企業內外網互通的一些方法
如圖配置IP地址
PC7 IP 192.168.10.2/24
PC8 IP 192.168.10.1/24
1. 靜態NAT配置;
進入邊界路由R4的外網端口gi 0/0/1: Interface gi0/0/1 Ip add 1.1.1.1 255.0.0.0 nat server global 1.1.1.3 inside 192.168.10.1(在此端口下將內網ip 192.168.10.1 映射到外網ip 1.1.1.3 上,此處外網ip地址不能寫此端口IP地址,會有沖突,如果寫R5的gi0/0/1 ip 1.1.1.2的話,會造成整個網絡都能ping通但R5的gi0/0/1 1.1.1.2ping不通,所以建議寫外網同網段IP地址即可 ) ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 (指一條通向外網的默認路由)
這個時候就可以用PC8 ping 服務器2.2.2.1/8 了但是PC7 是不通的,因為靜態NAT是不節省IP地址的,一個內網ip對應一個外網ip
抓包測試:
從抓包圖上可以看到,使用的是PC8 ping 2.2.2.1/8,但ping包的源ip是1.1.1.3/8,說明ping 包在出外網的端口進行了網絡地址轉換成了1.1.1.3/8
2. 動態NAT配置
清除之前命令配置,IP地址還是如圖配置
R4:(系統試圖下)
Nat address-group 1 1.1.3 1.1.1.10 (建立一個外網段的轉換地址池)
Acl 2000
Rule 10 permit source 192.168.10.0 0.0.0.255 (建立規則10 ,允許源ip在192.168.10.0/24網段內的ip地址訪問)
Ip add 1.1.1.1 255.0.0.0
Nat outbound 2000 address-group 1 no-pat (端口下將acl與地址池關聯起來,端口下出向流量允許acl中允許的地址轉換為地址池address-group1 中的隨機地址,no-pat代表不允許重復使用,否則會訪問外網會混亂 )
系統試圖下: Ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
這個時候PC7 PC8 都可以訪問外網的
Ping 測試:
抓包分析:
可以看出ICMP 包的源ip是變化的ping 通的包中,每個包都是不同的源ip地址,但是本質上還是一個內網ip地址對應一個公網地址的,不能節省ip地址
3. PNAT配置
PNAT 是將一個公網地址反復使用
清除之前配置,ip地址規劃不變
R4:
Acl 2000
Rule 10 permit source 192.168.10.0 0.0.0.255
Nat address-group 1 1.1.3 1.1.1.3(不要忘了)
Interface gi0/0/1
Nat outbound 2000 address-group 1(這裏地址池就一個地址,故沒加no-pat,地址池隨意)
Ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
這個和之前靜態類似,如果不設置地址池的話,可以直接使用當前端口網絡地址
Interface gi 0/0/1
Nat bound 2000
ping 測試:
抓包:
從圖中可以看出ping 包的源ip地址都是1.1.1.1/8 是出端口ip地址,實現了多個私網ip地址對應一個公網ip地址
4. 靜態NAT端口映射
不需要清除PNAT的配置
Interface gi0/0/1
nat static protocol tcp global current-interface 1212 inside 192.168.10.1 23
(將當前端口ip的1212端口映射到 192.168.10.1的23端口,這裏可以直接寫端口號,也可以寫telnet)
這樣公網就可以遠程連接pc8(192.168.10.1),當然前提是遠程允許連接
這裏把pc8 換成路由器,修改名稱為PC8並配置接口ip地址i192.168.10.1/24 ,添加默認路由 0.0.0.0 0.0.0.0 192.168.10.254 (相當於網關)
使用R5遠程訪問路由器:
telnet 1.1.1.1 1212
訪問成功
以上是一些huawei 的通過nat來訪問外網的一些 的簡單應用,希望對大家有些幫助!!!!
企業內外網互通的一些方法