 g ?% {6 D$ I( |/ G) ^) Q
! n3 ~9 a+ Y0 f& O9 C接口S4/0/0
3 G. Y$ j# s9 G. d" j% ?4 N7 l9 P& @
|
|
发表于 2022-3-21 13:50:54