NAT功能詳解及案例分析—華爲NAT server的實現

NAT

#network address translation -  網絡地址轉換。

NAT的分類

#靜態NAT、動態NAT，動態NAT包含了咱們經常使用的PNAT（PAT）。
端口nat (端口地址轉換

華爲&思科NAT對比

靜態NAT

#靜態轉換是指將內部網絡的私有IP地址轉換爲公有IP地址，
IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換爲某個公有IP地址。
藉助於靜態轉換，能夠實現外部網絡對內部網絡中某些特定設備（如服務器）的訪問。

動態NAT

#內部網絡的私有IP地址轉換爲公用IP地址時，IP地址是不肯定的，
是隨機的，全部被受權訪問上Internet的私有IP地址可隨機轉換爲任何指定的合法IP地址。

端口多路複用

（Port address Translation,PAT)：
#即端口地址轉換（PAT，Port Address Translation).採用端口多路複用方式。
內部網絡的全部主機都可共享一個合法外部IP地址實現對Internet的訪問，
從而能夠最大限度地節約IP地址資源。同時，又可隱藏網絡內部的全部主機，
有效避免來自internet的***。所以，目前網絡中應用最多的就是端口多路複用方式。

NAT的做用

#做用是實現內網私有IP地池與外網公有IP地址的轉換，從而實現內網與外網的互通。
同時還能夠隱藏內部網絡的結構，加強網絡的安全性。

靜態NAT配置

#nat static global  100.1.12.10   inside     192.168.1.1
[R1] interface gi0/0/0
[R1-gi0/0/0] nat static enable -> 開啓靜態NAT
備註：在華爲中，默認靜態路由使用nat static 和nat server 均可以.

華爲NAT案例分析：（配置命令）

案例一：配置靜態NAT

#實驗準備：
1、 網關路由器AR1，內網兩臺機器192.168.1.1 192.168.1.2
2、 外部網絡：100.1.10.0/24
3、 購買100.1.10.3/24 100.1.10.4/24 兩個ip爲公司公網IP
實驗要求：
1、實現pc1 與 pc2 能夠和外部100.1.10.2 通訊
2、實現訪問外網的IP是公網100.1.10.3/24 100.1.10.4/24網絡
實驗步驟：
1、 配置PC及路由器端口地址
2、 配置NAT
[Huawei]nat static global 100.1.10.4 inside 192.168.1.2
[Huawei] nat static global 100.1.10.3 inside 192.168.1.1
[Huawei]int gi 0/0/1
[Huawei-GigabitEthernet0/0/1]nat static enable
實驗驗證：
1、 驗證pc一、pc2與外網100.1.10.2通訊

2、  實現外網經過公網100.1.10.3/100.1.10.4 訪問內部192.168.1.一、192.168.1.2網絡

案例二：配置動態NAT(Basic NAT）

#實驗準備：
同案例一，實現內網192.168.1.0/24 網段使用動態公網100.1.10.5~100.1.10.7網段鏈接外網。
實驗步驟：
AR1:
[Huawei-GigabitEthernet0/0/0]int gi 0/0/1
[Huawei-GigabitEthernet0/0/1]acl 2000
[Huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
[Huawei]nat address-group 1 100.1.10.5 100.1.10.6
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
實驗驗證：
（1）pc1 pc2都能與AR1通訊


#（2）經過抓包，驗證192.168.1.0訪問外網使用公網IP

案例三：動態PAT （easy NAT/PAT）

#實驗準備：
如圖，內網使用192.168.1.0/24 網絡，
訪問外網都經過邊界路由公網IP：100.1.10.2來訪問
實驗步驟：
AR2:
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 默認使用端口公網IP
實驗驗證：
（1） 主機通訊（略）
（2） 經過抓包能夠看出，內網訪問外網解析的是網關100.1.10.2的地址

案例4：華爲靜態NAT——Nat server 的實現

#實驗要求：
如圖：實現了內部主機訪問外網地址轉換爲網關100.1.10.2對外訪問。
同時配置服務器，講192.168.1.1的80端口轉化爲公網100.1.10.10的8080端口供外部訪問。
實驗步驟：
（1） 客戶端主機地址轉換實現全網通
略
（2） AR2: [Huawei]int gi 0/0/1
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global
100.1.10.10 8080 inside 192.168.1.1 80
實驗驗證：
客戶端訪問服務器8080端口下載到服務器WEB文件。路徑100.1.10.10:8080，
文件在192.168.1.1服務器上。實驗成功。