华为,NAT配置详解

时间  2021-01-17
标签 tcp ide 测试 spa 3d orm blog 接口 栏目 系统网络 繁體版
原文   原文链接

实验拓扑
tcp

wKiom1WgqZTTCjORAADD0sW7Qp0942.jpg

PC1属于VLAN10,PC2属于VLAN20ide

PC1 IP:192.168.10.254/24                 R1 G0/0/0 IP:12.0.0.1/24测试

PC2 IP:192.168.20.254/24                 R2 G0/0/0 IP: 12.0.0.2/24ui

SW1 VLAN1 IP:192.168.1.10/24spa

SW2 VLAN1 IP:192.168.1.20/243d


实验内容
orm

R1模拟内网出口路由,R2模拟运营商设备
blog

一、在R1上作静态NAT使内网成员能够访问外网接口

二、在R1上作动态NAT使内网成员能够访问外网ip

三、在R1上作PAT使内网成员能够访问外网

四、在R1上作静态端口映射,使R2能够对SW1和SW2进行远程管理


一、静态NAT配置

现有2个公网地址

202.106.1.1/32

202.106.1.2/32


静态NAT为一对一并不能节省IP地址


R1静态NAT配置:


<R1>system-view 

[R1]int g0/0/0    

[R1-GigabitEthernet0/0/0]nat static global 202.106.1.1 inside 192.168.10.254  //将这个公网地址映射到内部IP为:192.168.10.254的主机也就是C1

[R1-GigabitEthernet0/0/0]nat static global 202.106.1.2 inside 192.168.20.254 //同上映射到C2


R2配置回程路由:

[R2]ip route-static 202.106.1.1 32 12.0.0.1   

[R2]ip route-static 202.106.1.2 32 12.0.0.1


如今应该C1与C2均可以与外网通讯了

wKioL1WgtaWys1iSAAH4udFOXAU489.jpg

wKiom1Wgs9GyZ_ibAAH4MgKqQV8335.jpg

在R2上抓包验证看源地址是不是202.106.1.1和202.106.1.2

wKiom1WgtM7zlkr8AAGSI8L8mmI791.jpg

wKioL1WgtqODHJtTAAG3tlJh3pk769.jpg


二、动态NAT

现有如下公网地址202.106.1.0/24


动态NAT是在出口路由器上作了一个地址池,内网PC访问外网时会从地址池内获取一个公网IP。


R1动态NAT配置:

[R1]nat address-group 1 202.106.1.1 202.106.1.254 //建立一个NAT地址池

[R1]acl 2000  //定义一个访问控制列表

[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255 

[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255

[R1-acl-basic-2000]quit

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat  //将ACL与地址池关联,no-pat表示不可反复使用


R2配置回程路由:


[R2]ip route-static 202.106.1.0 24 12.0.0.1



抓包测试

wKiom1Wgud6wa_hBAAIHr2BkvBE087.jpg

wKiom1WgunyDAKkMAAPEQDZ-bIY529.jpg会发现这里模拟器是有bug的,ping命令发送5个包,这里每一个包都获取了一个地址


三、PAT配置

现有一个公网地址202.106.1.1/32


PAT是将一个公网地址反复使用,全部主机都经过它来上网


R1 PAT配置:


[R1]nat address-group 1 202.106.1.1 202.106.1.1  //建立一个地址池

[R1]acl 2000          //定义一个访问控制列表

[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255

[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255

[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1  //将ACL与地址池关联


R2上回程路由:

[R2]ip route-static 202.106.1.1 32 12.0.0.1


抓包测试

wKiom1WgvdTwMbn4AAHxFH4N5j0717.jpg

wKiom1WgvmDgPe0iAANwy3o7OJw218.jpg

wKiom1WgvuCDRjTtAAH8zfXnkho341.jpg

wKioL1WgwRfwJ6luAANjy_X_DCo865.jpg


如今一个公网IP都没有只有一个外网口G0/0/0IP:12.0.0.1

[R1]acl 2000          //定义一个访问控制列表

[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255

[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]ip address 12.0.0.1 24

[R1-GigabitEthernet0/0/0]nat outbound 2000 //反复使用当前接口地址


抓包验证

wKioL1WgwyrS82GSAALOKxLlHtQ152.jpg


五、静态端口映射


在PAT的基础上输入以下命令

R1:


[R1-GigabitEthernet0/0/0]nat static protocol tcp global current-interface telnet 

inside 192.168.1.10 telnet

//将当前接口的23端口映射到192.168.1.10的23端口,这里输入端口号或者协议均可以



[R1-GigabitEthernet0/0/0]nat static protocol tcp global current-interface 1212 inside 192.168.1.20 telnet

//将当前接口的1212端口映射到192.168.1.20的23端口



测试

wKiom1WgyNCShfB8AAEWAEFz-vI388.jpg

-------------------------------------------------------------------------------------------

wKioL1WgywXj3NJEAACzheNdMMk251.jpg

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程