华三设备实现nat(basic nat NATP esay IP)

Posted 害怕网络暴力

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了华三设备实现nat(basic nat NATP esay IP)相关的知识,希望对你有一定的参考价值。

Basic nat

basic nat实现的是公网地址私网地址一对一转换;
物理拓扑

配置思路:
1.地址配好;(我这里组网比较简单,如果私网有多个网段,nat设备要能学习到需要转换的地址路由);
2.在nat设备上使用acl抓取需要转换的地址;
3.配置地址池范围;
4.在出接口下应用nat;

## 主机配置:


这里交换机只是作为一个普通的二层接入交换机,不做配置;

## 路由器配置(nat设备)

[H3C]sysname NAT
[NAT-GigabitEthernet0/0]ip address  10.0.0.254 24
[NAT-GigabitEthernet0/0]in g0/1
[NAT-GigabitEthernet0/1]ip address 198.76.28.1 24

这时主机是可以ping通路由器的,可以测试一下,如果不通,就是地址配错了;

[NAT]acl basic  2000
[NAT-acl-ipv4-basic-2000]rule 0 permit source  10.0.0.0 0.0.0.255    #抓取需要转换的地址
[NAT]nat address-group 1
[NAT-address-group-1]address 198.76.28.11 198.76.28.20     #地址池范围
[NAT]interface g0/1 
[NAT-GigabitEthernet0/1]nat  outbound 2000 address-group 1 no-pat     #no  pat的意思是端口不参与转换

nat设备的地址和地址转换都配置完成

下面配置外网服务器的地址

[H3C]interface g0/0
[H3C-GigabitEthernet0/0]ip address  198.76.28.2 24

## 测试

这个时候在主机上ping外网的服务器发现已经可以访问了;

在nat设备的出口启动抓包软件(wireshark)可以发现数据包的源地址变成了198.76.28.13,而不是PC1的地址,因为已经被nat转换了;
PC2再去ping服务器,被转换成了198.76.28.14;

需要注意的是,私网可以访问公网,公网是无法访问内外的主机的,也在一定程度上保护了内网安全;

NAPT

napt原理基本和basic nat一致,但是它只有一个公网地址,从而也节省了IP地址,多个内网地址使用同一个公网地址的不同端口号去转换;
物理拓扑

拓扑依然不变,只是地址池从多个地址变成了一个地址,现在只需修改nat设备上了一些配置即可;
nat设备

[NAT]nat address-group 1
[NAT-address-group-1]undo address 198.76.28.11 198.76.28.20
[NAT-address-group-1]address 198.76.28.11 198.76.28.11
[NAT]interface g0/1
[NAT-GigabitEthernet0/1]undo nat outbound 2000
[NAT-GigabitEthernet0/1]nat outbound 2000 address-group 1

#进入地址池1,把地址池范围修改掉,并且进入出接口,重新应用acl和地址池,但是这次不加no-apt,因为要进行端口转换;
其他配置依旧保持不变;
测试
使用pc1去ping公网服务器,然后在nat设备上查看表项:

使用pc2去ping:

ESAY IP

esay ip是一种特殊的NAPT,NAPT是多个私网地址使用一个公网地址的不同端口号去访问internet,也是需要配置地址池的,而esay ip是不需要配置地址池,私网地址直接使用公网出接口的不同端口号去实现访问,配置也相对简单;
物理托拓扑依然是上面的拓扑,我们这里在nat设备上修改一下配置即可;
nat设备

这是我们上面配置的地址池,esay ip不需要配置地址池,但也没必要删了,直接在接口取消应用就行了;

[NAT]interface g0/1
[NAT-GigabitEthernet0/1]undo nat outbound 2000
[NAT-GigabitEthernet0/1]nat  outbound 2000   #应用nat,并且匹配acl 2000

测试
使用PC1去ping公网设备

NAT SERVER
公网设备想去访问处于私网的服务器

现在我私网里面有一个服务器,地址是192.168.1.1/24 ,公网的设备想要访问者个服务器,肯定不能直接访问192.168.1.1,私网地址在公网上是无法路由的,那怎么解决呢,就用到了nat server, 我们可以对私网地址做一个伪装,给他披上一个公网地址,让公网去访问这个伪装之后的地址。

[NAT]nat static outbound 192.168.1.1 198.76.28.100
[NAT]in g0/1
[NAT-GigabitEthernet0/1]nat static enable

#这里的意思就是让192.168.1.1 伪装成198.76.28.11,公网的设备访问198这个地址的时候,就等于在访问内网的服务器,但公网从始至终不知道私网地址是多少,一定程度上保护内网安全;
测试
在公网上ping198.76.28.100

在nat设备上查看nat转换信息,可以发现源和目的一些信息;

以上是关于华三设备实现nat(basic nat NATP esay IP)的主要内容,如果未能解决你的问题,请参考以下文章

NAT网络地址转换的一些操作

华三内网拓扑

ICE协议下NAT穿越的实现(STUN&TURN)

NAT实验演示(Huawei交换机设备配置)

NAT(地址转换模式)

NAT网络地址习题