華為NAT技術
實驗環境:
實驗1:靜態NAT。一般給服務器使用。AR2模擬運營商網絡。AR1默認路由到AR2.
[AR1]display nat static 可以查看NAT映射關系
[AR1]ip route-static 0.0.0.0 0.0.0.0 12.0.0.2
AR2作為公網路由,不會添加私網路由所以只能通過NAT技術,假設我們購買了一個公網地址為128.8.8.8。
通過nat映射把這個公網地址給192.168.10.2使用
[AR1-GigabitEthernet0/0/0]nat static global 128.8.8.8 inside 192.168.10.2
[AR2]ip route-static 128.8.8.8 32 12.0.0.1
-------------------------------------------------------------------------------
實驗2:動態NAT。通過購買多個公網地址,做成地址池。出口需要一個IP地址池至少需要一個IP
[AR1]ip route-static 0.0.0.0 0.0.0.0 12.0.0.2
創建地址池命名為1.地址從128.8.8.10到128.8.8.11:
[AR1]nat address-group 1 128.8.8.10 128.8.8.11
制作一個acl訪問控制列表2000。允許10網段通過,0.0.0.255為反掩碼:
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
指定nat地址池為1,訪問控制列表為2000,no-pat表示不允許地址反復使用,可以去掉。
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat
[AR2]ip route-static 128.8.8.10 32 12.0.0.1
[AR2]ip route-static 128.8.8.11 32 12.0.0.1
--------------------------------------------------------------------------
實驗3:PAT,局域網的用戶通過出口地址進行上網。默認為出口地址加端口號。
[AR1]ip route-static 0.0.0.0 0.0.0.0 12.0.0.2
制作一個acl訪問控制列表2000。允許10網段通過,0.0.0.255為反掩碼:
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255
[AR1-GigabitEthernet0/0/0]nat outbound 2000
----------------------------------------------------------------------
靜態PAT:通過端口映射向外提供服務,比如出口地址的80端口為10.2的http服務器。3306為10.3的數據庫服務器,這裏為sw1開啟telenet服務
開啟telenet服務:
[SW1-Vlanif1]ip address 192:.168.10.100 24
[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.10.1
[SW1]user-interface vty 0 4 開啟遠程管理
[SW1-ui-vty0-4]authentication-mode password 設置訪問類型為密碼
[SW1-ui-vty0-4]set authentication password cipher abc123 密碼為加密的abc123
此時已經可以用AR1 telnet登錄swl了
使用靜態PAT,假設128.8.8.10為我們購買的公網地址,
[AR1-GigabitEthernet0/0/0]nat server protocol tcp global 128.8.8.10 telnet in
side 192.168.10.100 telnet
[AR2]ip route-static 128.8.8.10 32 12.0.0.1
註意:
可以直接將AR2的外網口的地址的端口號映射到192.168.10.100的23號端口
[AR1-GigabitEthernet0/0/0]nat static protocol tcp global current-interface 121 inside 192.168.10.100 telnet
如果是映射的FTP則需要保證持久連接
[AR1]Nat alg ftp enable 保證FTP持續連接
---------------------------------------------------------------------------
本文出自 “運維成長路” 博客,謝絕轉載!
華為NAT技術