Nat---网络地址转换---动态篇-阿里云开发者社区

开发者社区> 安全> 正文
登录阅读全文

Nat---网络地址转换---动态篇

简介:

一:实验拓扑

wKioL1VJ1Y7AR-bJAAFgQB2Pjz0039.jpg

 

PcIP地址划分

Pc1  192.168.10.10   255.255.255.0    192.168.10.1

Pc2  192.168.10.10   255.255.255.0    192.168.10.1

Pc3  192.168.10.10   255.255.255.0    192.168.10.1

Pc4  192.168.10.10   255.255.255.0    192.168.10.1

 

二:实验目标

1:利用单臂路由技术实现跨vlan通信

2:利用Nat动态转换技术实现私有地址和公有地址的转换

3:抓取报文分析数据包转送思路

4:理解实验原理

5:熟练掌握Nat技术的命令,并理解。

 

 

动态转换

 

  动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对并不是一一对应的,而是随机的。所有被管理员授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。每个地址的租用时间都有限制。这样,当ISP提供的合法IP地址略少于网络内部的计算机数量时,可以采用动态转换的方式。

 

三:实验步骤

 

1:单臂路由

交换机1

<Huawei>system-view//

[Huawei]vlan bat 10 20//新建vlan1020

[Huawei]int g0/0/1//进入默认接口

[Huawei-GigabitEthernet0/0/1]portlink-type access//只允许一个端口通过access口中,是不允许带标签.当一个数据包通过的时候必须得脱下自身的标签.直到通往下一个端口

[Huawei-GigabitEthernet0/0/1]portdefault vlan 10//只允许vlan10的成员通过

[Huawei-GigabitEthernet0/0/1]intg0/0/2//进入默认接口

[Huawei-GigabitEthernet0/0/2]portlink-type access//只允许一个端口通过

[Huawei-GigabitEthernet0/0/2]portdefault vlan 20//只允许vlan20的成员通过

[Huawei-GigabitEthernet0/0/2]intg0/0/5//进入默认接口

[Huawei-GigabitEthernet0/0/5]portlink-type trunk//转为中继口模式

[Huawei-GigabitEthernet0/0/5]porttrunk allow-pass vlan 10 20//允许vlan1020的成员通过要实现四台pc机的互通性-并且在此处的数据包都是要带上标签《tag》的..

[Huawei-GigabitEthernet0/0/5]intg0/0/6//进入默认接口

[Huawei-GigabitEthernet0/0/6]portlink-type trunk//转为中继口模式

[Huawei-GigabitEthernet0/0/6]porttrunk allow-pass vlan 10 20//允许vlan1020的成员通过

交换机2

<Huawei>system-view

[Huawei]vlan bat 10 20

[Huawei]int g0/0/3//进入默认接口

[Huawei-GigabitEthernet0/0/3]portlink-type access//只允许一个端口通过.即默认的接口与其相连的接口

[Huawei-GigabitEthernet0/0/3]portdefault vlan 10//只允许vlan10的成员通过

[Huawei-GigabitEthernet0/0/3]intg0/0/4//进入默认接口

[Huawei-GigabitEthernet0/0/4]portlink-type access//只允许一条端口通过

[Huawei-GigabitEthernet0/0/4]portdefault vlan 20//只允许vlan20的成员通[Huawei-GigabitEthernet0/0/4]intg0/0/5//进入默认接口

[Huawei-GigabitEthernet0/0/5]portlink-type trunk//转为中继口模式

[Huawei-GigabitEthernet0/0/5]porttrunk allow-pass vlan 10 20//允许vlan1020的成员通过要实现四台pc机的互通性-并且在此处的数据包都是要带上标签《tag》的..这里也可以直接将10 20 替换成all  代表全部的vlan ,但是往往在现实中.我们是不用这种方法.因为这样会带来不安全性!

 

 

路由器1

<Huawei>system-view

[Huawei]int g0/0/0//进入默认接口

[Huawei-GigabitEthernet0/0/0]ipadd 12.0.0.1 24//设置默认IP地址

[Huawei]ip route-static0.0.0.0 0.0.0.0 12.0.0.2//设置静态路由.数据包通过g0/0/0接口,跳往下一接口.

[Huawei]int g0/0/1.1//定义子端口1.1//在路由器以太网接口上划分子接口,使用以太网的子接口的ip地址作为网关,并且在子接口上封装802.1q协议.每个都可以划分为“1—4096”个子接口

[Huawei-GigabitEthernet0/0/1.1]dot1qtermination vid 10//封装dot1q

[Huawei-GigabitEthernet0/0/1.1]ipadd 192.168.10.1 24//用以太网的子接口的ip地址作为网关

[Huawei-GigabitEthernet0/0/1.1]arpbroadcast enable// 使能终结子接口的ARP广播功能

[Huawei-GigabitEthernet0/0/1.1]intg0/0/1.2//定义端口1.2

[Huawei-GigabitEthernet0/0/1.2]dot1qtermination vid 20//进行分装

[Huawei-GigabitEthernet0/0/1.2]ipadd 192.168.20.1 24//以太网口的IP地址作为网关

[Huawei-GigabitEthernet0/0/1.2]arpbroadcast enable//使能终结子接口的ARP的广播功能

 

路由器2

[Huawei]int g0/0/0//进入默认接口

[Huawei-GigabitEthernet0/0/0]ipadd 12.0.0.2 24

[Huawei]iproute-static 192.168.10.0 255.255.255.0 12.0.0.1

[Huawei]iproute-static 192.168.20.0 255.255.255.0 12.0.0.1//设定两条回路静态路由

 

Pc1—检验

wKioL1VJ1jGiR4wBAAFVb1eUfdQ457.jpg

wKiom1VJ1MDQ1WOTAAFOC_jRCEQ388.jpg

wKioL1VJ1jKSqO1WAAFcTOZm0Lo758.jpg

wKiom1VJ1MCzfMSbAAFlZkr26R8957.jpg

vlan通信成功

 

 

2:动态转换

[Huawei]nataddress-group 1//创建地址池“1

[Huawei]nataddress-group 1 128.8.8.10 128.8.8.20//8.108.20之间的地址加入到地址池1

[Huawei]acl 2000//1上创建号为2000的控制列表

[Huawei-acl-basic-2000]rulepermit source 192.168.10.0 0.0.0.255//只允许192.168.10.0/24段的数据包通过

[Huawei-acl-basic-2000]intg0/0/0

[Huawei-GigabitEthernet0/0/0]natoutbound 2000 address-group 1 no-pat//访问控制列表2000上的进行地址转换outbound),转换的地址组是address-group 1

[Huawei]intg0/0/0

[Huawei-GigabitEthernet0/0/0]undonat outbound 2000 address-group 1 no-pat

[Huawei-GigabitEthernet0/0/0]nat outbound 2000//将访问控制列表2000匹配的流量转换成该接口的IP地址作为源地址。

四:实验结果

wKiom1VJ1RyxwRMPAAEfkkM-ewc416.jpg

五:实验抓取报文

wKiom1VJ1OvgwvW6AALcDe7FgH4233.jpg

分析:

上图可以看出,请求客户机向服务端发送一个icmp的请求报文,在第47处的数据包由192.168.20.20 处发出,通往12.0.0.2目的处。而又在第48处的数据包和47处的数据包是一样的,这就证明的了在第47 处的数据包发送之后,目的处收到数据包之后并没有回包。而在第49处的数据包就开始回包了,由12.0.0.2处发出,通往192.168.20.20处。

 

wKiom1VJ1PqCH8pwAALANsNZHIE215.jpg

分析:

在第11处发送的一条ARP广播报文(broadcast ARP)经过了12.0.0.1处,然后将报文告诉并发给了12.0.0.2处。在这个报文中我们可以看到它的数据的转发原理及路径!










本文转自 于学康 51CTO博客,原文链接:http://blog.51cto.com/blxueyuan/1643494,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享: