Nat--网络地址转换—静态篇

本文涉及的产品
公网NAT网关,每月750个小时 15CU
简介:

Nat--网络地址转换—静态篇

一:实验拓扑  

         wKiom1VIr8uTS_BOAAEv3WDrJcU620.jpg

PcIP地址划分

Pc1   192.168.10.10    255.255.255.0    192.168.10.1

Pc2   192.168.10.10    255.255.255.0    192.168.10.1

Pc3   192.168.10.10    255.255.255.0    192.168.10.1

Pc4   192.168.10.10    255.255.255.0    192.168.10.1

 

三:Nat技术介绍

网络地址转换(NAT,NetworkAddress Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机

 

 

1.静态转换

 

  静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。私有地址和公有地址的对应关系由管理员手工指定。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问,并使该设备在外部用户看来变得“不透明”。

 

 

实验目标

 

1:利用单臂路由技术实现跨vlan通信

2:利用Nat静态转换实现私有地址与公有地址的转换

3:熟练掌握数据转发原理及命令

 

 

五:Nat技术的优缺点

1:优点

1):解决IP地址不足问题
2
):处理地址交叉 
3
):增强灵活性 
4
):避免来自网络外部的攻击,增强安全性5):对外隐藏内

2:缺点 
1
):nat操作消耗设备资源.延迟增大 
2
):配置和维护的复杂性 
3
):不支持某些应用

 

 

 


六:实验步骤如下

一:单臂路由

交换机1

<Huawei>system-view//

[Huawei]vlan bat 10 20//新建vlan1020

[Huawei-Ethernet0/0/1]int e0/0/1//进入默认接口

[Huawei-Ethernet0/0/1]port link-typeaccess//只允许一个端口通过access口中,是不允许带标签.当一个数据包通过的时候必须得脱下自身的标签.直到通往下一个端口

[Huawei-Ethernet0/0/1]port defaultvlan 10//只允许vlan10的成员通过

[Huawei-Ethernet0/0/1]int e0/0/2//进入默认接口

[Huawei-Ethernet0/0/2]port link-typeaccess//只允许一个端口通过

[Huawei-Ethernet0/0/2]port defaultvlan 20//只允许vlan20的成员通过

[Huawei-Ethernet0/0/2]int g0/0/1//进入默认接口

[Huawei-GigabitEthernet0/0/1]portlink-type trunk//转为中继口模式

[Huawei-GigabitEthernet0/0/1]porttrunk allow-pass vlan 10 20//允许vlan1020的成员通过要实现四台pc机的互通性-并且在此处的数据包都是要带上标签《tag》的..

[Huawei-GigabitEthernet0/0/1]intg0/0/2//进入默认接口

[Huawei-GigabitEthernet0/0/2]portlink-type trunk//转为中继口模式

[Huawei-GigabitEthernet0/0/2]porttrunk allow-pass vlan 10 20//允许vlan1020的成员通过

交换机2

<Huawei>system-view

[Huawei]vlan bat 10 20

[Huawei]int e0/0/3//进入默认接口

[Huawei-Ethernet0/0/3]port link-typeaccess//只允许一个端口通过.即默认的接口与其相连的接口

[Huawei-Ethernet0/0/3]port defaultvlan 10//只允许vlan10的成员通过

[Huawei-Ethernet0/0/3]int e0/0/4//进入默认接口

[Huawei-Ethernet0/0/4]port link-typeaccess//只允许一条端口通过

[Huawei-Ethernet0/0/4]port defaultvlan 20//只允许vlan20的成员通过[Huawei-Ethernet0/0/4]int g0/0/1//进入默认接口

[Huawei-GigabitEthernet0/0/1]portlink-type trunk//转为中继口模式

[Huawei-GigabitEthernet0/0/1]porttrunk allow-pass vlan 10 20//允许vlan1020的成员通过要实现四台pc机的互通性-并且在此处的数据包都是要带上标签《tag》的..这里也可以直接将10 20 替换成all  代表全部的vlan ,但是往往在现实中.我们是不用这种方法.因为这样会带来不安全性!

 

 

路由器1

<Huawei>system-view

[Huawei]int g0/0/0//进入默认接口

[Huawei-GigabitEthernet0/0/0]ip add12.0.0.1 24//设置默认IP地址

[Huawei]ip route-static 0.0.0.00.0.0.0 12.0.0.2//设置静态路由.数据包通过g0/0/0接口,跳往下一接口.

[Huawei]int g0/0/2.1//定义子端口0.1//在路由器以太网接口上划分子接口,使用以太网的子接口的ip地址作为网关,并且在子接口上封装802.1q协议.每个都可以划分为“1—4096”个子接口

[Huawei-GigabitEthernet0/0/2.1]dot1q terminationvid 10//封装dot1q

[Huawei-GigabitEthernet0/0/2.1]ip add 192.168.10.124//用以太网的子接口的ip地址作为网关

[Huawei-GigabitEthernet0/0/2.1]arp broadcast enable// 使能终结子接口的ARP广播功能

[Huawei-GigabitEthernet0/0/2.1]intg0/0/2.2//定义端口0.2

[Huawei-GigabitEthernet0/0/2.2]dot1qtermination vid 20//进行分装

[Huawei-GigabitEthernet0/0/2.2]ipadd 192.168.20.1 24//以太网口的IP地址作为网关

[Huawei-GigabitEthernet0/0/2.2]arpbroadcast enable//使能终结子接口的ARP的广播功能

 

路由器2

[Huawei]int g0/0/0//进入默认接口

[Huawei-GigabitEthernet0/0/0]ip add12.0.0.2 24//设置默认ip地址---这里我们没有像r1一样给他配静态路由,因为要确保下面的网络地址转换.

 

Pc1—检验

wKiom1VIsDGwFy_6AAFVb1eUfdQ166.jpg

wKiom1VIsDGQZNZFAAFOC_jRCEQ469.jpg

wKioL1VIsaHzzvChAAFcTOZm0Lo196.jpg

wKiom1VIsDGwJRFIAAFlZkr26R8888.jpg

vlan通信成功

 

 

二:静态转换

第一条----- pc1

R1

[Huawei]int g0/0/0//进入默认接口

[Huawei-GigabitEthernet0/0/0]nat static global 128.1.1.1 inside192.168.10.10 net mask 255.255.255.255//将私有地址192.168.10.10转换为共有地址128.1.1.1 ---

Info: The NAT in the network has existed. Already existing configurationwill be covered with current configure. [Y/N]: y//问的是:NAT网络中已经存在。已经存在的配置将会覆盖当前的配置。回答yes

R2

[Huawei]ip route-static 128.1.1.1 24 12.0.0.1//数据包的返回路径,前面的数据包去了r2“将私有地址192.168.10.10转换为共有地址128.1.1.1”此数据。数据包需要回来。

实验结果

wKioL1VIsbDAD_O5AAE1-oVyB8w336.jpg

 

第二条-----pc2

R1

[Huawei]int g0/0/0//进入默认接口

[Huawei-GigabitEthernet0/0/0]nat static global 12.0.0.5 inside192.168.20.20 netmask 255.255.255.255//将私有IP地址192.168.20.20转换为公有地址12.0.0.5

Info: The NAT in the network has existed.

Already existing configuration willbe covered with current configure. [Y/N]: y// NAT网络中已经存在。已经存在的配置将会覆盖当前的配置

//因为此转换的公有地址为12.0.0.5 在路由器IP地址的同一个网段上.则不需要配置返回路径

实验结果

wKioL1VIsbuQxYE-AAE5ofQGn08455.jpg

 

第三条-----pc3

R1

[Huawei]int g0/0/0//进入默认接口

[Huawei-GigabitEthernet0/0/0]nat static global 128.1.1.1 inside 192.168.10.30netmask 255.255.255.255//将私有地址转换为公有地址

Info: The NAT in the network has existed. Already existing configurationwill be covered with current configure. [Y/N]: y// NAT网络中已经存在。已经存在的配置将会覆盖当前的配置

R2

[Huawei]ip route-static 128.1.1.1 2412.0.0.1//设置数据包的返回路径

实验结果

wKiom1VIsFqwGM9FAAE4W79NrmQ152.jpg

 

第四条-----pc4

R1

[Huawei]int g0/0/0//进入默认接口

[Huawei-GigabitEthernet0/0/0]nat static global 12.0.0.5 inside 192.168.20.40netm//将私有地址转换为公有地址

ask 255.255.255.255

  Info: The NAT in the network hasexisted.

 Already existing configuration will be covered with current configure. [Y/N]: y// NAT网络中已经存在。已经存在的配置将会覆盖当前的配置

实验结果

wKioL1VIsdjw--V0AAEwunLAZZg580.jpg

 

实验结束

 

 

总结:

随着接入Internet的计算机数量的不断猛增,IP地址资源也就显得愈加紧张。在实际应用中,一般用户几乎申请不到整段的C类和BIP地址。当我们的企业向ISP申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求。为了缓解供给和需求不可调和的矛盾,所以使用NAT技术便成为了企业和ISP的必然选择。










本文转自 于学康 51CTO博客,原文链接:http://blog.51cto.com/blxueyuan/1642261,如需转载请自行联系原作者

相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
基于阿里云,构建一个企业web应用上云经典架构,让IT从业者体验企业级架构的实战训练。
目录
相关文章
|
11天前
|
安全 数据安全/隐私保护 网络架构
ensp中nat地址转换(静态nat 动态nat NAPT 和Easy IP)配置命令
ensp中nat地址转换(静态nat 动态nat NAPT 和Easy IP)配置命令
|
11天前
ENSP Nat地址转换(配置命令 )
ENSP Nat地址转换(配置命令 )
|
11天前
|
运维 安全 网络架构
【专栏】NAT技术是连接私有网络与互联网的关键,缓解IPv4地址短缺,增强安全性和管理性
【4月更文挑战第28天】NAT技术是连接私有网络与互联网的关键,缓解IPv4地址短缺,增强安全性和管理性。本文阐述了五大NAT类型:全锥形NAT(安全低,利于P2P)、限制锥形NAT(增加安全性)、端口限制锥形NAT(更安全,可能影响协议)、对称NAT(高安全,可能导致兼容性问题)和动态NAT(公网IP有限时适用)。选择NAT类型需考虑安全性、通信模式、IP地址数量和设备兼容性,以确保网络高效、安全运行。
|
11天前
NewH3C—网络地址转换(NAT)
NewH3C—网络地址转换(NAT)
|
11天前
|
网络协议 开发工具 Docker
iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 9999 -j DNAT --to-destination 172.17.0.2:80 !
iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 9999 -j DNAT --to-destination 172.17.0.2:80 !
19 1
|
11天前
|
网络协议 网络安全 网络虚拟化
网络技术基础(13)——NAT网络地址转换
【3月更文挑战第2天】网络基础笔记(加班了几天,中途耽搁了,预计推迟6天),这篇借鉴了之前师兄的笔记,边听边记笔记实在是太慢了。
|
11天前
|
Linux 虚拟化
VMware workstation 中centos7虚拟机在nat模式下怎么配置网卡,指定我想要的IP并且可以联网
https://blog.csdn.net/2302_78534730/article/details/132825156?spm=1001.2014.3001.5502
138 0
|
11天前
|
弹性计算 Linux 网络安全
三步搭建VPC专有网络NAT网关,配置SNAT和DNAT规则(补充版)
申明:该文档参考于用户 “帅宝宝”的文档进行的优化,新增永久生效的方式
322 1
|
9月前
|
弹性计算 运维 网络架构
【运维知识进阶篇】用阿里云配置NAT网关配置
【运维知识进阶篇】用阿里云配置NAT网关配置
352 0
|
9月前
|
运维 Shell 网络安全
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(三)
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)(三)
1497 0