实验拓扑
接下来我会分几个方面初步将静态nat和napt easy ip
首先基本的环境配置
AR1的基本配置
//基本的IP配置和默认路由指向外网
<Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]un in en Info: Information center is disabled. [Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]ip add 202.0.0.1 26 [Huawei-GigabitEthernet0/0/1]q [Huawei]ip route-static 0.0.0.0 0 202.0.0.2 [Huawei-GigabitEthernet0/0/1]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 24 [Huawei-GigabitEthernet0/0/0]
AR2的基本配置
<Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]un in en Info: Information center is disabled. [Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]ip add 8.8.8.8 26 [Huawei-GigabitEthernet0/0/1] [Huawei-GigabitEthernet0/0/1]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip add 202.0.0.2 26 [Huawei-GigabitEthernet0/0/0] <Huawei>
PC1的IP(内网pc)
PC3的IP(外网pc)
1.静态NAT
静态NAT(Static NAT)是一种网络地址转换(NAT)技术,它将一个内部私有IP地址转换为一个公有IP地址。静态NAT通常用于允许内部网络上的设备访问互联网。
静态NAT的工作原理是创建一个内部IP地址和公有IP地址之间的静态映射。当内部设备向外部发送数据包时,NAT设备会将数据包中的源IP地址替换为公有IP地址。当外部设备向内部发送数据包时,NAT设备会将数据包中的目标IP地址替换为内部IP地址。
优点
简单易懂:静态NAT的实现相对简单,易于理解和配置。
一对一映射:每个内部主机都可以具有唯一的公有IP地址,避免了IP地址冲突和重复问题。
安全性:通过映射内部主机的私有IP地址为公有IP地址,可以隐藏内部网络的真实拓扑结构和内部主机的真实IP地址。
可预测性:静态NAT的地址映射是固定的,可以很容易地进行预测和管理。
实验拓扑
AR1的nat设置
[Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]nat static global 202.0.0.6 inside 192.168.1.2
用于在路由器上配置静态NAT。它用于将内部网络 (192.168.1.2) 的私有 IP 地址映射到全局网络 (202.0.0.6) 上的公共 IP 地址。这允许具有私有IP地址的设备使用公共IP地址访问互联网。
测试
内网访问公网的pc可以访问成功
2.NAPT配置
NAPT(网络地址和端口转换)是一种动态 NAT(网络地址转换),可转换 IP 地址和端口号。它是一种常用的 NAT 技术,允许专用网络上的多个设备共享单个公共 IP 地址。 NAPT 比静态 NAT 更有效,因为它不需要为每个设备提供专用的公共 IP 地址。
优点
高效的 IP 地址利用:NAPT 通过允许多个内部设备共享一个公共 IP 地址,最大限度地利用有限的公共 IP 地址。
安全增强:NAPT 对公共互联网隐藏内部 IP 地址,提高整体网络安全性。
灵活性:NAPT 支持动态连接,允许内部设备发起和接收来自外部设备的连接,而无需分配静态 IP 地址。
实验拓扑
AR1的nat配置
<Huawei>sys Enter system view, return user view with Ctrl+Z. //undo掉之前的nat [Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]undo nat static global 202.0.0.6 inside 192.168.1.2 配置NAPT [Huawei-GigabitEthernet0/0/1]acl 2000 [Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 [Huawei-acl-basic-2000]q [Huawei]nat address-group 1 202.0.0.5 202.0.0.9 [Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
acl 2000: 创建一个访问控制列表(ACL),编号为2000。
rule permit source 192.168.1.0 0.0.0.255: 在ACL 2000中添加一条允许规则,允许源地址为192.168.1.0/24的流量通过。
nat address-group 1 202.0.0.5 202.0.0.9: 创建一个NAT地址组,编号为1,将内部地址映射到外部地址范围202.0.0.5到202.0.0.9。
int g0/0/1: 进入接口GigabitEthernet0/0/1的配置模式。
nat outbound 2000 address-group 1: 启用出站NAT,使用ACL 2000匹配内部源地址,然后将匹配到的流量映射到NAT地址组1中定义的外部地址范围。
测试
3.easy IP
Easy IP是华为公司专门针对公网IP地址有限的中小型网络开发的NAPT(Network Address Port Translation)的简化版本。它在易用性和高效 IP 地址利用之间实现了平衡。
优点
配置简单:与传统的NAPT相比,Easy IP需要最少的配置。您无需创建复杂的 NAT 池或定义端口映射。
高效的 IP 地址利用:通过允许多个设备共享单个公共 IP,Easy IP 非常适合公共 IP 资源有限的网络。
增强的安全性:与 NAPT 类似,Easy IP 对互联网隐藏内部 IP 地址,从而提高整体网络安全性。
实验拓扑
AR1的nat设置
<Huawei>sys Enter system view, return user view with Ctrl+Z. [Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 [Huawei-GigabitEthernet0/0/1]q [Huawei]acl 2001 [Huawei-acl-basic-2001]rule permi [Huawei-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255 [Huawei-acl-basic-2001]q [Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]nat outbound 2001