华为路由器NAT经典配置
转载⾃:
NAT概述
NAT(Network Address Translation)⼜称为⽹络地址转换,⽤于实现私有⽹络和公有⽹络之间的互访。
私有⽹络地址和公有⽹络地址
私有⽹络地址(以下简称私⽹地址)是指内部⽹络或主机的IP地址,公有⽹络地址(以下简称公⽹地址)是指在互联⽹上全球唯⼀的IP地址。IANA(Internet Assigned Number Authority)规定将下列的IP地址保留⽤作私⽹地址,不在Internet上被分配,可在⼀个单位或公司内部使⽤。RFC1918中规定私有地址如下:
A类私有地址:10.0.0.0~10.255.255.255
B类私有地址:172.16.0.0~172.31.255.255
建设的反义词
C类私有地址:192.168.0.0~192.168.255.255
NAT基本原理
内部⽹络的地址是10.0.0.0⽹段,⽽对外的公有⽹络IP地址是203.196.3.23。内部的主机10.1.1.48访问外部HTTP服务器
紫罗兰花语寓意202.18.245.251,主机10.1.1.48发出⼀个数据报⽂,随机选择⼀个源端⼝6084,⽬的端⼝为80。在经过NAT设备后,该报⽂的源地址和端⼝可能改为203.196.3.23:32814,⽬的地址与端⼝不改变。在NAT设备中维护着⼀张地址和端⼝对应表,也称为转换表项,或转换槽位,当外部⽹络的WWW服务
器返回数据包时,NAT设备检查转换表项,将数据报⽂中⽬的IP地址及端⼝转化为10.1.1.48:6084。实现了内部主机10.1.1.48访问外部服务器。
路由器⽀持NAT类型
静态NAT、PAT、内部服务器、NAT ALG功能、NAT过滤、NAT映射、Easy IP、两次NAT及NAT多实例。
静态NAT
静态NAT实现私⽹地址和公⽹地址的⼀对⼀转换。有多少个私⽹地址就需要配置多少个公⽹地址。静态NAT不能节约公⽹地址,但可以起到隐藏内部⽹络的作⽤。
内部⽹络向外部⽹络发送报⽂时,静态NAT将报⽂的源IP地址替换为对应的公⽹地址;外部⽹络向内部⽹络发送响应报⽂时,静态NAT将报⽂的⽬的地址替换为相应的私⽹地址。
PAT
PAT⼜称为NAPT(Network Address Port Translation),它实现⼀个公⽹地址和多个私⽹地址之间的映射,因此可以节约公⽹地址。PAT的基本原理是将不同私⽹地址的报⽂的源IP地址转换为同⼀公⽹地址,但他们被转换为该地址的不同端⼝号,因⽽仍然能够共享同⼀地址。
PAT需要维护⼀张私⽹地址和端⼝的映射表。当不同的私⽹地址向外发送报⽂时,PAT将报⽂的源IP地址替换为相同公⽹地址,但源端⼝号被替换为不同的端⼝号;当外部⽹络向内部⽹络发送响应报⽂时,PAT根据报⽂的⽬的端⼝号,将报⽂的⽬的IP地址替换为不同的私⽹地址,如下图
内部服务器
通过配置内部服务器,可将相应的外部地址、端⼝等映射到内部的服务器上,提供了外部⽹络主机访问内部服务器的功能例如可以使⽤202.110.10.10作为Web服务器的外部地址,使⽤202.110.10.11作为FTP服务器的外部地址,甚⾄还可以使⽤202.110.10.12:8080这样的地址作为Web的外部地址。还可为外部⽤户提供多台同样的服务器,如提供多台Web服务器。
NAT过滤
NAT过滤是指NAT设备对外⽹发到内⽹的流量进⾏过滤,即当私⽹主机向某公⽹主机发起访问后,公⽹主机发向私⽹主机的流量经过NAT 设备时会进⾏过滤。
Easy IP
当进⾏地址转换时,直接使⽤接⼝的公有IP地址作为转换后的源地址。同样它也利⽤访问控制列表控制哪些内部地址可以进⾏地址转换。
地址转换应⽤层⽹关
地址转换会导致许多对NAT敏感的应⽤协议⽆法正常⼯作,必须针对该协议进⾏特殊的处理。所谓对NAT敏感的协议是指该协议的某些报⽂的有效载荷中携带IP地址和(或)端⼝号,如果不进⾏特殊处理,将会影响后继的协议交互。
地址转换应⽤层⽹关NAT ALG(NAT Application Level Gateway)是解决特殊协议穿越NAT的⼀种常⽤⽅式,该⽅法按照地址转换规则,对载荷中的IP地址和端⼝号进⾏替换,从⽽实现对该协议的透明中继。NAT ALG⽀持DNS、FTP协议、RTSP(Real-Time Streaming Protocol )和SIP(Session Initiation Protocol )如下图:
两次NAT
3 常规地址转换技术只转换报⽂的源地址或⽬的地址,⽽两次NAT(Twice NAT)技术可以将报⽂的源地址和⽬的地址同时转换,该技术应⽤于内部⽹络主机地址与公⽹上主机地址重叠的情况。如图所⽰:内部⽹络主机PC1和公⽹上主机PC3的地址重叠。这种情况下,内部⽹络主机PC2访问主机PC3的报⽂不会到达⽬的主机,⽽会被错误的转发到主机PC1上。两次NAT技术通过在NAT设备上配置重叠地址池到临时地址的映射关系(在实现常规NAT的基础上),将重叠地址转换为唯⼀的临时地址,来保证报⽂的正确转发。
在NAT设备上配置两次NAT:
第⼀步:配置常规NAT(多对多地址转换)。配置NAT地址池200.0.0.1~200.0.0.100,并应⽤到⼴域⽹接⼝。
第⼆步:配置⼀组重叠地址到临时地址的映射。10.0.0.0<-->3.0.0.0。
此映射表⽰,重叠地址池与临时地址池⼀⼀对应,转换规则为:
临时地址 = 临时地址池⾸地址 +(重叠地址 – 重叠地址池⾸地址)
重叠地址 = 重叠地址池⾸地址 +(临时地址 – 临时地址池⾸地址)
当内部主机PC2直接⽤域名访问公⽹上的主机PC3时,报⽂的处理流程如下:
PC2发送解析域名为的Web服务器的DNS请求,经公⽹DNS服务器解析后,NAT设备收到DNS服务器的响应报⽂。NAT设备检查DNS响应报⽂载荷中的解析回来的地址10.0.0.1,经检查该地址为重叠地址(与重叠地址池匹配),将地址10.0.0.1转换为对应的临时地址3.0.0.1。之后再对DNS响应报⽂进⾏⽬的地址转换(常规NAT处理),发送给PC2。
PC2⽤对应的临时地址3.0.0.1发起访问,当报⽂到达NAT设备时,先转换报⽂的源地址(常规NAT处理),再将报⽂的⽬的地址即临时地址,转换为对应的重叠地址10.0.0.1。将报⽂送到⼴域⽹出接⼝,并经⼴域⽹逐跳转发⾄主机PC3。
当PC3给PC2返回的报⽂到NAT设备时,先检查报⽂的源地址10.0.0.1,该地址为重叠地址(与重叠地址池匹配),则将源地址转换为对应的临时地址3.0.0.1。之后再对返回报⽂的⽬的地址进⾏常规NAT转换,并发送给PC2。
VPN关联的源NAT
华为路由器的NAT不仅可以使内部⽹络的⽤户访问外部⽹络,还允许分属于不同VPN的⽤户通过同⼀个出⼝访问外部⽹络,能够解决内部⽹络中IP地址重叠的VPN同时访问外⽹主机的问题。
VPN关联的NAT Server
华为路由器的NAT⽀持VPN关联的NAT rver,提供给外部⽹络访问VPN内主机的机会,能够⽀持内⽹多个VPN地址重叠的场景。
满园春色的意思
实验拓扑如下:
NAT Outbound配置实例:
system-view
[GW]nat address-group 0 202.100.1.100 202.100.1.200
[GW]acl number 2000
[GW-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[GW-GigabitEthernet0/0/0]int g0/0/1
b型血招蚊子[GW-GigabitEthernet0/0/1] nat outbound 2000 address-group 0 no-pat
注:no-pat表⽰⼀对⼀转换,只转换地址,不转换端⼝,直接回车表⽰IP和端⼝都做转换。
测试:
telnet 202.100.1.1跳音
Press CTRL_] to quit telnet mode
Trying 202.100.1.1 …
Connected to 202.100.1.1 …
赫赫是什么意思
Login authentication
Password:
display urs
Ur-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag
+ 0 CON 0 00:00:00 pass Urname : Unspecified
129 VTY 0 00:00:02 TEL 202.100.1.101 pass Urname : Unspecified
display nat outbound
NAT Outbound Information:
Interface Acl Address-group/IP/Interface Type
GigabitEthernet0/0/1 2000 0 no-pat
Total : 1
display nat ssion all ====查看转换表项
NAT Session Table Information:
Protocol : TCP(6)
SrcAddr Port Vpn : 192.168.1.1 59335
DestAddr Port Vpn : 202.100.1.1 5888
NAT-Info
New SrcAddr : 202.100.1.101
New SrcPort : —-
New DestAddr : —-
梦见钓鱼New DestPort : —-
[GW]ret nat ssion all ===清除转换表项
Warning:The current all NAT ssions will be deleted.
Are you sure to continue?[Y/N]y
Easy IP配置实例:
[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat outbound 2000
测试:
telnet 202.100.1.1
Press CTRL_] to quit telnet mode
Trying 202.100.1.1 …
Connected to 202.100.1.1 …
Login authentication
水煮花蛤的做法Password:
display urs
Ur-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag + 0 CON 0 00:00:00 pass Urname : Unspecified
129 VTY 0 00:00:11 TEL 202.100.1.10 pass Urname : Unspecified
display nat ssion all
NAT Session Table Information:
Protocol : TCP(6)
SrcAddr Port Vpn : 192.168.1.1 54467
DestAddr Port Vpn : 202.100.1.1 5888
NAT-Info
New SrcAddr : 202.100.1.10
New SrcPort : 10240
New DestAddr : —-
New DestPort : —-
Total : 1
