精华内容
下载资源
问答
  • 静态NAT,动态NAT与NAPT区别

    千次阅读 2019-01-22 11:26:32
    NAT是地址映射,NAPT是端口映射 NAT一般的用法是有一个IP地址池。 里面有很多外部IP地址,当有内部IP地址要出去的时候,就随机选一IP地址作为其出口IP。 NAPT也叫做PAT,他只有一个外部IP地址,如果有内部IP地址要...

    写的不错的:https://blog.csdn.net/gui951753/article/details/79593307
    NAT是地址映射,NAPT是端口映射 NAT一般的用法是有一个IP地址池。
    静态百NAT与动态NAT的具体区别如下:
    1、静态NAT是指在NAT转换时,为某一个或者某一组内局地址总是转换为固定的外局地址。
    一般情况下,常用企业小型办公网这种结构最常见,NAT服务器上只有一个外局地址,即公网地址。

    2、动态NAT是指外部IP有多个,比如1.1.1.1-10,客户端向外访问时,是轮询使用这10个IP地址的。
    当然,这种结构下仍然可以根据需求实现静态内NAT。
    比如某个网管必须使用一个容固定IP去访问远端防火墙及后面的应用。

    3、静态的把10.1.1.20映射到202.100.1.20上,或者静态的把10.1.1.20的80端口映射到202.100.1.20的80端口上。

    4、动态NAT就是动的,不完全可控的,可能ip不太确定也可能端口号不太确定,但都是在一个设定的范围内的。
    里面有很多外部IP地址,当有内部IP地址要出去的时候,就随机选一IP地址作为其出口IP。
    NAPT也叫做PAT,他只有一个外部IP地址,如果有内部IP地址要出去。
    他就随机选一个端口来连接Internet,来表示那台内网机器。
    NAT:网络地址转换 。NAPT:网络地址端口转换。
    它们都是地址转换,不同的是,NAT是NAT是一对一转换,NAPT是多对一转换(所以说是overload)。
    通俗来说NAT是一个内部地址转换成一个外部地址进行通信的,而NAPT是多个内部地址使用同一地址不同端口转换成外部地址进行通信的。

    NAPT分为静态NAPT和动态NAPT。静态NAPT一般应用在将内部网指定主机的指定端口映射到全局地址的指定端口上。而前一小节提及的静态NAT,是将内部主机映射成全局地址。
    https://baike.baidu.com/item/nat/320024?fr=aladdin

    展开全文
  • 我们通过一个例子来说说它们的作用: A公司的内网有100台电脑,网段为192.168.1.0/24,某些电脑需要...最重要的特点是一对一,而且是静态指定的(一个内网ip对应一个外网ip是固定好的),常用于将内网服务器的ip地.

    我们通过一个例子来说说它们的作用:

    A公司的内网有100台电脑,网段为192.168.1.0/24,某些电脑需要访问互联网,但是内网地址是无法访问到互联网,怎么办呢?

    公司有拉了一条联通的专线连接到防火墙,专线的ip地址为58.1.1.1,此时我们将内网的某些192.168.1.x地址通过NAT转换成58.1.1.1就可以访问到互联网啦。

     

    上图解释一下它们的原理和不同:

    静态NAT:

    最重要的特点是一对一,而且是静态指定的(一个内网ip对应一个外网ip是固定好的),常用于将内网服务器的ip地址映射到外网ip;

     

    动态NAT:

    特点是多个内网ip组成的地址池,指向到多个外网ip组成的地址池,当内网ip需要访问外网时,就从外网ip地址池中取一个外网ip地址(每次取的ip地址可能不同);

    两个地址池中的ip个数可以不同;

     

    PAT:

    特点是将多个内网ip地址指向到同一个外网ip地址的不同端口,通过访问外网ip的不同端口就可以访问到内网ip了

    比如:192.168.1.1 -->58.1.1.1:2233    192.168.1.2-->58.1.1.1:2234

     

     

    本文原创,转载请注明出处。

     

    展开全文
  • 文章目录前言:一、Nat工作原理1.1 Nat工作原理1.2 NAT类别1.2.1 静态NAT1.2.2 动态NAT1.2.3 网络地址端口转换NAPT1.2.4 NAT使用小结1.3 NAT特性1.3.1 NAT优缺点1.3.2 NAT表查询命令二、华为NAT实验2.1 实验拓扑2.2 ...

    前言:

    NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。

    这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接>

    一、Nat工作原理

    1.1 Nat工作原理

    在这里插入图片描述

    • NAT(Network Address Translation,网络地址转换),用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信

    • NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发, 这就是NAT的工作原理。

    1.2 NAT类别
    • NAT共有三种类型

      静态NAT(Statci NAT)

      动态地址NAT(Pooled NAT)

      网络地址端口转换NAPT (Port-Level NAT)

    1.2.1 静态NAT

    其中静态NAT设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,三种NAT方案各有利弊。 (即私有地址和公有地址一一对应)

    1.2.2 动态NAT

    动态地址NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后,动态地址NAT就会分配给他一个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。

    1.2.3 网络地址端口转换NAPT

    NAPT是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。(即一个公有地址对多个私有地址)

    1.2.4 NAT使用小结

    NAT实际是“一对多”和“多对多”的实现方法

    在Internet中使用NAPT时,所有不同的信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用,通过从ISP处申请的一个IP地址,将多个连接通过NAPT接入Internet。实际上,许多SOHO远程访问设备支持基于PPP的动态IP地址。这样,ISP甚至不需要支持NAPT,就可以做到多个内部IP地址共用一个外部IP地址上Internet,虽然这样会导致信道的一定拥塞,但考虑到节省的ISP上网费用和易管理的特点,用NAPT还是很值得的。

    1.3 NAT特性
    1.3.1 NAT优缺点
    • NAT优点

      节省共有合法IP地址

      处理地址重叠

      增强灵活性

      安全性

    • NAT缺点

      延迟增大

      配置和维护复杂

      不支持某些应用(可以通过静态NAT映射来避免)

    1.3.2 NAT表查询命令
    display nat session all
    二、华为NAT实验

    实验目的:通过配置NAT路由器,实现私网与外网地址互通

    2.1 实验拓扑

    在这里插入图片描述

    2.2 实验步骤
    2.2.1 交换机配置
    <Huawei>system-view 
    [Huawei]sysname SW
    [SW]vlan batch 10 20 30 40 
    #配置直连接口为accee类型
    [SW]int g0/0/1
    [SW-GigabitEthernet0/0/1]port link-type access
    [SW-GigabitEthernet0/0/1]port default vlan 10
    [SW-GigabitEthernet0/0/1]undo shutdown 
    [SW-GigabitEthernet0/0/1]int g0/0/2
    [SW-GigabitEthernet0/0/2]port link-type access
    [SW-GigabitEthernet0/0/2]port default vlan 20
    [SW-GigabitEthernet0/0/2]undo shut
    [SW-GigabitEthernet0/0/2]q
    [SW]int g0/0/6
    [SW-GigabitEthernet0/0/6]port link-type access
    [SW-GigabitEthernet0/0/6]port default vlan 30
    [SW-GigabitEthernet0/0/6]undo shut
    [SW-GigabitEthernet0/0/6]q
    [SW]int g0/0/5
    [SW-GigabitEthernet0/0/5]port link-type access
    [SW-GigabitEthernet0/0/5]port default vlan 40
    [SW-GigabitEthernet0/0/5]undo shut
    [SW-GigabitEthernet0/0/5]q
    
    #配置虚拟子接口IP地址
    [SW]int vlanif 10
    [SW-Vlanif10]ip add 192.168.10.1 24
    [SW-Vlanif10]undo shut
    [SW-Vlanif10]int vlanif 20
    [SW-Vlanif20]ip add 192.168.20.1 24
    [SW-Vlanif20]undo shut
    [SW-Vlanif20]int vlanif 30
    [SW-Vlanif30]ip add 192.168.30.1 24
    [SW-Vlanif30]undo shut
    [SW-Vlanif30]int vlanif 40
    [SW-Vlanif40]ip add 11.0.0.2 24
    [SW-Vlanif40]undo shut
    [SW-Vlanif40]q
    
    #配置向上(路由)的默认路由
    [SW]ip route-static 0.0.0.0 0.0.0.0 11.0.0.1
    2.2.2 路由器AR1配置
    <Huawei>sys
    [Huawei]sysname AR1
    #配置接口IP地址
    [AR1]int g0/0/0
    [AR1-GigabitEthernet0/0/0]ip add 11.0.0.1 24
    [AR1-GigabitEthernet0/0/0]undo shut	
    [AR1-GigabitEthernet0/0/0]undo shutdown 
    [AR1-GigabitEthernet0/0/0]int g0/0/1
    [AR1-GigabitEthernet0/0/1]ip add 12.0.0.1 24
    [AR1-GigabitEthernet0/0/1]undo shut
    [AR1-GigabitEthernet0/0/1]q
    
    ##静态NAT模式
    #静态NAT方式一:在接口上开启NAT功能
    [AR1]int g0/0/1
    [AR1-GigabitEthernet0/0/1]nat static enable 
    [AR1-GigabitEthernet0/0/1]q
    
    #静态NAT方式二:全局模式设置PC1的数据出口时转换为8.8.8.8
    [AR1]nat static global 8.8.8.8 inside 192.168.10.10
    #设置静态路由
    [AR1]ip route-static 192.168.0.0 16 11.0.0.2
    [AR1]ip route-static 0.0.0.0 0.0.0.0 12.0.0.2
    
    
    ###动态NAT设置(多对多)
    #新建一个名为1的nat地址池
    [AR1]nat address-group 1 212.0.0.100 212.0.0.200
    #acl 2000(acl编号)
    [AR1]acl 2000
    #(规则)允许源地址为192.168.20.0/24网段和11.0.0.0/24的数据通过
    [AR1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
    [AR1-acl-basic-2000]rule permit source 11.0.0.0 0.0.0.255
    
    #配置接口地址转换
    [AR1-acl-basic-2000]int g0/0/1
    #将ACL 2000匹配的数据转换为改接口的IP地址作为源地址(no pat 不做端口转换、只做IP地址转换,默认为pat)
    [AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
    [AR1-GigabitEthernet0/0/1]q
    
    ##Easy ip
    #acl 3000(acl编号)
    [AR1]acl 3000
    #允许源地址为192.168.30.0/24网段的数据通过
    [AR1-acl-adv-3000]rule permit ip source 192.168.30.0 0.0.0.255
    [AR1-acl-adv-3000]q
    
    #当acl3000匹配的源IP数据到达此接口时,转换为该接口的IP地址做为源地址
    [AR1]int g0/0/1
    [AR1-GigabitEthernet0/0/1]nat outbound 3000
    2.2.3 路由器AR2设置
    <Huawei>system-view 
    [Huawei]sysname AR2
    
    #配置IP地址
    [AR2]int g0/0/0
    [AR2-GigabitEthernet0/0/0]ip add 12.0.0.2 24
    [AR2-GigabitEthernet0/0/0]undo shut
    [AR2]int g0/0/1
    [AR2-GigabitEthernet0/0/1]ip add 13.0.0.1 24
    [AR2-GigabitEthernet0/0/1]undo shut
    [AR2]int loo 0
    [AR2-LoopBack0]ip add 111.111.111.111 32
    [AR2-LoopBack0]q
    
    #配置静态路由
    [AR2]ip route-static 8.8.8.8 32 12.0.0.1
    [AR2]ip route-static 212.0.0.0 24 12.0.0.1
    2.2.4 PC1、PC2、Server1配置
    • PC1、PC2设置
      在这里插入图片描述
      两台PC配置方法相同

    • Server1配置
      在这里插入图片描述

    2.3 验证
    2.3.1 PC1 ping AR2 的环回地址(设置的静态NAT)
    • 在AR1的G0/0/1接口处抓包
      在这里插入图片描述- 抓包信息
      在这里插入图片描述
    2.3.2 PC2 ping AR2的环回地址(设置的动态NAT)
    • 在AR1的G0/0/1接口处抓包
      在这里插入图片描述

    • 抓包信息

    在这里插入图片描述

    2.3.3 Server1 ping AR2的环回地址(设置的Easy ip)
    • 在AR1的G0/0/1接口处抓包
      在这里插入图片描述

    • 抓包信息
      在这里插入图片描述

    三、实验总结

    3.1 静态NAT小结

    单对单模式,共有两种方法

    • 方法① 在全局模式输入以下命令
    nat static global 2.2.2.2 inside 192.168.10.10
    • 在内网接口上开启静态nat功能
    int g0/0/0
    nat static enable
    
    • 方法② 直接在内网接口中声明
    int g0/0/0
    nat static global 2.2.2.2 inside 192.168.10.10
    
    3.2 动态NAT小结

    多对多的地址转换模式

    • 多个私网地址对应多个公网地址
    #创建地址池
    nat address-group 1 100.0.0.100 100.0.0.200	
    #创建acl访问控制列表,并设置规则
    acl 2000		
    rule permit source 192.168.20.0 0.0.0.255	
    #在内网接口处设置地址转化
    int g0/0/0
    nat outbound 2000 address-group 1 no-pat
    3.3 EasyIP

    多对一的地址转换模式

    • 多个私网地址对应一个公网地址
    #创建ACL访问控制列表,并设置规则
    acl 3000
    rule permit ip source 192.168.30.0 0.0.0.255
    #允许acl3000规则中的地址通过
    int g0/0/0
    nat outbound 3000
    3.4 端口映射

    将公网地址端口映射到私网地址,实现访问(静态NAT与PAT的结合)

    [R1]int g0/0/0
    #将内网服务器192.168.50.10的主域名地址映射到外网口主域名地址
    nat server protocol tcp global current-interface www inside 192.168.50.10 ww
    
    #也可以使用使用端口-ip的映射,将内网服务器192.168.1.100端口号为23的地址映射到100.231.212.5端口号23的地址
    ip nat inside source static tcp 192.168.1.100 23 100.231.212.5 23 

    四、NAT中部分配置功能简述

    4.1 ACL 访问控制列表

    ACL:access list 访问控制列表

    4.1.1 ACL 种类
    • ACL分为两种

      基本acl (范围2000~2999) :只能匹配源IP地址

      高级acl (范围3000~3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段

    4.1.2 ACL配置注意事项
    • ACL有四个注意事项
      • ① 一个接口的同一个方向,只能调用一个acl
      • ② 一个acl里面可以有多个rule 规则,从上往下依次执行
      • ③ 数据包一旦被某rule匹配,就不再继续向下匹配
      • ④ 用来做数据包访问控制时,默认隐含放过所有(华为设备)
    4.1.3 ACL的两种作用
    • ① 用来对数据包做访问控制(丢弃或放行)
    • ② 结合其他协议,用来控制匹配范围
    4.2 No-PAT

    在配置多对多NAT时,在接口处使用到了以下命令

    nat outbound 2000 address-group 1 no-pat

    这里NO-PAT的作用是不做端口转换,制作IP地址转换,默认的配置为PAT

    4.2.1 扩展介绍
    • NO-PAT理论上可以同时支持(65535 - 1024)= 64511个连接会话。但实际使用中由于设备性能和物理连接特性是不能达到的。
    • NO-PAT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NO-PAT将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。也就是采用port multiplexing 技术。

    总结:

    本篇博客介绍了NAT地址转换原理,现网中,根据实际需求和指定计划进行分配
    在之后会介绍华为防火墙NAT的原理及配置~~

    展开全文
  • H3C路由器动态NAT配置步骤全解析

    万次阅读 2013-08-21 07:46:16
    3C路由器所支持的动态NAT地址转换主要包括:NAPT、NOPAT、EASY IP这三种模式。一般情况下,通过在接口上配置所需关联的ACL和内部全局地址池(当采用EASY IP进行配置时不用配置址池)即可实现动态地址转换,让内部...

      以下内容摘自刚刚上市,史上最全面、最系统的的四本大型(每本平均近900页)网络设备新书之一《H3C路由器配置与管理完全手册》(第二版),其它三本分别是:《Cisco交换机配置与管理完全手册》(第二版)《Cisco路由器配置与管理完全手册》(第二版)《H3C交换机配置与管理完全手册》(第二版)。    目前在京东网、当当网上同时购买这四本新书,可直减30元,点击查看:http://item.jd.com/11299332.html , http://book.dangdang.com/20130730_aife

       在互动出版网上同时购买这四本新书,7折并赠送一个8G云U盘(另送15G云空间),点击查看:http://www.china-pub.com/STATIC/zt_mb/zt_huodong_2013_1.asp?filename=2013_slwd_0801

      另外,目前这四本新书正在本站进行有奖试读活动(还有仅10天结束),详情点击:http://blog.chinaunix.net/uid-24789255-id-3826290.html


    7.3 配置动态NAT地址转换

        在本章前面已说了,H3C路由器所支持的动态NAT地址转换主要包括:NAPTNOPATEASY IP这三种模式。一般情况下,通过在接口上配置所需关联的ACL和内部全局地址池(当采用EASY IP进行配置时不用配置址池)即可实现动态地址转换,让内部网络用户根据ACL可选配置)所配置的策略动态选择地址池中可用的IP地址进行转换。但要注意:有些H3C设备还支持仅仅通过判断流出接口报文的源地址,而不使用ACL的方式来实现出接口报文的动态地址转换。

        NOPATNAPT的区别就是根据是否同时使用端口信息来进行动态地址转换:NOPAT为不使用TCP/UDP端口信息实现的多对多地址转换是纯IP地址的转换;NAPT为使用TCP/UDP端口信息实现的多对一地址转换,可以是仅IP地址或端口,或者端口与IP地址同时进行的转换。若直接使用NAT路由器外部网络接口的IP地址作为转换后的内部全局IP地址,则就是EASY IP这种动态NAT地址转换模式了。

        在H3C路由器中,NAT地址转换关联一般在NAT路由器的外部网络接口(出接口)上配置,但是当某内网主机需要通过多个出接口访问外网时,就需要在多个出接口上配置地址转换关联,配置过程就比较复杂了,所以H3C路由器又提供了内部网络接口(入接口)地址关联的配置方案。这样当NAT路由器作为VPN间互访的工具时,在出接口较多的情况下,通过在接入各私网的入接口上配置地址转换关联达到简化配置的目的。这两种配置方式的特点如下(目前主要还是在出接口上关联):

    l    若配置NAT路由器外部网络接口地址关联,那么从外部网络接口发送的首个数据包会首先由ACL(或报文源地址)进行判定是否允许进行地址转换,然后根据关联找到与之对应的地址池(或接口地址)进行源地址转换,并建立地址转换表项,后续数据包直接根据地址转换表项进行转换。

    l    如果配置NAT路由器内部网络接口地址关联,那么从内部网络接口接收的符合指定ACL的数据包首先会被重定向到NAT业务板,然后再做与外部网络接口地址转换类似的源地址转换处理。但该方式下地址转换不支持EASY IP特性,因为这时出口地址有多个。

        【注意】NAT路由器内部网络接口地址关联的支持情况与设备的型号有关,请以设备的实际情况为准。在同时配置了入接口和出接口地址关联的情况下,若报文同时匹配了入接口和出接口的地址转换关联规则,则以出接口规则优先,即只按照出接口地址转换关联进行转换。

    7.2.1 配置NOPAT

        NOPAT动态地址转换模式是通过配置ACL和地址池的关联,将与ACL匹配的报文的源IP地址转换为内部全局地址池中的一个IP地址,但不进行端口转换。NOPAT的具体配置步骤如表7-3所示(因为目前主要支持在出接口上关联NAT地址池,故在此仅以出接口关联进行介绍,下同)。

    表7-3  NOPAT的配置步骤

    步骤

    命令

    说明

    Step 1

    system-view

    例如:

    <Sysname> system-view

    进入系统视图

    Step 2

    nat address-group group-number start-address end-address

    例如:

    [Sysname] nat address-group 1 202.110.10.10 202.110.10.15

    定义一个动态NOPAT地址转换的内部全局地址池。在NOPAT的动态地址转换过程中,NAT路由器将会从地址池中选择一个IP地址作为转换后的报文源IP地址

    Step 3

    interface interface-type interface-number

    例如:

    [Sysname] interface serial 1/0

    键入NAT路由器外部网络接口,进入接口视图

    Step 4

    nat outbound [ acl-number address-groupgroup-number no-pat [ track vrrp virtual-router-id ]

    在出接口配置访问控制列表和地址池关联,但不使用端口信息,实现NOPAT

    下面对以上配置步骤中的一些主要命令进行说明。

    1. nat address-group命令

    nat address-group group-number start-address end-address系统视图命令用来配置NAT动态地址转换使用的全局地址池。命令中的参数说明如下:

    l    group-number,内部全局地址池组索引号,取值范围为0~31。在同一个地址组下可以创建多个地址池,但是要求不仅不同地址池中定义的IP地址段之间不允许重叠,地址组成员的IP地址段也不能与其它地址池或者其它地址组成员的IP地址段重叠。

    l    start-address:内部全局地址池的起始IP地址。

    l    end-address:内部全局地址池的结束IP地址。end-address必须大于或等于start-address,但内部全局地址池中的IP地址数不能超过255个。

         内部全局地址池必须是一些连续的IP地址集合。当对需要到达外部网络的数据报文进行地址转换时,其源地址将被转换为地址池中的某个地址。如果start-addressend-address相同,表示只有一个地址。可用undo nat address-group group-number命令删除原来所配置的内部地址池。但是,已经和某个ACL关联的地址池在进行NAT地址转换时是不允许删除的。

          以下示例是配置一个从210.110.10.10210.110.10.20的内部全局地址池,地址池号为1

    <Sysname> system-view

    [Sysname] nat address-group 1 210.110.10.10 210.110.10.20

    2.  nat outbound命令

            nat outbound [ acl-number ] [ address-group group-number [ vpn-instance vpn-instance-name ] [ no-pat [reversible ] ] ] [ track vrrp virtual-router-id ]接口视图令用来配置出接口地址关联。命令中的参数和选项说明如下:

    l    acl-number:可选参数,指定在进行NOPAT地址转换过程中要关联的ACL号,取值范围为2000~3999(即可以是基本ACL,也可以是高级ACL)。如果选择了该参数,则表示将一个ACL和一个内部全局地址池关联起来,符合ACL规则的报文的源IP地址才可以使用全局地址池中的IP地址进行转换;如果不选择此参数,则表示只要出口上报文的源IP地址不是出口的地址,都可以使用地址池中的地址进行地址转换。当ACL规则变为无效时,新连接的NAT会话表项将无法建立,但是已经建立的连接仍然可以继续通信。在一个接口下,一个ACL只能与一个内部全局地址池绑定;但一个内部全局地址池可以与多个ACL绑定

    l    address-group group-number:指定地址转换时要使用的内部全局地址池。如果不指定地址池,则直接使用NAT路由器的出接口IP地址作为转换后的报文源地址,这就相当于采用Easy IP动态NAT地址转换模式了。

    l    vpn-instance vpn-instance-name:可选参数,指定内部全局地址池中的IP地址所属的VPN实例,表示可以支持VPN之间通过NAT转换进行互访。其中,vpn-instance-name表示VPN实例名,为1~31个字符的字符串,区分大小写。如果不设置该值,表示不支持MPLS VPN多实例。

    l    no-pat:对于NOPAT地址转换模式来说,此为必选项,指定不使用TCP/UDP端口信息实现多对多的NOPAT地址转换。若不配置该参数,则表示使用TCP/UDP端口信息实现多对一的NAPT地址转换,那就成为了下节将要介绍的NPAT的配置了。

    l    reversible:可选项,表示允许反向地址转换。即在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换(即内部全局地址转换为内部本地地址)。但内网用户主动向外网发起连接并成功触发建立地址转换表项后,外网向该内网用户发起的连接必须与接口上动态地址转换配置使用的地址池所关联的某个ACL匹配才能成功利用已有的地址转换表项进行目的地址转换。

    l    track vrrp virtual-router-id:可选参数,指定出接口地址转换与VRRP备份组进行关联,作用于整个VRRP备份组。virtual-router-id表示关联的VRRP备份组号,取值范围为1~255。如果未指定本参数,则表示没有进行VRRP备份组关联。

           可用undo nat outbound [ acl-number ] [ address-group group-number [ vpn-instance vpn-instance-name ] [ no-pat [reversible ] ] ] [ track vrrp virtual-router-id ]命令取消与对应出接口的关联。但执行该命令后原来生成的NAT地址映射表项不会被自动删除,需要等待5~10分钟后自动老化。在此期间,使用该NAT地址映射表项的用户不能访问外部网络,但不使用该映射表项的用户不受影响。也可以使用reset nat session命令立即清除所有的NAT地址映射表项,但该命令会导致NAT业务中断,所有用户必须重新发起连接。

          另外,可以在同一个NAT路由器出接口上配置不同的地址转换关联,此时要使用对应的undo命令将相应的地址转换关联删除。

          以下示例是在外部网络接口Serial1/0上配置允许10.10.10.0/24网段的主机进行NOPAT动态地址转换,NAT地址池的IP地址范围为210.10.10.10~210.10.10.15

    1)配置与NAT地址池关联的ACL

    <Sysname> system-view

    [Sysname] acl number 2001

    [Sysname-acl-basic-2001] rule permit source 10.10.10.0 0.0.0.255  !---为基本ACL,允许源IP地址在10.10.10.0/24网络中的报文进行NAT地址转换

    [Sysname-acl-basic-2001] rule deny  !---创建一条规则,禁止其他IP包通过

    [Sysname-acl-basic-2001] quit

    2)配置所需的NAT地址池。

    [Sysname] nat address-group 1 210.10.10.10 210.10.10.15

    3)在外部网络接口Serial1/0上配置进行NOPAT地址转换,使用地址池组1中的地址进行地址转换。

    [Sysname] interface serial 1/0

    [Sysname-Serial1/0] nat outbound 2001 address-group 1 no-pat

    7.2.2 配置NAPT

        NAPT将在进行NAT地址转换过程中同时转换源IP地址和源端口,这样来自不同内部地址的数据报的目的地址可以映射到同一个外部IP地址,但它们的端口号被转换为该地址的不同端口号。

        在NAPT地址转换中,同样可以通过配置ACL和地址池的关联,将与ACL匹配的报文的源地址映射为地址池中的外部IP地址,且同时进行端口转换。具体的配置步骤如表7-4所示。整体配置与上节介绍的NOPAT的配置步骤差不多。

    表7-4  NAPT的配置步骤

    步骤

    命令

    说明

    Step 1

    system-view

    例如:

    <Sysname> system-view

    进入系统视图

    Step 2

    nat address-group group-number start-address end-address

    例如:

    [Sysname] nat address-group 1 202.110.10.10 202.110.10.15

    定义一个动态NAPT地址转换的内部全局地址池。在NAPT动态地址转换的过程中,NAT路由器将会从地址池中选择一个IP地址做为转换后的报文源IP地址

    Step 3

    interface interface-type interface-number

    例如:

    [Sysname] interface serial 1/0

    进入接口视图。注意要根据下面是在出口,还是在入口上配置地址池与ACL的关联来确定这里是NAT路由器的出口还是入口

    Step 4

    nat outbound [ acl-number address-groupgroup-number  [ track vrrp virtual-router-id ]

    键入NAT路由器外部网络接口,进入接口视图

    Step 5

    quit

    返回系统视图

    Step 6

    nat mapping-behavior endpoint-independent [acl acl-number ]

    (可选)配置地址转换模式。默认情况下,地址转换模式为Address and Port-Dependent Mapping(关心对端地址和端口转换模式)

       以上配置步骤中的nat outbound命令在上节已有介绍,只是此处不支持no-pat可选项,因为是要同时进行地址端口转换的。

    nat mapping-behavior endpoint-independent [ acl acl-number ]系统视图命令用来配置NPAT地址转换模式下的地址转换模式。命令中的选项和参数说明如下:

    l  endpoint-independent:表示采用不关心对端地址和端口的NAT地址转换模式。配置该命令后,只要是来自相同源IP地址和源端口的报文,无论其目的IP地址是否相同都将通过NAPT映射后转换为同一个外部IP地址和外部端口,并且NAT网关设备允许外部网络的主机通过该转换后的IP地址和端口来访问这些内部网络的主机。

       【说明】默认情况下都是采用Address and Port-Dependent Mapping(关心对端地址和端口转换)模式,这样对于来自相同源IP地址和源端口的报文,如果其目的IP地址和目的端口不同,则通过NAPT映射后将被转换为不同的外部IP地址和外部端口,并且NAT网关设备只允许这些目的IP地址对应的外部网络的主机才可以通过该转换后的IP地址和端口来访问这些内部网络的主机。

    可用undo nat mapping-behavior endpoint-independent [ acl acl-number ]命令恢复默认的关心对端地址和端口转换模式。

    l  acl acl-number:可选参数,用于控制需要遵守指定地址转换模式的报文范围的ACL,取值范围为20003999。配置了ACL后,表示只有符合ACL规则的报文才采用Endpoint-Independent Mapping模式进行地址转换,若不配置ACL,则表示所有的报文都采用Endpoint-Independent Mapping模式进行地址转换。

           以下示例是对所有报文都以Endpoint-Independent Mapping模式进行地址转换。

    <Sysname> system-view

    [Sysname] nat mapping-behavior endpoint-independent

        以下示例是通过高级ACL过滤源报文,仅允许FTPHTTP通信类报文以Endpoint-Independent Mapping模式进行地址转换,其它报文默认采用Address and Port-Dependent Mapping模式进行地址转换。

    <Sysname> system-view

    [Sysname] acl number 3000

    [Sysname-acl-adv-3000] rule permit tcp destination-port eq 80

    [Sysname-acl-adv-3000] rule permit tcp destination-port eq 21

    [Sysname-acl-adv-3000] quit

    [Sysname] nat mapping-behavior endpoint-independent acl 3000

    7.2.3 配置EASY IP

       Easy IP是指进行地址转换时直接使用NAT路由器的出口(外部网络接口)的公有IP地址作为转换后的源地址,能够最大程度的节省IP地址资源。它同样也可以利用ACL控制哪些内部地址可以进行地址转换,但无需配置NAT地址池。具体的配置步骤如表7-5所示。

    表7-5  Easy IP的配置步骤

    步骤

    命令

    说明

    Step 1

    system-view

    例如:

    <Sysname> system-view

    进入系统视图

    Step 2

    interface interface-type interface-number

    例如:

    [Sysname] interface serial 1/0

    进入接口视图,仅可以是NAT路由器的出接口

    Step 3

    nat outbound [ acl-number ]

    例如:

    [Sysname-Serial1/0] nat outbound 2001

    配置ACL和以上出接口地址关联,实现Easy IP特性

       【注意】当直接使用NAT路由器出接口地址作为NAT转换后的外部IP地址时,如果修改了出接口IP地址,则应该首先使用reset nat session命令清除原NAT地址映射表项,否则就会出现原有NAT表项不能自动删除,也无法使用reset nat session命令删除的情况。

       以上配置步骤中的 nat outbound 与在7.2.2节介绍的该命令功能是一样的,但此时仅参数ACL这一个参数,在此不再赘述。
    展开全文
  • NAT

    2020-04-16 21:33:14
    NAT网络地址转换(Network Address Translation) 功能是隐藏并保护网络内部的计算机 私有IP是内部网络或主机IP 共有三个 ...两种类型 静态NAT和动态NAT 区别 静态 一个私有地址对一个公有地址 动态1、 ...
  • NAT(地址转换技术)详解

    万次阅读 多人点赞 2018-03-17 16:31:35
    动态NAT NAT重载(经常应用到实际中) NAT技术的优缺点 优点 缺点 NAT穿越技术 应用层网关(ALG) ALG的实际应用 NAT技术的未来 参考文献 NAT产生背景 今天,无数快乐的互联网用户在尽情享受Internet...
  • IP地址的分类【从用途上划分】分为私网地址和公网地址NAT分为三大类:静态NAT :一对一动态NAT:多对多,多个一对一端口复用NAT(简称PAT) :(私网)多对一(公网)——最省钱实现过程:1. 先定义外网(公网)接口...
  • 完全解析H3C路由器动态NAT配置步骤

    千次阅读 2017-11-22 14:37:00
    这两种配置方式的特点如下(目前主要还是在出接口上关联): l 若配置 NAT 路由器外部网络接口地址关联,那么从外部网络接口发送的首个数据包会首先由 ACL (或报文源地址)进行判定是否允许进行地址转换,然后...
  • nat

    2017-07-10 22:41:08
    NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,...
  • NAT协议

    千次阅读 2017-04-12 11:04:21
     静态NAT(Static NAT) 静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一...动态地址NAT(Pooled NAT) 动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所
  • Nat

    2011-09-29 17:11:48
    网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 11,044
精华内容 4,417
关键字:

动态nat的特点