实验47:各类NAT基本配置与应用
|
83
|
0

1271 字
|
5 分钟

NAT介绍

NAT的基本概念

网络地址转换(Network Address Translation,NAT)是一种常见的网络技术,用于在计算机网络中转换IP地址。它主要用于在私有网络和公共网络之间进行通信时,将私有网络中的IP地址转换为公共网络可识别的IP地址,以实现互联网访问。

NAT的特点和功能

  • 静态NAT(Static NAT):

静态NAT是一种一对一的地址转换技术,将一个私有IP地址映射到一个公共IP地址。

它通常用于将某个特定的私有IP地址映射到一个公共IP地址,使得内部网络中的特定主机可以直接从互联网上访问。

  • 动态NAT(Dynamic NAT):

动态NAT是一种一对多的地址转换技术,将多个私有IP地址映射到一组公共IP地址。

它允许内部网络中的多个主机共享一组公共IP地址,并通过端口号来区分不同的连接。

  • 双向NAT(Bidirectional NAT):

双向NAT是一种将内部网络与外部网络之间的双向流量进行地址转换的技术。

它允许内部网络中的主机与外部网络上的主机进行双向通信,通过维护转换表来实现地址转换。

  • PAT(Port Address Translation):

PAT是NAPT的一种实现方式,通过在NAPT转换表中使用源端口号和目标端口号来实现多对多的地址转换。

它可以在一个公共IP地址上同时支持多个内部主机与互联网进行通信,并通过端口号来区分不同的连接。

1.2实验目的

了解静态NAT

配置静态NAT

了解动态NAT

配置动态NAT

1.3实验组网介绍

1.4实验效果

1.5实验任务配置

1.5.1配置思路

确定访问控制的需求:首先,你需要明确你的网络环境和要保护的资源。确定哪些主机、网络、服务或应用程序需要受到访问控制限制,以及你希望限制的访问类型(如入站、出站、特定协议等)。

列出规则:根据你的需求,列出访问控制规则。这些规则应涵盖允许或阻止特定的源IP地址、目标IP地址、协议类型和端口号等。例如,你可能想要允许来自特定IP地址范围的流量访问你的服务器,或者阻止某些特定协议的流量。

优先级排序:对于多个规则,确保按照适当的优先级顺序配置它们。ACL规则是按顺序匹配的,一旦找到与流量匹配的规则,后续规则将被忽略。因此,更严格的规则通常应该放在较高的优先级。

配置ACL:根据你的网络设备和操作系统,使用相应的命令或配置文件编辑器来配置ACL。例如,对于路由器或交换机,你可以使用命令行界面(CLI)或图形用户界面(GUI)进行配置。对于防火墙,你可能需要编辑防火墙规则集。

测试和验证:在应用新的ACL配置之前,务必测试和验证它们的功能和影响。你可以使用测试工具、模拟器或者实际流量来检查ACL是否按预期工作。确保已经测试过各种场景,包括允许的流量、被阻止的流量以及规则之间的优先级。

1.5.2配置步骤

配置pc基本地址

配置R1各个接口地址

[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[AR1-GigabitEthernet0/0/1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip add 192.168.3.254 24

在AR1上配置静态NAT将内网主机的私有地址一对一映射到公有地址。

[AR1-GigabitEthernet0/0/2]int g4/0/0
[AR1-GigabitEthernet4/0/0]ip add 100.100.100.1 24

global参数用于配置外部公有地址,inside参数用于内部私有地址

[AR1-GigabitEthernet4/0/0]nat static global 100.100.100.3 inside 192.168.1.1 netmask 255.255.255.255
[AR1-GigabitEthernet4/0/0]nat static global 100.100.100.4 inside 192.168.2.1 netmask 255.255.255.255
[AR1-GigabitEthernet4/0/0]nat static global 100.100.100.5 inside 192.168.3.1 netmask 255.255.255.255

[AR1-GigabitEthernet4/0/0]quit
[AR1]ip route-static 0.0.0.0 0 100.100.100.2

在AR1上配置动态NAT将内网主机的私有地址动态映射到公有地址。创建地址池;配置公有地址范围,其中group-index为地址池编号,start-address、end-address分别为地址池起始地址、结束地址。

[AR1]ip route-static 0.0.0.0 0 100.100.100.2
[AR1]nat address-group 1 100.100.100.3 100.100.100.254

配置基础ACL,匹配需要进行动态转换的源地址范围。

[AR1]acl 2000
[AR1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[AR1-acl-basic-2000]rule 10 permit source 192.168.2.0 0.0.0.255
[AR1-acl-basic-2000]rule 15 permit source 192.168.3.0 0.0.0.255

接口试图下配置带地址池的NAT Outbound接口下关联ACL与地址池进行动态地址转换,no-pat参数指定不进行端口转换。no-pat:禁止端口复用

[AR1]int g4/0/0
[AR1-GigabitEthernet4/0/0]nat outbound 2000 address-group 1 no-pat

AR2配置

[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 100.100.100.2 24
[AR2-GigabitEthernet0/0/1]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 200.200.200.2 30

Ping 外网

抓包分析