華爲,NAT配置詳解

時間  2021-01-17
標籤 tcp ide 測試 spa 3d orm blog 接口 欄目 系統網絡 简体版
原文   原文鏈接

實驗拓撲
tcp

wKiom1WgqZTTCjORAADD0sW7Qp0942.jpg

PC1屬於VLAN10,PC2屬於VLAN20ide

PC1 IP:192.168.10.254/24                 R1 G0/0/0 IP:12.0.0.1/24測試

PC2 IP:192.168.20.254/24                 R2 G0/0/0 IP: 12.0.0.2/24ui

SW1 VLAN1 IP:192.168.1.10/24spa

SW2 VLAN1 IP:192.168.1.20/243d


實驗內容
orm

R1模擬內網出口路由,R2模擬運營商設備
blog

一、在R1上作靜態NAT使內網成員能夠訪問外網接口

二、在R1上作動態NAT使內網成員能夠訪問外網ip

三、在R1上作PAT使內網成員能夠訪問外網

四、在R1上作靜態端口映射,使R2能夠對SW1和SW2進行遠程管理


一、靜態NAT配置

現有2個公網地址

202.106.1.1/32

202.106.1.2/32


靜態NAT爲一對一併不能節省IP地址


R1靜態NAT配置:


<R1>system-view 

[R1]int g0/0/0    

[R1-GigabitEthernet0/0/0]nat static global 202.106.1.1 inside 192.168.10.254  //將這個公網地址映射到內部IP爲:192.168.10.254的主機也就是C1

[R1-GigabitEthernet0/0/0]nat static global 202.106.1.2 inside 192.168.20.254 //同上映射到C2


R2配置回程路由:

[R2]ip route-static 202.106.1.1 32 12.0.0.1   

[R2]ip route-static 202.106.1.2 32 12.0.0.1


如今應該C1與C2均可以與外網通訊了

wKioL1WgtaWys1iSAAH4udFOXAU489.jpg

wKiom1Wgs9GyZ_ibAAH4MgKqQV8335.jpg

在R2上抓包驗證看源地址是不是202.106.1.1和202.106.1.2

wKiom1WgtM7zlkr8AAGSI8L8mmI791.jpg

wKioL1WgtqODHJtTAAG3tlJh3pk769.jpg


二、動態NAT

現有如下公網地址202.106.1.0/24


動態NAT是在出口路由器上作了一個地址池,內網PC訪問外網時會從地址池內獲取一個公網IP。


R1動態NAT配置:

[R1]nat address-group 1 202.106.1.1 202.106.1.254 //建立一個NAT地址池

[R1]acl 2000  //定義一個訪問控制列表

[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255 

[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255

[R1-acl-basic-2000]quit

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat  //將ACL與地址池關聯,no-pat表示不可反覆使用


R2配置回程路由:


[R2]ip route-static 202.106.1.0 24 12.0.0.1



抓包測試

wKiom1Wgud6wa_hBAAIHr2BkvBE087.jpg

wKiom1WgunyDAKkMAAPEQDZ-bIY529.jpg會發現這裏模擬器是有bug的,ping命令發送5個包,這裏每一個包都獲取了一個地址


三、PAT配置

現有一個公網地址202.106.1.1/32


PAT是將一個公網地址反覆使用,全部主機都經過它來上網


R1 PAT配置:


[R1]nat address-group 1 202.106.1.1 202.106.1.1  //建立一個地址池

[R1]acl 2000          //定義一個訪問控制列表

[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255

[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255

[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1  //將ACL與地址池關聯


R2上回程路由:

[R2]ip route-static 202.106.1.1 32 12.0.0.1


抓包測試

wKiom1WgvdTwMbn4AAHxFH4N5j0717.jpg

wKiom1WgvmDgPe0iAANwy3o7OJw218.jpg

wKiom1WgvuCDRjTtAAH8zfXnkho341.jpg

wKioL1WgwRfwJ6luAANjy_X_DCo865.jpg


如今一個公網IP都沒有隻有一個外網口G0/0/0IP:12.0.0.1

[R1]acl 2000          //定義一個訪問控制列表

[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255

[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]ip address 12.0.0.1 24

[R1-GigabitEthernet0/0/0]nat outbound 2000 //反覆使用當前接口地址


抓包驗證

wKioL1WgwyrS82GSAALOKxLlHtQ152.jpg


五、靜態端口映射


在PAT的基礎上輸入以下命令

R1:


[R1-GigabitEthernet0/0/0]nat static protocol tcp global current-interface telnet 

inside 192.168.1.10 telnet

//將當前接口的23端口映射到192.168.1.10的23端口,這裏輸入端口號或者協議均可以



[R1-GigabitEthernet0/0/0]nat static protocol tcp global current-interface 1212 inside 192.168.1.20 telnet

//將當前接口的1212端口映射到192.168.1.20的23端口



測試

wKiom1WgyNCShfB8AAEWAEFz-vI388.jpg

-------------------------------------------------------------------------------------------

wKioL1WgywXj3NJEAACzheNdMMk251.jpg

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程