地址转换技术

发布于:2022-11-09 ⋅ 阅读:(13) ⋅ 点赞:(0) ⋅ 评论:(0)

项目背景

为节省P地址和费用,企业内网使用的都是“私有IP地址” Internet网络的组成设备,使用都是“"公有IP地址” 企业内网要与Internet互通,必须拥有“公有IP地址” 企业内网中的设备,无法使用“私有IP地址”与Internet?互通

NAT概述

NAT(Network Address Translation),网络地址转换 主要应用在企业网络的边缘设备(路由器)上 对数据包的“"私有P地址”和"公有P地址”进行转换,实现内网到外网 的访问 实现对企业内网的保护,增强企业内网的安全性。因为外网无法直接访 问内网设备的私有IP地址

NAT的工作原理:

"私有P地址”和"公有P地址”进行转换

数据包出去的时候转换的是源IP地址

数据包回来的时候转换的是目标IP地址

NAT分类

静态NAT NAT表条目是通过“手动配置”的方式添加进去的 私有IP地址和公有IP地址都是1对1的关系,不节省公网IP

动态NAT NAT表中的条目是“路由器处理数据包”时自动形成的 基于“NAT地址池”实现“私有地址”和"公有地址”之间的转换,比 静态NAT更加节省公网IP

NAT调用命令对比:

动态NAT配置 nat outbound 2000 address-group 1 no-pat //调用ACL与地址池

PNAT(NAPT)配置 nat outbound 2000 address-group 1

esayIP配置 nat outbound 2000

静态NAT案例

拓扑

 

  • 需求

    • 实现内网到外网的互通
  • 思路

    • 配置内网
      • 配置终端
      • 配置交换机-确保交换机的接口都在同一个vlan
      • 配置路由器
        • 接口IP地址
        • R1上面配置默认路由
    • 配置外网
      • R2接口IP地址
      • 服务器IP/掩码/网关
    • 配置边界设备的NAT
      • 在边界设备的,连外网的接口上
  • 配置

1.配置终端设备网络
2.配置路由器
  1)接口IP
  2)R1的默认路由
3.测试
终端设备能够PING通网关即可

R1:
interface GigabitEthernet0/0/0
 ip address 192.168.1.254 255.255.255.0 
q
interface GigabitEthernet0/0/1
 ip address 200.1.1.1 255.255.255.0 
q
ip route-static 0.0.0.0 0.0.0.0 200.1.1.9

R2:
interface GigabitEthernet0/0/1
 ip address 200.1.1.9 255.255.255.0 
q
interface GigabitEthernet0/0/2
 ip address 210.1.1.254 255.255.255.0
q 

静态NAT配置
R1:
interface g0/0/1 //进入接口
nat static global 200.1.1.3  inside 192.168.1.1
  静态NAT     公有地址          私有地址

静态NAT  1:1绑定
公有地址200.1.1.3是从运营商购买的

  • 总结:

    • NAT解决是数据包无法返回问题
    • 确保边界设备上配置默认路由
    • 数据包在转发过程中IP地址不变
    • 内网访问外网:
      • 转换的是"源IP"
      • 先查路由表在看NAT表
    • 外网访问内网:
      • 转换的是“目标IP”
      • 先查NAT表在查路由表
  • 特点

    • 优点:
      • 静态NAT配置简单
    • 缺点:
      • 但是不节省公网IP地址,每个私有IP地址 都必须对应1个公网IP地址

动态NAT

购买多个公有地址,循环使用

配置案例:

 

  • 拓扑:

  • 需求

    • 1)企业内网的PC需要访问“公网服务器”
    • 2)企业仅购买5个公网IP地址,供 192.168.1.0/24 的主机使用(200.1.1.2~200.1.1.6)
  • 思路

    创建地址池

    创建ACL

    在边界设备连接外网的出口用NAT将地址池和ACL 绑定在一起

  • 配置

先删除上一个案例使用的静态NAT调用:
R1:
IN G0/0/1
undo nat static global 200.1.1.3 inside 192.168.1.1  //删除静态NAT配置

配置动态NAT
nat address-group 1 200.1.1.2 200.1.1.6    //创建地址池
                    **起始地址**    **结束地址**
ACL 2000                                  //创建ACL
rule 10 permit source 192.168.1.0 0.0.0.255   //允许1.0网段

in g0/0/1                                //进入连接外网的接口
nat outbound 2000 address-group 1 no-pat //调用ACL与地址池
     ACL出方向        地址池
  • 特点:
    • 每个数据包都分配了1个公网地址,地址池里面的私有地址不够用
    • 如果数据包过多时,会导致大量的主机无法上网

PAT(企业普遍使用)

PAT(Port Address Translation)端口地址转换 1.同时转换数据包的IP地址和端口号 (1个IP地址可以添加65536个端口号) 2.能够节省大量的公网IP地址,实现公有IP地址和私有IP是1:多的关系

  • [ ] 实现公网地址的复用

  • 配置

第一步:创建地址池
第二步:创建ACL
第三步:调用(ACL与地址池绑定)  不加no-pat
其实就是在原有的动态NAT的配置命令中,删除 no-pat 参数

先删除配置:
R1:
in g0/0/1
undo nat outbound 2000 address-group 1 no-pat

PAT配置:
nat address-group 2 200.1.1.7 200.1.1.7  //创建地址池
                    起始地址  结束地址
ACL 2001                                 //创建ACL
rule 10 permit source 192.168.1.0 0.0.0.255   //允许1.0网段

in g0/0/1
nat outbound 2001 address-group 2   //nat调用 地址池与ACL绑定

查看NAT转换条目:
display  nat session all 

EsayIP概述 (最节省IP地址的方法)

针对初创企业或者小型规模的公司,为了节约网络建设成本,可能 使用的是**“动态”**公网IP地址,并且仅仅有一个公网地址

指的是在 PAT 的基础上,不专门购买公网IP地址用于地址转换

使用边界设备上的公网接口的IP地址,实现 NAT 转换。

  • 配置
在原来的基础上,删除 address-group 命令,就可以了。
Esay IP 配置步骤  
第一步:创建ACL
第二步:NAT 调用ACL


in g0/0/1
**undo nat outbound 2001 address-group 2   //删除NAT接口调用(原有配置)**
nat outbound 2000    //nat 之间调用ACL 就是 EsayIP



EasyIP是 PAT 中的一种特殊情况。本质上都是:端口地址转换。非常节省公网IP地址!!

esayIP案例:

  • 拓扑

 

  • 需求

    • 1)企业的3个部门存在不同的上网需求,如图连接并配置设备地址
    • 2)使用最节省公网IP地址的方案,实现内网到外网的访问
    • 3)三个部门划分为不同的vlan,分别是 vlan 10/20/30
    • 5)为不同的VLAN配置不同的IP地址网段:192.168.x.0/24(x为vlan号)
    • 6)允许 vlan 10 内的所有主机访问外网
    • 7)允许 vlan 30 内除 PC3以外的其他所有主机访问外网
    • 8)仅仅允许 vlan 20 内的所有主机位为奇数的主机访问外网
  • 配置

sw1:
sys
sysname sw1
vlan batch 10 20 30 40
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
q
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 20
q
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 30
q
interface GigabitEthernet0/0/4
 port link-type access
 port default vlan 40
q

interface Vlanif10
 ip address 192.168.1.254 24
q
interface Vlanif20
 ip address 192.168.2.254 24
q
interface Vlanif30
 ip address 192.168.3.254 24
q
interface Vlanif40
 ip address 192.168.4.254 24
q
ip route-static 0.0.0.0 0.0.0.0 192.168.4.1


R1:
in g0/0/1
undo nat outbound 2000        
q
接口有调用就删除没有就不用敲

in g0/0/0
ip add 192.168.4.1 24
q
ip route-static 192.168.1.0 24 192.168.4.254
ip route-static 192.168.2.0 24 192.168.4.254
ip route-static 192.168.3.0 24 192.168.4.254

测试pc1/pc2/pc3 与R1互通 ping 192.168.4.1
排查思路
1.二层检查
  接口类型
  加入到正确vlan
2.三层检查
  ip地址
  路由表
相关查询命令
display port vlan
//查看接口类型及vlan
display ip interface brief
//查看接口IP地址
display ip routing-table
//查看路由表

esayIP配置:
- 6)允许 vlan 10 内的所有主机访问外网
- 7)允许 vlan 30 内除 PC3以外的其他所有主机访问外网
- 8)仅仅允许 vlan 20 内的所有主机位为奇数的主机访问外网
acl 2000
rule 10 permit source 192.168.1.0 0.0.0.255
rule 20 deny source 192.168.3.78 0.0.0.0
rule 30 permit source 192.168.3.0 0.0.0.255
rule 40 permit source 192.168.2.1 **0.0.0.254**
q
in g0/0/1
nat outbound 2000 

通配符的用法:
192.168.2.00000001  ip地址
192.168.2.00000011
192.168.2.00000101
192.168.2.00000111
192.168.2.00001001
192.168.2.11111111

192.168.2.00000001  ip地址
  0.  0.0.11111110  通配符
192.168.2.1 0.0.0.254 奇数
在多个IP地址中,相同部分  用0表示(检查)
在多个IP地址中,不相同的部分  用1表示(不检查)

奇数或偶数(指的是一类地址)
在多个IP地址中,相同bit部分  用0表示(检查)
在多个IP地址中,不相同bit部分  用1表示(不检查)
192.168.2.1 0.0.0.254   奇数    ip地址为单数
192.168.2.0 0.0.0.254   偶数    ip地址为双数

比如:
一堆人里面 挑出男生     取男生的共同特点  进行检查

NAT Server

在NAT技术中,外部用户访问内网设备时,在企业的边界设备上 首先查看NAT表进行地址转换,随后才会查看路由表。 故我们必须提前“静态配置地址转换”,所以只能是静态PAT 这种“实现外网用户访问内网设备”的静态PAT技术,我们称 之为"NAT Server"

  • 拓扑

  • 需求

    1)企业内网的两个服务器对外提供服务,专门购买了公网IP:200.1.1.2

    2)希望外网的“测试客户端”可以访问内网的两个业务服务器(Web和FTP)

  • 思路

    • 1.配置终端设备网络参数 2.配置交换机 1)创建vlan 2)G0/0/1 0/0/2 0/0/3接口配置access 3)将接口加入到vlan10 3.配置路由器接口IP 4.边界设备配置默认路由

      5.启动server1/2的服务

    • 配置NAT Server

  • 配置

1.配置终端设备网络参数
2.配置交换机
  1)创建vlan
  2)G0/0/1 0/0/2 0/0/3接口配置access
  3)将接口加入到vlan10
3.配置路由器接口IP
4.边界设备配置默认路由


SW1:
sys
sysname sw1
vlan 10 
q
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
q
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 10
q
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 10
q

R1:
interface GigabitEthernet0/0/0
 ip address 192.168.1.254 24 
q
interface GigabitEthernet0/0/1
 ip address 200.1.1.1 24 
q
ip route-static 0.0.0.0 0 200.1.1.9

R2:(电信运营商ISP)
interface GigabitEthernet0/0/1
 ip address 200.1.1.9 24 
q
interface GigabitEthernet0/0/0
 ip address 210.1.1.254 24 
q

server1:启动WEB服务----服务器信息--httpServer-文件根目录----启动
server2:启动FTP服务----服务器信息--ftpServer--文件根目录----启动

配置NAT Server:
in g0/0/1 
nat outbound 2000 ->确保内网的 http 和 ftp 服务器可以访问外网(如果需要内网访问外网可配置)
nat server protocol tcp global 200.1.1.2   80     inside 192.168.1.1   80
nat server protocol tcp global 200.1.1.2   21     inside 192.168.1.2   21
                             **公有地址     服务端口号     私有地址        服务端口号 **