NAT技术配置(内外网IP地址转换)
配置NAT技术(内外网IP地址转换)一. 什么是NAT? NAT是将IP数据报文头中的IP地址转换成另一个IP地址的过程,主要用于实现内部地址(私有IP地址)访问外部地址(公有IP地址)的功能,NAT转换设备处于内部网络和外部网络的连接处,常见的有路由器,防火墙等。二. 实验内容 本实验模拟企业网络场景,R1是公司的出口网关路由器,公司内员工和服务器都通过交换机S1或S2连接到R1上,
NAT技术配置(内外网IP地址转换)
一. 什么是NAT?
NAT是将IP数据报文头中的IP地址转换成另一个IP地址的过程,主要用于实现内部地址(私有IP地址)访问外部地址(公有IP地址)的功能,NAT转换设备处于内部网络和外部网络的连接处,常见的有路由器,防火墙等。
二. 实验内容
本实验模拟企业网络场景,R1是公司的出口网关路由器,公司内员工和服务器都通过交换机S1或S2连接到R1上,R2模拟外网设备与R1直连,由于公司内网都使用私有IP地址,为了实现公司内部分员工可以访问外网,服务器可以供外网用户访问,网络管理员需要在R1配置NAT,使用静态NAT和NAT Outbound技术使得部分员工可以访问外网,使用NAT Server技术使得服务器可以供外网用户访问。
三. 网络拓扑
3.1 配置静态NAT:
PC1为客户经理,要求自身能访问外网,外网用户也能之间访问他,所以给PC1分配了一个IP地址 202.168.10.5做静态NAT地址转换
[R1]ip route-static 0.0.0.0 0.0.0.0 202.169.10.2 配置默认路由
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]nat static global 202.169.10.5 inside 172.16.1.1
可以使用display nat static命令查看nat配置情况
3.2 配置NAT Outbound
公司内市场部员工都需要能够访问外网,市场部使用私网IP地址172.17.1.0/24 的网段,网络管理员使用公有地址池202.169.10.50—202.169.10.60为市场部员工做NAT转换。
在R1上使用nat address-group配置NAT地址池:
[R1]nat address-group 1 202.169.10.50 202.169.10.60
创建基本ACL 2001,允许172.17.1.0/24网段的地址转换,并在G0/0/0接口下使用nat outbound命令将acl 2001与地址池相关联,使得acl中规定的地址可以使用地址池进行地址转换:
[R1]acl 2001
[R1]rule 5 permit source 172.17.1.0 0.0.0.255
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2001 address-group 1 nat-pat
可以使用display nat outbound查看nat outbound配置情况:
3.3 配置NAT Easy-IP
为了节约公网地址,可以直接使用路由器出接口IP地址作为公网地址,将不同的内部地址映射到同一公网地址的不同端口号上,实现多对一地址转换。
使用nat outbound命令配置Easy-IP特性,直接使用接口IP地址作为NAT转换后的地址:
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2001
在PC2,PC3上使用 UDP发包工具发送UDP数据包到公网地址202.169.20.1,配置好目的IP地址和UDP源,目的端口号后,输入字符串数据后单击发送:
可以使用display nat session protocol udp verbose查看nat session详细信息:
3.4 配置NAT Server
公司服务器提供FTP服务供外网用户访问,配置NAT Server并使用公网IP地址202.169.10.6对外公布服务器地址,然后开启NAT ALG功能,因为对于封装在IP数据报文中的应用层协议报文,正常的NAT转换会导致错误,开启NAT ALG功能后,才可以进行正常NAT转换。
在R1的G0/0/0接口上使用nat server定义内部服务器的映射表,指定服务器通信类型为TCP,配置服务器使用公网地址为202.169.10.6,服务器内网地址为172.16.1.3,指定端口号为21,可以使用FTP关键词代替:
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]nat server protocol tcp global 202.169.10.6 ftp inside 172.16.1.3 ftp
[R1-GigabitEthernet0/0/0]quit
[R1]nat alg ftp enable
使用display nat server查看nat server配置:
在服务器上开启ftp功能:
在R2上模拟公网用户访问该私网服务器:
到这里为止,NAT配置实验已全部结束,感觉对你们有帮助的小伙伴请点个赞吧~谢谢
更多推荐
所有评论(0)