路由器基础(七):NAT原理与配置

news2024/12/23 13:06:06

一、NAT 配置

        华为路由器配置NAT 的方式有很多种,考试中可能考到的基本配置方 式主要有EasyIP和通过NAT地址池的方式。图22-7-1是一个典型的通过EasyIP进行NAT的示意图,其中Router出接GE0/0/1IP地址为200.100.1.2/24,接口E0/0/1IP地址为192.168.0.1/24。连接Router出接口GE0/0/1的对端IP地址为200.100.1.1/24。内网用户通Router的出接口GE0/0/1Easy IP地址转换访问外网。如下图所示:

 1、通过Easy IP方式访问的配置

 <HUAWEl>system-view         //进入系统视图

[HUAWEI]sysname Router         //修改设备名称

[Router]acl number 2000         //创建ACL2000

[Router-acl-bas-2000]rule 5 permit source 192.168.0.00.0.0.255        //配置允许进行NAT转换的内网地址段192.168.0.0/24

[Router-acl-bas-2000]quit

[Router]interface Ethernet0/0/1

[Router-Ethernet0/0/1]undo port switch         //关闭端口的交换特性,变为路由接口

 [Router-Ethernet0/0/1]ip address 192.168.0.1255.255.255.0        //配置内网网关地址

[Router-Ethernet0/0/1]quit

[Router]interface GigabitEthernet0/0/1

[Router-GigabitEthernet0/0/1Jip address 200.100.1.2  255.255.255.0

[Router-GigabitEthernet0/0/1]nat outbound 2000    //在出接口GE0/0/1上做Easy IP方式NAT

[Router-GigabitEthernet0/0/1]quit

[Router]ip route-static 0.0.0.00.0.0.0200.100.1.1   //配置默认路由,保证出接口到对端路由可达

二、配置NAT地址池转换

         当内网用户较多,需要使用较多外部地址访问Internet时,可以考虑使用地址池的形式,如图所示:

<HUAWEI>system-view                 //进入系统视图

[HUAWEI]sysname Router            //修改设备名称

[Router]acl number 2000                //创建ACL2000

[Router-acl-bas-2000]rule 5 permit source 192.168.0.0  0.0.0.255

//配置允许进行NAT 转换的内网地址段192.168.0.0/24

[Router-acl-bas-2000]quit

[Router]nat address-group 1200.100.1.100  200.100.1.200        //配置NAT地址池

 [Router]interface vlan100        

[Router-vlan-interface100]ip address 192.168.0.1   255.255.255.0 //配置内网网关的IP地址

[Router-vlan-interface100]quit

[Router]interface Ethernet2/0/0

[Router-Ethernet2/0/0]port link-type access     //配置接口的类型为Access

 [Router-Ethernet2/0/0]port   default  vlan  100        //配置接口的默认VLAN ID

[Router-Ethernet2/0/0]quit

[Router]interface      GigabitEthernet3/0/0

[Router-GigabitEthernet3/0/0Jip address 200.100.1.2 255.255.255.0

[Router-GigabitEthernet3/0/0]nat outbound 2000 address-group 1 //在出接口上配 NAT Outbound

[Router-GigabitEthernet3/0/0]quit

[Router]ip    route-static    0.0.0.00.0.0.0  200.100.1.1        //配置默认路由

内网用户通过路由器的NAT 地址转换功能访问Internet, 并且向外网用户提供WWW   服务。

 <HUAWEI>system-view         //进入系统视图

[HUAWEI]sysname Router        //修改设备名称

[Router]acl number 2000        //创建ACL 2000

[Router-acl-bas-2000]rule 5 permit source 192.168.0.0   0.0.0.255//配置允许进行NAT转换的内网地址段192.168.0.0/24

[Router-acl-bas-2000]quit

 [Router]nat address-group 1200.100.1.100  200.100.1.200 //配置NAT地址池

[Router]interface vlan100         //配置内网网关的IP地址

[Router-vlan-interface100]ip address 192.168.0.1255.255.255.0

[Router-vlan-interface100]quit

[Router]interface Ethernet2/0/0

[Router-Ethernet2/0/0]port link-type access    //配置接口的类型为Access

[Router-Ethernet2/0/0]port default vlan 100  //配置接口的默VLAN ID

[Router-Ethernet2/0/0]quit

[Router]interface GigabitEthernet3/0/0

[Router-GigabitEthernet3/0/0]ip address 200.100.1.2  255.255.255.0

[Router-GigabitEthernet3/0/0]nat outbound 2000 address-group1 //在出接口上配置NAT Outbound

[Router-GigabitEthernet3/0/0]nat server protocol tcp global 200.100.1.103 www inside 192.168.0.2 8080 //在出接口上配置内网服务器192.168.0.2WWW服务

[Router-GigabitEthernet3/0/0]quit

[Router]nat address-group 1200.100.1.100 200.100.1.200         //配置NAT地址池

[Router]ip route-static 0.0.0.00.0.0.0200.100.1.1                         //配置默认路由

 三、 复杂配置情况

        对于更为复杂的配置环境,可以通过NAT和重定向实现双出口,且对外提供Web服务。这在企业网络实际应用中是一种常用的方   式,通常既需要内网用户上网,并且为了保证稳定和可靠,使用   两个以上ISP线路提供Internet 的接入,还要能对外提供某些服务, Web、FTP  服务等。如图所示的环境中,Router GE1/0/0连接校园网,GE2/0/0连接教育网,GE3/0/0 连接电信运营商接入Internet  内网主机访问教育网通过GE2/0/0,  访问其他网址通过默认路由从GE3/0/0。

 

         如上图所示,该校园网服务器提供内外网Web 服务,内网地址是192.168.1.2/24;外网地址是210.43.2.3。现要求因特网主机和校园网内部主机都可以通过210.43.2.3正常访问Web 服务器,且要求校园网内部主机可以通过NAT 访问Internet和教育网。根据教育网的访问规则,非教育网主机访问教育网主机,必须通过教育网通道才能访问,因此外网用户(包括教育网用户和非教育网用户)访问该校都是从GE2/0/0 接入。

[Router]acl number 2000 //配置ACL规则,允许校园网中192.168.1.0/24网段的主机访问外网

[Router-acl-bas-2000]rule 5 permit source 192.168.1.0   0.0.0.255

[Router-acl-bas-2000]quit

[Router]acl number 3000         //内部主机直接访问服务器210.43.2.3,只有内网发起的服务才会在GE1/0/0上进行NAT

[Router-acl-adv-3000]rule 5 permit ip source 192.168.1.0  0.0.0.255  destination  210.43.2.30

[Router-acl-adv-3000]quit

[Router]acl number3001        //内部服务器返回内部主机的数据流不需要被重定向到教育网出口

[Router-acl-adv-3001]rule 5 permit ip source 192.168.1.20  destination 192.168.1.0 0.0.0.255

[Router-acl-adv-3001]quit

 [Router]acl number 3002         //用于将内部服务器发往外部的数据流重定向到教育网出口

[Router-acl-adv-3002]rule 10 permit ip source 192.168.1.20

[Router-acl-adv-3002]quit

[Router]traffic classifier C_iner operator or         //定义不需要重定向的数据流分类C_iner

[Router-classifier-C_iner]if-matchacl 3001

[Router-classifier-C_iner]quit

[Router]traffic classifier C_outer operator or         //定义需要重定向的数据流分类C_outer

[Router-classifier-C_outer]if-matchacl 3002

 [Router-classifier-C_outer]quit

[Router]traffic behavior B_iner         //定义流行为B_iner

[Router-behavior-B_iner]quit

Router]traffic behavior B_outer        //定义流行为B_outer

[Router-behavior-B_outer]redirect ip-nexthop 210.43.2.2 //服务器响应外网访问的数据流都被重定向到教育网出口

[Router-behavior-B_outer]quit

[Router]traffic policy P_redirect         //绑定流策略

[Router-policy-P_redirect]classifier C_iner behavior B_iner//先匹配内部服务器返回内部主机的数据流,不需要重定向

[Router-policy-P_redirect]classifier C_outer behavior  B_outer//后匹配重定向到教育网出口的数据流

[Router-policy-P_redirect]quit

[Router]natalg dns enable         //使能NATALGDNS功能

 [Router]nat address-group 0 61.187.55.100 61.187.55.120//访问非教育网地址对应的NAT地址池

[Router]nat address-group 1 210.43.2.100 210.43.2.120        //访问教育网地址对应的NAT地址池

[Router]interface GigabitEthernet1/0/0

[Router-GigabitEthernet1/0/0]ip address 192.168.1.1  255.255.255.0

[Router-GigabitEthernet1/0/0]traffic-policy P_redirect   inbound //GE1/0/0对入方向的数据流执行流策略P_redirect

[Router-GigabitEthernet1/0/0]nat static global 210.43.2.3 inside  192.168.1.2  netmask  255.255.255.255                //内网用户直接使用210.43.2.3访问服务器时进行NAT

[Router-GigabitEthernet1/0/0]nat outbound 3000        //内网用户直接访问210.43.2.3时做Easy IP,将源地址改为GE1/0/0的地址,保证内网服务器和主机间的通信量都经过Router转发

 [Router-GigabitEthernet1/0/0]quit

[Router]interface GigabitEthernet2/0/0

[Router-GigabitEthernet2/0/0]ip address 210.43.2.1  255.255.255.0

[Router-GigabitEthernet2/0/0]nat static global 210.43.2.3 inside  192.168.1.2 netmask 255.255.255.255         //教育网出口的NAT

[Router-GigabitEthernet2/0/0]nat outbound 2000 address-group  1//内网访问教育网时的NAT

[Router-GigabitEthernet2/0/0]quit

[Router]interface GigabitEthernet3/0/0

[Router-GigabitEthernet3/0/0]ip address 61.187.55.1  255.255.255.0

[Router-GigabitEthernet3/0/0]nat outbound 2000 address-group 0//   内网访问非教育网时的NAT

[Router-GigabitEthernet3/0/0]quit

[Router]ip route-static 0.0.0.00.0.0.061.187.55.2         //设置默认路由

 四、NAT   ALG

         通常情况下, NAT 只对报文中IP部的地址信息和TCP/UDP 头部的端口信息进行转换,不关注报文的内容。但是对于一些特殊的协议(如FTP协议),其报文中也携带了地址或端口信息,而报文中的地址或端口信息往往是由通信的双方动态协商生产的,管理员并不能为其提前配置好相应的NAT 规则。如果NAT 设备不能识别并转换这些信息,将影响到这些协议的正常使用。 NATALG Application Level Gateway) 功能可以对报文的字段进行解析, 识别并转换其中包含的重要信息,保证类似FTP 的多通道协议可以顺利的进行地址转换而不影响其正常使用

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1168329.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

VR博物馆:让博物馆传播转化为品牌影响力

随着VR技术的不断进步&#xff0c;VR全景技术已经成为了文化展示和传播的一项重要工具&#xff0c;相较于传统视频、图文等展现方式&#xff0c;VR全景体验更加直观、便捷&#xff0c;其中蕴涵的信息量也更加丰富&#xff0c;这也为公众了解博物馆和历史文化带来了更为深刻的体…

通达信高级操作:市场雷达的配置使用

我们很多时候会被“条件预警”和“市场雷达” 这两个小窗口搞得晕头转向&#xff0c;那么简单说一下这2个小窗口的区别。 在通达信软件的右下角&#xff0c;我们可以看到一排图标&#xff0c;如下图所示&#xff0c;1这个小雷达图标就是 市场雷达&#xff0c;2这个三角图标是条…

家用洗地机什么牌子最好?家用洗地机排行榜

对于现在的年轻人来说&#xff0c;打扫家里的卫生一直是非常头疼的问题&#xff0c;上班一天已经很累了&#xff0c;回家还需要花费很长时间吸地、拖地真的很闹心。特别是对于有小孩子的家庭&#xff0c;地面弄上一些油污、饭菜简直就是家常便饭&#xff0c;每次打扫起来非常费…

【资源共享】分享3个免费ChatGPT国内AI软件,请及时收藏!

一、chagtp介绍&#xff08;可直接跳转文章第二部分&#xff09; OpenAI 的 ChatGPT最近太火了&#xff01;很多小伙伴应该都听说过&#xff0c;其不仅在自然语言处理领域取得了巨大的成就&#xff0c;并且被广泛用于各种应用领域&#xff1a; 精准的自然语言处理能力&#xff…

安装Visio后Office三件套打开后出错【亲测可用】

当安装好visio后&#xff0c;可能打开word, PPT, excel后出现格式错误甚至无法打开&#xff0c;或者卡退等离谱错误。此时&#xff0c;无需卸载重装&#xff0c;只需要使用电脑Office的自动修复功能即可&#xff0c;会自动帮助你重装三件套【加上visio是四件套了】 1. 打开设置…

工业级的电表对精度有哪些要求?

工业级电表在设计和技术上有着严格的精度要求&#xff0c;以此来保证生产过程的能耗监控和成本控制。接下来&#xff0c;就由小编来为大家介绍下工业级的电表对精度的要求&#xff0c;一起来看下吧&#xff01; 一、工业级电表精度等级的划分 工业级电表的精度等级主要分为以下…

保姆级教程来了,AI绘画提示词原理揭秘

为了让你快速上手从 0 到 1 的绘图流程&#xff0c;在这篇文章中&#xff0c;我们将重点讲解 Prompt 提示词。 1、解析提示词的概念 在深入讲解之前&#xff0c;我们首先来了解一些基本概念&#xff0c;以便更好地学习和理解。 提示词&#xff0c;也就是 Prompt&#xff0c;…

Redis ----使用Java代码操作redis(2)

⭐⭐ Redis专栏&#xff1a;Redis专栏 ⭐⭐ 个人主页&#xff1a;个人主页 目录 一.Java连接redis 二.Java操作redis常见数据类型存储 2.1 String类型的操作 2.2 hash 2.3 集合 list 三.redis的运用场景 一.Java连接redis 第一步&#xff1a;导入依赖…

【Redis】使用java代码操作Redis,以及在实际应用的场景

一&#xff0c;Java代码操作Redis 1.1在 Java 中使用 Redis 前&#xff0c; 我们需要确保已经安装了 redis 服务及 Java redis 驱动&#xff0c;且你的机器上能正常使用 Java 如下图&#xff1a;关于如何使用window安装Redis&#xff0c;我已在上一篇博客中详细介绍了&#x…

Quantile Loss

文章目录 Quantile Loss示例 定量qₐ是一个值&#xff0c;它将一组给定的数字进行划分&#xff0c;其中 α * 100%的数字小于该值&#xff0c;(1-α) * 100%的数字大于该值。 统计中经常使用 α 0.25、α 0.5 和 α 0.75 的四分位数 qₐ&#xff0c;称为四分位数。这些四分位…

使用Postman工具做接口测试 —— 环境变量与请求参数格式!

引言 在上一篇笔记我们主要介绍了接口测试的基础知识与基本功能&#xff0c;本章主要介绍如何使用postman做接口测试。 配置环境变量和全局变量 环境变量和全局变量 环境管理中还可以点击“Global”添加全局变量&#xff0c;环境变量只有当选择了该环境时才生效&#xff0c;…

Stable Diffusion WebUI扩展sd-webui-controlnet安装教程

话不多说,上链接: https://github.com/Mikubill/sd-webui-controlnethttps://github.com/Mikubill/sd-webui-controlnet同样,直接安装到extensions文件中。 什么conda还是python安装也不多说了,前面很多讲了如何安装,这里就不当赘婿了。 安装好后,我们最好手动安装模型…

为什么树莓派安装Ubuntu的时候无法通过有线(网线)连网

这个东西从软件角度有很多解释&#xff0c;但是我这里遇到的情况是&#xff1a; 因为一个标注2A但是实际电流虚标的充电头浪费了我2天的时间。 也即是说&#xff1a;如果你的树莓派无法通过网线联网&#xff0c;很有可能是因为供电不足。因为一个新的树莓派一般不会有故障&am…

纽扣电池上架TEMU美国站合规认证标准ANSI C18.3M认证

近日&#xff0c;Temu连发多条卖家弹窗内容均为商品质量事故违规处理通告。其中一条为卖家销售的车载吸尘器发生烧毁、冒烟等情况&#xff0c;产生用户人伤、财损等舆情。经查实是商家偷换关键部件锂电池&#xff0c;导致商品质量下降造成事故。TEMU对于问题车载吸尘器处理结果…

OpenShift - 利用容器的特权配置实现对OpenShift攻击

《OpenShift / RHEL / DevSecOps 汇总目录》 说明&#xff1a;本文已经在 OpenShift 4.13 的环境中验证 本文是《容器安全 - 利用容器的特权配置实现对Kubernetes攻击》的后续篇&#xff0c;来介绍 在 OpenShift 环境中的容器特权配置和攻击过程和 Kubernetes 环境的差异。 文…

Kaprekar 7641 - 1467= 6174

package homework;import java.util.Arrays;import util.StringUtil;/*** 数学黑洞数6174&#xff0c;即卡普雷卡尔&#xff08;Kaprekar&#xff09;常数&#xff0c; 它的算法如下&#xff1a; 取任意一个4位数&#xff08;4个数字均为同一个数的除外&#xff09;&#xff0…

C++类和对象(七)const成员 及其初始化列表

1.const成员 将const修饰的“成员函数”称之为const成员函数&#xff0c;const修饰类成员函数&#xff0c;实际修饰该成员函数隐含的this指针&#xff0c;表明在该成员函数中不能对类的任何成员进行修改。 成员函数定义的原则&#xff1a; 1.能定义成const的成员函数都应该定义…

Leetcode—100.相同的树【简单】明天写另一种解法!

2023每日刷题&#xff08;十八&#xff09; Leetcode—100.相同的树 递归实现代码 /*** Definition for a binary tree node.* struct TreeNode {* int val;* struct TreeNode *left;* struct TreeNode *right;* };*/ bool isSameTree(struct TreeNode* p, struc…

举个栗子!Alteryx 技巧(7):轻松使用公式

在使用 Alteryx 的日常中&#xff0c;你是否遇到这些问题&#xff1a;需要创建计算字段&#xff0c;但不确定要使用哪个公式&#xff1f;那么&#xff0c;如何快速且高效地理解公式的逻辑&#xff0c;有没有全部公式的汇总资料供用户学习呢&#xff1f;Sure&#xff01; 本期《…

Temp directory ‘C:\WINDOWS\TEMP‘ does not exist

问题描述 解决方法 管理员权限问题&#xff0c;进入temp文件夹更改访问权限即可。 点击 temp文件夹 属性 -> 安全 -> 高级 -> 更改主体Users权限 给读取和写入权限 参考博客 开发springboot项目时无法启动Temp directory ‘C: \WINDOWS\TEMP‘ does not exist