nat实现案例
nat案例
Case3 A Network Merger由于公司合并等原因,2个网络将合并在一起,此时可能产生地址冲突,可以采用NAT解决地址冲突问题在两个网络的边界路由器上采用NATCozumelinterface Ethernet0ip address 10.100.85.1 255.255.255.0ip nat inside!interface Ethernet1ip address 10.255.13.254 255.255.255.248ip nat outside!router ospf 1redistribute staticnetwork 10.100.85.1 0.0.0.0 area 18!ip nat pool Surf 206.100.176.2 206.100.191.254 prefix-length 20 ip nat inside source list 1 pool Surfip nat inside source static 10.100.50.1 206.100.176.1!ip route 206.100.160.0 255.255.240.0 10.255.13.253!access-list 1 deny 10.255.13.254access-list 1 permit anyGuaymasinterface Ethernet0ip address 10.16.95.1 255.255.255.0ip nat inside!interface Ethernet1ip address 10.255.13.253 255.255.255.248ip nat outside!interface Serial1no ip addressencapsulation frame-relay!interface Serial1.508 point-to-pointip address 10.18.3.253 255.255.255.0ip nat insideframe-relay interface-dlci 508!router eigrp 100redistribute static metric 1000 100 255 1 1500passive-interface Ethernet1network 10.0.0.0no auto-summary!ip nat pool Sand 206.100.160.2 206.100.175.254 prefix-length 20 ip nat inside source list 1 pool Sandip nat inside source static 10.16.95.200 206.100.160.1!ip route 206.100.176.0 255.255.240.0 10.255.13.254!access-list 1 deny 10.255.13.253access-list 1 permit 10.0.0.0Case5: PATinterface Ethernet0ip address 192.168.1.1 255.255.255.0ip nat insideinterface Serial0ip address 207.35.14.82 255.255.255.252ip nat outside!ip nat inside source list 1 interface Serial0 overload! ip route 0.0.0.0 0.0.0.0 Serial0!access-list 1 permit 192.168.1.0 0.0.0.255Case6: TCP Loading Balanceinterface Ethernet0ip address 192.168.1.1 255.255.255.0ip nat inside!interface Serial0ip address 207.35.14.82 255.255.255.252ip nat outside!ip nat pool V-Server 192.168.1.2 192.168.1.4 prefix-length 24 type rotary ip nat inside destination list 1 pool V-Server!ip route 0.0.0.0 0.0.0.0 Serial0!access-list 1 permit 199.198.5.1Service Distributioninterface Ethernet0ip address 192.168.1.1 255.255.255.0ip nat inside!interface Serial0ip address 207.35.14.82 255.255.255.252ip nat outside!ip nat inside source static tcp 192.168.1.4 25 199.198.5.1 25 extendableip nat inside source static udp 192.168.1.3 514 199.198.5.1 514 extendable ip nat inside source static udp 192.168.1.3 69 199.198.5.1 69 extendable ip nat inside source static tcp 192.168.1.3 21 199.198.5.1 21 extendableip nat inside source static tcp 192.168.1.3 20 199.198.5.1 20 extendableip nat inside source static tcp 192.168.1.2 80 199.198.5.1 80 extendable!ip route 0.0.0.0 0.0.0.0 Serial0show ip nat statistics可以看到一些翻译地址的统计信息debug ip nat、debug ip nat detailed可以查看NAT翻译的过程。
NAT回环使用实例
通过修改子网掩码长短实现NAT回环访问效果(原创)Bati-gol首先看图防火墙为内外网边界,具体环境如下:Server 1 双网卡连接防火墙FW的IP:172.16.1.2/24连接内网核心交换机的IP:172.16.2.3/24通过FW映射出去的公网IP:202.96.209.100(地址非真实,笔者自编)Server 2 单网卡内网IP为172.16.3.100/24通过FW映射出去的公网IP:202.96.209.200(地址非真实,笔者自编)要求:1.内网通过出口IP 202.96.209.5做NA T代理上网访问Internet2.Server 1要求通过202.96.209.100地址访问外部,外部要求通过202.96.209.100访问Server1,通过202.96.209.200访问Sever 23.Server 1不能直接通过内网直接访问到Server2(客户要求,安全考虑),需要通过访问Server2 对应的公网IP 202.96.209.200通过防火墙回环访问到内网的Server 2(数据转发路线看上图中红色虚线)解决方案对于第一点要求,在FW上做NA T代理上网即可。
对于第二点要求,考虑到安全,客户要求Server 1只能通过Server 2 对应的公网IP回环访问到内网Server 2。
针对这个要求,Server 1发送数据先转发至FW,然后通过Server 2在FW上映射IP回环访问到内部Server2,并且Server 2在回包时,要求采用相同路径将数据返还给Server 1,之间通讯必须有FW经过公网IP做转换实现。
解决这个问题,有两种思路第一种在FW上配置NA T回环,具体原理见Nat回环(Lan——>Lan端口映射原理)/space-112942-do-blog-id-1438.html该方案可行,但实现原理比较复杂。
第二种方案是采用修改FW外部接口的掩码来解决。
通过NAT技术实现校园网对Internet的访问
配置动态的NAPT实现校园网中计算机对Internet的访问
1.5 NAPT命令:
<Huawei>system-view Enter system view, return user view with Ctrl+Z. [Huawei]acl 2000 [Huawei-acl-basic-2000]rule permit source any [Huawei-acl-basic-2000]quit [Huawei]nat address-group 1 220.0.0.2 220.0.0.10 [Huawei]int s0/0/0 [Huawei-Serial0/0/0]nat outbound 2000 address-group 1
• 低温治疗: 临床上由于病情需要,常采用人工冬 眠或物理降温作为治疗措施
作业
配置静态的NAPT实现外网访问校园网中的服务器的访问
最终,我们单击客户机client2,在地址栏里面输入网址后,单击“获取”,如果能够显示 HTTP/1.1 200 OK字样,证明web服务器访问成功,如图所示。
THANKS
配置动态的NAPT实现校园网中计算机对Internet的访问
校园网边界路由器的配置命令如下: <Huawei>system-view Enter system view, return user view with Ctrl+Z. [Huawei]int s0/0/0 [Huawei-Serial0/0/0]ip add 220.0.0.1 255.255.255.0 [Huawei-Serial0/0/0]quit
1.1 实验拓扑: 打开上次任务保存文件base-p6-t3,另存为base-p7-t1,本次任务我们将通过在校园网边
华为NAT配置案例
华为NAT配置案例模拟图表模拟拓扑图1、在华为设备上部署静态NAT技术,实现公司员工(私网)访问internet(公网)静态一对一:AR1#interfaceGigabitEthernet0/0/1ipaddressnatstaticglobalinsidenetmaskAR2#[AR2]iproute-static[AR2]结果测试:查看静态转换表[AR1]displaynatstaticStaticNatInformation:Interface:GigabitEthernet0/0/1GlobalIP/Port:InsideIP/Port:Protocol:----VPNinstance-name:----Aclnumber:----Netmask:Description:----Total:1[AR1]在没有做静态NAT条目的PC2上不能访问公网,可以得出结论:静态NAT是静态一对一的关系2、在华为设备上部署动态NAT技术,实现公司员工(私网)访问internet(公网)动态NAT[AR1]nataddress-group1(定义一个地址池存放一个可用公网地址)[AR1]discu|beginaclaclnumber2000(定义转换的源IP)rule5permitsourceinterfaceGigabitEthernet0/0/1(接口调用)ipaddressnatoutbound2000address-group1结果测试:?在出接口下将ACL和地址池关联起来,需要注意华为设备上如果地支持中有不止一个IP地址,后面需加no-pat,本例中只有一个地址可以不加;PC1和PC2都可以访问公网[AR1-GigabitEthernet0/0/1]natoutbound2000address-group1?no-patNotusePAT<cr>PleasepressENTERtoexecutecommand3、在华为设备上部署PAT技术实现公司员工(私网)访问internet(公网)AR1#aclnumber2000rule5permitsourceinterfaceGigabitEthernet0/0/1ipaddressnatoutbound2000(定义复用接口g0/0/1用于PAT转换)结果测试[AR1]disnatoutboundNATOutboundInformation:-------------------------------------------------------------------------- InterfaceAclAddress-group/IP/InterfaceType-------------------------------------------------------------------------- GigabitEthernet0/0/12000easyip-------------------------------------------------------------------------- Total:1[AR1]4、在华为设备上部署静态端口映射技术实现公网用户访问私网服务器静态端口映射-------------------------------------------------------------------------- AR1#aclnumber2000rule5permitsourceinterfaceGigabitEthernet0/0/1ipaddressnatstaticprotocoltcpglobal23inside23natoutbound2000#return[AR1-GigabitEthernet0/0/1]-------------------------------------------------------------------------- AR3#[AR3]iproute-static[AR3]discu|beginvtyuser-interfacevty04authentication-modepasswordsetauthenticationpasswordcipher****user-interfacevty1620[AR3]。
[史上最详细]H3C路由器NAT典型配置案例
![[史上最详细]H3C路由器NAT典型配置案例](https://img.taocdn.com/s3/m/882e4d6942323968011ca300a6c30c225801f060.png)
H3C路由器NAT典型配置案列(史上最详细)神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。
1.11 NAT典型配置举例1.11.1 内网用户通过NAT地址访问外网(静态地址转换)1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。
2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
<Router> system-view[Router] nat static outbound 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。
[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后,内网主机可以访问外网服务器。
通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : 10.110.10.8Global IP : 202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。
公司内部上网(nat)案例
公司内部上网(nat)案例一:实验环境:公司接外网路由器2610,下面swith3550,在3550上连2950swith,并且划分两个vlan,vlan1、vlan2.。
vlan1中有dhcp服务器,并且vlan2获得ip是通过此dhcp 服务器。
二:ip规划Cisco3550划分了2个vlan,各个vlan的ip地址为:Vlan1:192.168.1.0/24 vlan1ip为192.168.1.100/24Vlan1:192.168.2.0/24 vlan1ip为192.168.2.100/24三:实验要求:1:配置各个设备,lan1,lan2能够访问Internet。
2:配置dhcp服务器使lan2能获得ip四:实验步骤简介在cisco2610上面配置:1,配置外网口Router(config)#interface E0/0Router(config-ip)#ip add 218.4.144.1 255.255.255.252Router(config-ip)#no shutdownRouter(config-ip)#ip nat inside2,配置内网口Router(config)#interface E1/0Router(config-ip)#ip add 192.168.1.254 255.255.255.0Router(config-ip)#no shutdownRouter(config-ip)#ip nat outside3,配置默认路由和路由表添加Router(config)#ip route 0.0.0.0 0.0.0.0 218.4.144.2Router(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.1004,配置natRouter(config)#ip nat inside source list 1 pool sodi overloadRouter(config)#access-list 1 permit 192.168.1.0 0.0.0.255Router(config)#access-list 1 permit 192.168.2.0 0.0.0.255Router(config)#ip nat pool sodi 222.92.36.1 222.92.36.6 netmask 255.255.255.248 Cisco3550配置1,划分2个vlanCisco3550#vlan databaseCisco3550(vlan)#vlan 1 name serverCisco3550(vlan)#vlan 2 name client2,划分端口到vlanCisco3550(conf)#interface range f0/9 – 16Cisco3550(interface-range-if)#switchport access vlan23,设置各个vlan的地址Cisco3550(conf)#interface vlan1Cisco3550(vlan-if)#ip add 192.168.1.100 255.255.255.0Cisco3550(vlan-if)#no shutdownCisco3550(conf)#interface vlan2Cisco3550(vlan-if)#ip add 192.168.2.100 255.255.255.0Cisco3550(vlan-if)#no shutdown4,启用三层交换机路由功能Cisco3550(conf)#ip routing5,配置vlan2的dhcp的中继功能Cisco3550(conf)#interface vlan2Cisco3550(vlan-if)#ip helper-address 192.168.1.106,配置默认路由Cisco3550(conf)#ip route 0.0.0.0 0.0.0.0 192.168.1.2547,配置vtpCisco3550#vlan databaseCisco3550(vlan)#vtp domain contosoCisco3550(vlan)#vtp serverCisco3550(vlan)#vtp password 123(密码)Cisco3550(vlan)#vtp pruningCisco3550(vlan)#exit8,在swith2950上面配置vtpCisco2950#vlan databaseCisco2950(vlan)#vtp domain contosoCisco2950(vlan)#vtpclientCisco2950(vlan)#vtp password 123(密码)Cisco2950(vlan)#vtp pruningCisco2950(vlan)#exit9,在swith2950上,把同3550端口号一样的端口划到对应的vlan中10,两台交换机的中继口为24口。
NAT的3种实现方式配置示范
NAT的3种实现方式配置示范网络地址转换(NAT)是一种网络协议,用于将私有IP地址转换为公共IP地址,以实现多台设备共享一个公共IP地址的功能。
NAT有三种实现方式:静态NAT、动态NAT和PAT(端口地址转换)。
1.静态NAT静态NAT是将一个私有IP地址映射到一个公共IP地址,实现一对一的映射关系。
静态NAT适用于需要固定映射关系的情况,如将内部服务器映射到公共IP地址,以便外部用户可以访问该服务器。
示范配置:1.配置内部接口的IP地址和子网掩码。
2.配置外部接口的IP地址和子网掩码,该接口将使用公共IP地址。
3.创建一个静态NAT转换规则,将内部服务器的IP地址映射到外部接口的公共IP地址。
例如,假设内部服务器的IP地址为192.168.1.10,外部接口的公共IP地址为203.0.113.10,配置如下:```interface fastethernet0/0ip address 192.168.1.1 255.255.255.0interface fastethernet0/1ip address 203.0.113.1 255.255.255.0ip nat inside source static 192.168.1.10 203.0.113.10```2.动态NAT动态NAT是将内部设备的私有IP地址动态映射到可用的公共IP地址,实现一对多的映射关系。
动态NAT适用于多个内部设备共享有限的公共IP地址的情况。
示范配置:1.配置内部接口的IP地址和子网掩码。
2.配置外部接口的IP地址和子网掩码,该接口将使用公共IP地址。
3.配置一个动态NAT池,指定可用的公共IP地址范围。
4.创建一个动态NAT转换规则,将内部设备的IP地址映射到动态NAT池中的公共IP地址。
例如,假设内部子网的IP地址范围为192.168.1.0/24,外部接口的公共IP地址为203.0.113.1,配置如下:```interface fastethernet0/0ip address 192.168.1.1 255.255.255.0interface fastethernet0/1ip address 203.0.113.1 255.255.255.0ip nat pool dynamic-nat-pool 203.0.113.10 203.0.113.20 netmask 255.255.255.0ip nat inside source list 1 pool dynamic-nat-pool overload access-list 1 permit 192.168.1.0 0.0.0.255```3.PAT(端口地址转换)PAT是一种特殊的动态NAT方法,它除了将内部设备的IP地址映射到公共IP地址外,还使用端口号来区分不同的连接。
NAT的3种实现方式配置示范
NAT的3种实现方式配置示范网络地址转换(NAT)是一种用于将私有IP地址转换为公共IP地址的技术,以实现局域网内多个设备共享一个公共IP地址的目的。
以下是NAT的三种实现方式的配置示范。
1. 静态NAT(Static NAT)静态NAT是将一个私有IP地址映射到一个公共IP地址的一对一映射。
这个公共IP地址可以用于让外部网络访问内部网络中的特定设备。
以下是一个静态NAT的配置示例:首先,假设我们有一个私有网络,其IP地址范围是192.168.1.0/24,而我们有一个公共IP地址203.0.113.10。
1.在NAT设备上配置一个静态NAT规则:configure terminalip nat inside source static 192.168.1.5 203.0.113.102.配置内部接口和外部接口:interface GigabitEthernet0/0ip nat insideinterface GigabitEthernet0/1ip nat outside3.验证配置:show ip nat translations这个配置会将该私有网络中的设备192.168.1.5映射到公共IP地址203.0.113.10上,使其可以从外部访问该设备。
2. 动态NAT(Dynamic NAT)动态NAT是一种将私有IP地址动态映射到公共IP地址的方式,根据内部网络设备的需要,由NAT设备动态分配公共IP地址。
以下是一个动态NAT的配置示例:配置一个全局IP地址池:configure terminalip nat pool NAT-POOL 203.0.113.10 203.0.113.20 netmask 255.255.255.0配置NAT规则:ip nat inside source list 1 pool NAT-POOL overload配置访问控制列表(ACL)以指定内部网络:access-list 1 permit 192.168.1.0 0.0.0.255配置内部接口和外部接口:interface GigabitEthernet0/0ip nat insideinterface GigabitEthernet0/1ip nat outside这个配置会将内部网络192.168.1.0/24中的设备动态映射到IP地址池中的公共IP地址,可以实现内部网络中的多个设备共享有限数量的公共IP地址。
NAT-T技术应用实例
实验拓扑图如下实验要求利用私网地址与对端公网地址建立IPsec对等体,在私网地址穿越本端公网路由器时进行地址转换后也能保证IPsec的各项功能,实现NAT-T技术第一步:按着拓扑图我们需要在R2与R5之间建立IPsec对等体,首先我们需要解决两者之间的路由关系R2#show run | s ip routeip route 10.1.1.0 255.255.255.0 202.100.1.254 //到达对端通信点的路由ip route 61.128.1.1 255.255.255.255 202.100.1.254 //到达对端加密点的路由R5#show run | s ip routeip route 192.168.1.0 255.255.255.0 172.16.1.254ip route 202.100.1.1 255.255.255.255 172.16.1.254第二步:在公网路由器R4上配置默认路由使得公网路由可以相互通信R4#show run | s ip routeip route 202.100.1.1 255.255.255.255 61.128.1.254R4#ping 202.100.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.100.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/7/26 ms //通信正常第三步:在公网路由器R4上配置NATR4#show run | s access-listaccess-list 1 permit 10.1.1.0 0.0.0.255 //配置access-list命中终端路由R4#show run int e0/1interface Ethernet0/1ip address 172.16.1.254 255.255.255.0ip nat insideR4#show run int e0/2interface Ethernet0/2ip address 61.128.1.1 255.255.255.0ip nat outsideR4#show run | s natip nat insideip nat outsideip nat inside source list 1 interface Ethernet0/2 overload //运用NAT来将命中的私网地址转换成公网地址第四步:定义感兴趣流R2#show run | s accessaccess-list 100 permit ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255 //配置感兴趣流就是命中那些路由需要被加解密R4#show run | s accessaccess-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255第五步:定义 IKE 提案R2#show run | s crycrypto isakmp policy 10 //创建isakmp策略encr 3des //加密方式为3DEShash md5 //hash算法为MD5authentication pre-share //认证为预共享group 2 //Diffie-Hellman组设置为2R4#show run | s crycrypto isakmp policy 10encr 3deshash md5authentication pre-sharegroup 2第六步:配置预共享秘钥R2(config)#crypto isakmp key cisco address 61.128.1.1 //配置预共享秘钥 cisco为对端加密点地址61.128.1.1(虽然是与R5建立IPsec对等体关系,但是加密点设置仍是对端的公网IP地址)R4(config)#crypto isakmp key cisco address 202.100.1.1第七步:定义ipsec 提案R2的IPsec提案的基本配置crypto ipsec transform-set cisco esp-3des esp-sha-hmac //设置IPsec的转换集名称为cisco 封装为ESP加密为3DES 加密hash为sha-hmacmode tunnel //模式设置为隧道模式crypto map cisco 10 ipsec-isakmp //创建crypto map名称为ciscoset peer 61.128.1.1 //设置对端的加密点为公网的IP地址(不是建立IPsec的出接口的IP 地址)set transform-set cisco //调用定义好的转换集ciscomatch address 100 //命中Access list选中的路由R4的IPsec提案的基本配置crypto ipsec transform-set cisco esp-3des esp-sha-hmacmode tunnelcrypto map cisco 10 ipsec-isakmpset peer 202.100.1.1set transform-set ciscomatch address 100第八步:在加解密设备上的本地出接口调用crypto mapR2#show run int e0/1interface Ethernet0/1ip address 202.100.1.1 255.255.255.0crypto map cisco //在加解密设备的本地出接口上调用 crypto map列表R5#show run int e0/1interface Ethernet0/1ip address 172.16.1.1 255.255.255.0crypto map cisco第九步:验证经过加密过后的路由是否能够正常通信R1#ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 30/33/41 msR6#ping 192.168.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 29/33/48 ms //实现了加密后的通信在NAT设备上查看经过转换的地址信息R4#show ip nat translationsPro Inside global Inside local Outside local Outside globaludp 61.128.1.1:4500 172.16.1.1:4500 202.100.1.1:4500 202.100.1.1:4500 //可以看到此时转换后的地址是由UDP 4500端口来承载的第二种场景就是在R5上在再做一次NAT转换R4#show run | s ip routeip route 0.0.0.0 0.0.0.0 61.128.1.254R5#show run | s ip routeip route 0.0.0.0 0.0.0.0 172.16.1.254 //确保路由的连通性R5#show run | s accip access-list extended NATdeny ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 //过滤掉IPsec的流量permit ip 10.1.1.0 0.0.0.255 any //允许终端的其他流量上互联网access-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 //命中需要被加解密的流量R5#show run | s natip nat insideip nat outsideip nat inside source list NAT interface Ethernet0/1 overload //实施NAT。
静态NAT实例
静态、动态NAT实例1.网络地址规划:PC1:192.168.1.11 255.255.255.0 192.168.1.1PC2:192.168.1.12 255.255.255.0 192.168.1.1PC3:192.168.1.13 255.255.255.0 192.168.1.1PC4:192.168.2.21 255.255.255.0 192.168.2.1DNS Server:192.168.1.200 255.255.255.0路由器A:F0/0:192.168.1.1 255.255.255.0F0/1:218.12.226.2 255.255.255.0路由器B:F0/0:192.168.2.1 255.255.255.0F0/1:218.12.226.1 255.255.255.02.配置路由器A:Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname routerArouterA(config)#int f0/0 //配接口IProuterA(config-if)#ip add 192.168.1.1 255.255.255.0routerA(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to uprouterA(config-if)#int f0/1routerA(config-if)#ip add 218.12.226.2 255.255.255.0routerA(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to uprouterA(config-if)#exitrouterA(config)#ip nat pool my1 218.12.226.3 218.12.226.4 netmask 255.255.255.0 //动态NAT地址池routerA(config)#access-list 1 permit 192.168.1.11 //配访问控制列表routerA(config)#access-list 1 permit 192.168.1.12routerA(config)#access-list 1 permit 192.168.1.13routerA(config)#ip nat inside source list 1 pool my1 //私有地址和合法地址映射routerA(config)#ip nat inside source static 192.168.1.200 218.12.226.5 //配静态NAT转换routerA(config)#int f0/0 //在接口加策略routerA(config-if)#ip nat insiderouterA(config-if)#int f0/1routerA(config-if)#ip nat outsiderouterA(config-if)#exitrouterA(config)#ip route 0.0.0.0 0.0.0.0 218.12.226.1 //配静态路由routerA(config)#endrouterA#%SYS-5-CONFIG_I: Configured from console by consolerouterA#wrBuilding configuration...[OK]routerA#3.配置路由器B:Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname routerBrouterB(config)#int f0/0routerB(config-if)#ip add 192.168.2.1 255.255.255.0routerB(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to uprouterB(config-if)#int f0/1routerB(config-if)#ip add 218.12.226.1 255.255.255.0routerB(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to uprouterB(config-if)#exitrouterB(config)#ip route 0.0.0.0 0.0.0.0 218.12.226.2routerB(config)#endrouterB#%SYS-5-CONFIG_I: Configured from console by console routerB#wrBuilding configuration...[OK]routerB#。
NAT实际操作案例
2011年05月
目录
理论背景简介
实验的目的及意义
实验的拓扑环境
实验的测试结果
其他方面
理论背景简介
NAT(网络地址转换)技术的引入
网络迅速发展, IPv4地址不敷使用 IPv4地址分配不均 私有地址用户需要访问Internet NAT提供私有地址到公有地址的转换
实验的目的及意义
实验的目的及意义
1、了解路由器的基本配置 2、理解NAT的分类及原理 3、掌握常用的NAT配置技术
实验的拓扑环境
说明:网络拓扑分为“私网”和“公网”两部网络用公 有Ip地址,在路由器上配置NAT功能,
实验的测试结果
安全环节教学案例-nat配置
一、网络安全实践教学案例:1、案例名称:**煤电集团网络出口NAT建设2、背景描述:**煤电集团在互联网出口建设了防火墙,现公司内部人员需要访问公司外网,公司外网分别与电信和联通两个运营商相连,在防火墙上需实现NAT以保证内部员工访问外网,在公司内部提供FTP和WWW服务器,以供外部人员访问。
3、需求分析(针对案例的明确应用):需求1:要求该公司只有Trust安全区域的10.110.10.0/24网段用户可以访问Internet,该安全区域其它网段的用户不能访问。
提供的访问外部网络的公网IP地址范围为202.169.10.3~202.169.10.6。
由于公有地址不多,需要使用NAPT(NetworkAddress Port Translation)功能进行地址复用。
分析1 :由于公有地址不多,需要使用NAPT(Network Address Port Translation)功能进行地址复用。
需求2:提供两个内部服务器供外部网络用户访问。
WWW服务器的内部IP地址为192.168.20.2/24,端口号为8080,FTP服务器的内部IP地址为192.168.20.3/24,端口号为21分析2:需要在出口防火墙上做NAT映射,其中:WWW服务器对外公布的IP地址为202.169.10.1,对外使用的端口号为80,FTP服务器对外公布的IP地址为202.169.10.2,对外使用的端口号为21。
需求3:WWW Server和FTP Server处于DMZ安全区域,所在的网段为192.168.20.0/24,能够被内部员工和外部用户访问。
分析3:提供两个内部服务器供外部网络用户访问。
WWW Server的内部IP地址为192.168.20.2/24,端口为8080,FTP Server的内部IP地址为192.168.20.3/24。
两者对zone_a安全域公布的地址均为202.169.10.10/16,使用的端口号均为缺省值。
项目11-1NAT服务的应用案例
项目11-1NAT服务的应用案例项目13 NAT服务器的配置典型应用案例1.某小型企业有公办用计算机约50台,使用TP-Link470路由器共享上网,局域网中的客户端计算机使用的是手动指定的IP地址方式,IP地址的参数如下:IP地址:172.16.6.0/24默认网关:172.16.6.1首选DNS服务器:172.16.6.1有一天,TP-LINK470路由器突然损坏了,而商家需要两天时间才能更换回一台路由器,你作为这个企业的网络管理员,可以使用什么方法,能够尽快恢复企业的网络,保证用户能够正常接入Internet。
分析:TP-Link470路由器主要提供企业局域网中用户共享Internet的功能。
而对于小型网络,微软的操作系统提供的Internet 连接共享(ICS),完全可以满足小型企业50台计算机共享上网的要求。
另外,ICS服务器安装后,默认向192.168.0.0/24的局域网提供Internet连接共享服务,而企业内部专用网络使用是172.16.6.0/24网段,因此还要修改ICS服务器上与内部网络相连的网卡的IP地址。
解决方法:在一台安装了Windows 98 SE以上操作系统的计算机中安装双网卡,再安装ICS服务,然后将与内部企业专用网络相连的网卡IP设置修改为:IP地址:172.16.0.1默认网关:255.255.255.0即可解决企业共享上网问题。
2.某企业使用ADSL拨号上网,用户在服务器上安装了双网络,一块连接ADSL宽带猫,一块连接企业内部专用网络。
拨号上网后,在与ADSL相连的网卡设置属性的“高级”选项卡中,选择“允许其他网络用户通过此计算机的Internet连接来连接”复选框,希望为内部网络用户提供Internet共享服务。
此时提供ICS服务的计算机上网正常,而企业内部的客户端能够自动获得IP地址,但不能连接Internet网,是什么原因?怎样处理?分析与解决:使用ADSL或宽带拨号连接,在“网上邻居”属性窗口中,有两个本地连接,还有一个拨号网络连接。
ip nat outside 案例
ip nat outside 案例IP NAT (Network Address Translation) 是一种将私有IP地址转换为公共IP地址的技术,常用于企业网络中,以便内部网络可以访问外部网络(如Internet)的资源。
以下是一个IP NAT outside 的案例:假设我们有一个企业网络,其内部网络使用私有IP地址范围(例如192.168.1.0/24),并且我们希望通过单个公共IP地址(例如203.0.113.1)连接到Internet。
配置步骤如下:定义内部和外部接口:首先,我们需要定义哪些接口是内部接口(连接到内部网络),哪些是外部接口(连接到Internet)。
在这个例子中,假设我们有一个路由器,其fastethernet 0/0接口连接到内部网络,而fastethernet 0/1接口连接到Internet。
配置内部和外部接口:我们需要配置这些接口,并指定哪些是内部接口,哪些是外部接口。
这可以通过以下命令完成:shellinterface FastEthernet0/0ip address 192.168.1.1 255.255.255.0ip nat insideno shutdowninterface FastEthernet0/1ip address 203.0.113.1 255.255.255.0ip nat outsideno shutdown定义访问控制列表(ACL):接下来,我们需要定义一个ACL,以指定哪些内部地址可以进行NAT转换。
例如,如果我们希望允许整个192.168.1.0/24网络进行NAT转换,可以创建以下ACL:shellaccess-list 1 permit 192.168.1.0 0.0.0.255配置NAT池:我们需要定义一个NAT池,该池将用于将内部地址转换为外部地址。
例如,我们可以创建一个NAT池,其中包含单个公共IP地址203.0.113.1:shellip nat pool natpool 203.0.113.1 203.0.113.1 netmask 255.255.255.0将ACL和NAT池关联:最后,我们需要将之前定义的ACL 和NAT池关联起来,以便将内部地址转换为NAT池中的地址。
nat46案例
nat46案例
来给你讲个超有趣的NAT46案例哈。
想象一下,有个小公司,他们的网络就像一个小小的王国。
这个小王国里的设备都用着私有的IPv4地址,就像每个居民都有自己独特的小代号似的。
有一天呢,他们要和一个超级酷的、只用IPv6的大公司合作项目。
这就像小王国的居民要去大公司串门,但是大公司只认识IPv6这个“通行证”。
这时候NAT46就闪亮登场啦,就像是一个神奇的翻译官。
小王国里IPv4的设备发出的请求,到了NAT46这儿,它就把IPv4的地址信息,通过魔法般的转换,变成了IPv6的地址格式。
比如说,IPv4地址像是一种简单的方言,而IPv6地址是一种高大上的国际通用语,NAT46就负责把方言翻译成通用语。
就像有个小员工的设备IP地址是类似192.168.1.10(这是IPv4的啦),这个设备要访问大公司那边的资源。
NAT46把这个地址变成了一个长长的、看起来很复杂但在IPv6世界里很正常的地址,像2001:0db8:85a3:0000:0000:8a2e:0370:7334(当然这只是个例子哈)。
然后大公司那边收到这个“翻译”后的IPv6地址请求,就能愉快地回应啦,数据就像小包裹一样在两个公司之间顺利地跑来跑去,全靠NAT46这个超棒的翻译官在中间牵线搭桥呢。
这就是一个简单又好玩的NAT46在实际中的案例啦。
NAT 示例
NAT 示例如果一个小型企业使用 192.168.0.0 作为其 Intranet 的网络 ID,并且得到其Internet 服务提供商 (ISP) 授予的公用地址w1.x1.y1.z1,那么网络地址转换(NAT) 会将 192.168.0.0 上所有的专用地址都映射到w1.x1.y1.z1 IP 地址。
如果将多个专用地址映射到一个公用地址,则 NAT 会动态选择 TCP 和 UDP 端口来区分各个 Intranet 位置。
注意∙w1.x1.y1.z1和w2.x2.y2.z2主要用于代表有效的公用 IP 地址是由Internet 号码指派机构 (IANA) 还是由 ISP 分配的。
下例显示使用 NAT 将 Intranet 透明地连接到 Internet 的范例。
如果 192.168.0.10 私人用户使用 Web 浏览器连接到位于w2.x2.y2.z2的Web 服务器,则用户计算机将创建带有下列信息的 IP 数据包:∙目标 IP 地址:w2.x2.y2.z2∙源 IP 地址:192.168.0.10∙目标端口:TCP 端口 80∙源端口:TCP 端口 5000然后,此 IP 数据包转发到 NAT 协议,该协议将传出数据包地址转换成下面的形式:∙目标 IP 地址:w2.x2.y2.z2∙源 IP 地址:w1.x1.y1.z1∙目标端口:TCP 端口 80∙源端口:TCP 端口 1025NAT 协议在表中保留 {192.168.0.10, TCP 1025} 到 {w1.x1.y1.z1, TCP 5000} 的映射。
转发的 IP 数据包是通过 Internet 发送的。
通过 NAT 协议发回和接收响应。
接收时,数据包包含下列公用地址信息:∙目标 IP 地址:w1.x1.y1.z1∙源 IP 地址:w2.x2.y2.z2∙目标端口:TCP 端口 1025∙源端口:TCP 端口 80NAT 协议检查转换表,将公用地址映射到专用地址,并将数据包转发给位于192.168.0.10 的计算机。
NAT网络地址转换案例
NAT网络地址转换一:拓扑图二:使用dynamips完成实验1:启用R5和R6路由器,其中R5模拟PC5机,S1/1 ip:220.171.1.1/24 网关:220.171.1.2 2:R6路由器S1/0端口ip地址:220.171.1.2 ,Fa2/0端口ip地址:192.168.1.1/243:模拟公网实际环境:R6实现ACL来阻止192.168.1.0网络从Fa2/0到达PC5的S1/14:在R6上使用NAT来实现192.168.1.0到PC5的访问5:真实PC(ip:192.168.1.2/24 网关:192.168.1.1)三:实验步骤1:在R5上Router>enRouter# configure terminalRouter(config)#hostname PC5PC5 (config)#no ip domain-lookupPC5 (config)#line console 0PC5 (config-line)#exec-timeout 0 0PC5 (config-line)#logging synchronousPC5 (config-line)#exitPC5 (config)#no ip routing /去除路由器的路由功能来模拟成pcPC5 (config)#interface s1/1PC5 (config-if)#ip address 220.171.1.1 255.255.255.0 /配置ip地址PC5 (config-if)#no shutdownPC5 (config-if)#exitPC5 (config)#ip default-gateway 220.171.1.2 /配置默认网关PC5(config)#endPC5#2:在R6上:使用ACLRouter>enableRouter#configure terminalRouter(config)#hostname R6R6(config)#no ip domain-lookupR6(config)#line console 0R6(config-line)#exec-timeout 0 0R6(config-line)#logging synchronousR6(config-line)#exitR6(config)#inter fa2/0R6(config-if)#ip address 192.168.1.1 255.255.255.0R6(config-if)#no shutdownR6(config-if)#interface s1/0R6(config-if)#ip address 220.171.1.2 255.255.255.0R6(config-if)#no shutdownR6(config-if)#ip access-group 1 out /加载ACL到s1/0的出口上以192.168.1.0的源包R6(config-if)#exitR6(config)#access-list 1 deny 192.168.1.0 0.0.0.255 /标准ACL,阻止192.168.1.0来的包R6(config)#access-list 1 permit any /标准ACL,允许任何来包R6(config)#测试:PC(IP:192.168.1.2/24 网关:192.168.1.1)ping 220.171.1.1 不通由于ACL阻止了192.168.1.0来的包,要实现内外访问,必须使用NAT转换A:使用使用静态NAT:在内部本地地址和内部全局地址之间建立一对一的映射关系R6#R6#conf tR6(config)#ip nat inside source static 192.168.1.2 220.171.1.3 /配置静态nat,内部本地地址和内部全局地址做一对一对应R6(config)#interface fa2/0R6(config-if)#ip nat inside /设置fa2/0接口为内部网络R6(config-if)#interface s1/0R6(config-if)#ip nat outside /设置s1/0网络为外部网络R6(config-if)#endR6#测试:PC(IP:192.168.1.2/24 网关:192.168.1.1)ping 220.171.1.1通B:使用动态地址转换NAT:在内部本地地址和内部全局地址之间建立动态的映射关系。
NAT实例
1.14.2 私网访问公网典型配置举例(设备二)1. 组网需求一个公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址,内部网址为10.110.0.0/16,需要实现如下功能:●内部网络中10.110.10.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。
使用的公网地址为202.38.1.2和202.38.1.3。
●对源地址为10.110.10.100的用户按目的地址进行统计,限制用户连接数的上限值为1000,下限值为200,即要求与外部服务器建立的连接数不超过1000,不少于200。
2. 组网图图1-6 私网访问公网典型配置组网3. 配置步骤# 配置IP地址池1,包括两个公网地址202.38.1.2和202.38.1.3。
<Router> system-view[Router] nat address-group 1 202.38.1.2 202.38.1.3# 配置访问控制列表2001,仅允许内部网络中10.110.10.0/24网段的用户可以访问Internet。
[Router] acl number 2001[Router-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255 [Router-acl-basic-2001] rule deny[Router-acl-basic-2001] quit# 在出接口GigabitEthernet1/2上配置ACL 2001与IP地址池1相关联。
[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat outbound 2001 address-group 1[Router-GigabitEthernet1/2] quit# 配置连接限制策略1,对源地址为10.110.10.100的用户按照目的地址进行统计,限制用户连接数的上限值为1000,下限值为200。
实验 利用NAT实现外网主机访问内网服务器
实验利用NAT 实现外网主机访问内网服务器【实验名称】利用NAT 实现外网主机访问内网服务器【实验目的】掌握NAT 源地址转换和目的地址转换的区别,掌握如何向外网发布内网的服务器【背景描述】你是某公司的网络管理员,公司只向ISP 申请了一个公网IP 地址,现公司的网站在内网,要求在互联网也可以访问公司网站,请你实现。
172.16.8.5是web 服务器的IP 地址。
【需求分析】内网服务器能够转换成外网公网IP ,被互联网访问 【实验拓扑】 图11-2 实验拓扑图 【预备知识】路由器基本配置知识、NAT 知识【实验设备】路由器(带串口) 两台V.35线缆(DTE/DCE) 1对PC 1台直连线 1条【实验原理】NAT (网络地址转换或网络地址翻译),是指将网络地址从一个地址空间转换为另一个地址空间的行为。
NAT 将网络划分为内部网络(inside )和外部网络(outside )两部分。
局域网主机利用NAT 访问网络时,是将局域网内部的本地地址转换为了全局地址(互联网合法IP 地址)后转发数据包。
F1/0200.1.8.7 F1/1:172.16.8.1 F1/0 200.1.8.8F1/1: 63.19.6.1WEB 服务器172.16.8.5NAT分为两种类型:NAT(网络地址转换)和NAPT(网络地址端口转换)。
NAT是实现转换后一个本地IP地址对应一个全局地址。
NAPT是实现转换后多个本地IP地址对应一个全局IP地址。
目前网络中由于公网IP地址紧缺,而局域网主机数较多,因此一般使用动态的NAPT实现局域网多台主机共用一个或少数几个公网IP访问互联网。
【实验步骤】第一步:路由器基本配置R1(config)#R1 (config)#interface FastEthernet 1/1R1 (config-if)#ip address 172.16.8.1 255.255.255.0R1 (config-if)#no shutdownR1 (config-if)#exitR1 (config)#interface interface FastEthernet 1/0R1 (config-if)#ip address 200.1.8.7 255.255.255.0R1 (config-if)#no shutdownR1 (config-if)#exitR2 (config)#interface fastEthernet 1/1R2 (config-if)#ip address 63.19.6.1 255.255.255.0R2 (config-if)#no shutdownR2 (config-if)#exitR2 (config)#interface interface FastEthernet 1/0R2 (config-if)#ip address 200.1.8.8 255.255.255.0R2 (config-if)#no shR2 (config-if)#end第二步:配置默认路由R1(config)#ip route 0.0.0.0 0.0.0.0 200.1.8.8第三步:配置NATR1(config)#interface fastEthernet 1/1R1(config-if)#ip nat insideR1(config-if)#exitR1(config)#interface fastEthernet 1/0R1(config-if)#ip nat outsideR1(config-if)#exitR1(config)# ip nat inside source static tcp 172.16.8.5 80 200.1.8.5 80第四步:验证测试1、在内网主机配置WEB服务2、在外网的1台主机通过浏览器访问内网web服务器映射的公网地址200.1.8.5R1#show ip nat translationsPro Inside global Inside local Outside local Outside globaltcp 200.1.8.5:80 172.16.8.5:80 63.19.6.1:1033 63.19.6.1:1033R1#show ip nat statisticsTotal translations: 1, max entries permitted: 30000Peak translations: 2 @ 00:11:25 agoOutside interfaces: FastEthernet 0/0Inside interfaces: FastEthernet 0/1Rule statistics:[ID: 5] inside source statichit: 2match (before routing):tcp packet with destination-ip 200.1.8.5 destination-port 23action :translate ip packet's destination-ip use ip 172.16.8.5 with port set to 23【注意事项】1、不要把inside和outside应用的接口弄错2、配置目标地址转换后,需要利用静态NAPT配置静态的端口地址转换【参考配置】R1#sh running-configBuilding configuration...Current configuration : 919 bytes!version RGNOS 10.1.00(4), Release(18443)(Tue Jul 17 20:50:30 CST 2007 -ubu1server)hostname R1!ip access-list standard 310 permit host 200.1.8.5!interface FastEthernet 1/0ip nat outsideip address 200.1.8.7 255.255.255.0duplex autospeed auto!interface FastEthernet 1/1ip nat insideip address 172.16.8.1 255.255.255.0duplex autospeed auto!ip nat inside source static tcp 172.16.8.5 80 200.1.8.5 80!ip route 0.0.0.0 0.0.0.0 200.1.8.8!line con 0line aux 0line vty 0 4login!endR2#sh running-configBuilding configuration...Current configuration : 550 bytes!version RGNOS 10.1.00(4), Release(18443)(Tue Jul 17 20:50:30 CST 2007 -ubu1server)hostname R2!enable password 7 151b5f72!!interface FastEthernet 1/0ip address 200.1.8.8 255.255.255.0duplex autospeed auto!interface FastEthernet 1/1ip address 63.19.6.1 255.255.255.0duplex autospeed auto!iline con 0line aux 0line vty 0 4loginpassword 7 0549546d!end。