eNSP中对NAT的配置(网络地址转换)

news2024/11/26 11:30:07

        地址转换是把局域网的私有地址转换为公有地址,如果想要上外网,而公有地址是有限的,则需要将私有地址转换成公有地址,用端口号进行区分。

   

一.基本原理     

        NAT是改变IP报文中的源或目的地址的一种处理方式;让局域网用户访问外网资源,也可以设定内部的应用对外提供的服务;隐藏内部局域网的IP主机,起到安全保护的作用;NAT功能通常被集成到路由器,防火墙,ISDN路由器或者单独的NAT设备中。

1.IANA为私有网络预留的IP地址空间:

A类地址范围是10.0.0.0 --- 10.255.255.255;

B类地址范围是172.16.0.0 --- 172.31.255.255;

C类地址范围是192.168.0.0 --- 192.168.255.255。

2.NAT的优点

①节约合法的注册公网地址;

②在地址重叠时提供解决方案;

③提高连接到Internet的灵活性;

④在网络发生变化时避免重新编址。

3.NAT的缺点

①地址转换将增加交换延迟;

②导致无法进行端到端IP追踪;

③导致有些应用程序无法正常运行。

4.NAT的类型

NAT的主要类型包括:①静态NAT/NAPT;②Easy IP;③NAT服务器。

(1)静态NAT简介:

①内网中一个主机的私有IP地址与一个公网IP地址相绑定;

②实现一对一的转换关系;

③实际中很少应用,因为一个公网IP地址无法为内网中的多台主机同时提供外网连接。

(2)NAPT简介:

①把二元组“内部网络主机的IP+端口号”和“公网IP+端口号”执行一对一绑定;

②一个公网IP地址可以同时为多个私有IP地址提供外网连接。

(3)Easy IP简介:

①是NAPT的一种方式,直接借用路由器出接口IP地址作为公网地址;

②常用于拨号上网的网络环境中;

③拨号得到的公网地址自动成为转换的公网IP;

④所有内网主机都需要使用这个临时公网获取的IP地址来访问互联网。

(4)NAT服务器简介:

①用于对内网应用对外提供服务;

②静态配置公网“IP地址+端口号”和私有“IP地址+端口号”之间的转换;

③公网用户只知道通过公网IP地址访问服务,内网的IP隐藏起到保护作用。



二.静态NAT配置

1.建立如下拓扑图并初始化设备

2. 配置基础IP地址

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]ip add 10.1.0.1 24

[AR1]int g0/0/1

[AR1-GigabitEthernet0/0/1]ip add 12.1.1.1 29

[AR2]int g0/0/1

[AR2-GigabitEthernet0/0/1]ip add 12.1.1.2 29

3.在AR2上配置一个IP地址为8.8.8.8的环回接口,用以模拟Internet中的地址:

[AR2]int loopback0

[AR2-LoopBack0]ip add 8.8.8.8 24

4.配置PC端

5.配置路由

(1)若在AR1上配置静态路由:

[AR1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

但此时PC端与AR2并不能连通,因为信号去往AR2后,没有设置返回路由。

但由于在实际生活中,公网是不能到私有IP或者路由,所以不能通过配置静态路由的方法进行连接。

所以,此时应当使用静态NAT的配置。

(2)配置静态NAT

在网关路由器AR1的G0/0/1接口上配置一对一的NAT映射:

[AR1]interface GigabitEthernet 0/0/1

[AR1-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside 10.1.0.100

[AR1-GigabitEthernet0/0/1]nat static global 12.1.1.4 inside 10.1.0.101

PC1的IP地址会被转换的Global IP是12.1.1.3

PC2的IP地址会被转换的Global IP则是12.1.1.4

 若此时对AR1的g0/0/1进行抓包可得:

 注:AR2并不能知道PC端真正的路由,它只能ping通12.1.1.3和12.1.1.4,并且与AR1是直连。

二.NAPT的配置

        静态NAT的配置是一对一的地址映射,不会节省任何地址空间。因此,网络中通常采用的网络地址转换设计方案都是将多个私有IP地址转换为一个公有IP地址,并且利用传输层的端口号来区分不同的私有IP地址,这种称为NAPT(Network Address Port Translation)的技术。

1.建立如下拓扑图并初始化设备

 若是在NAT静态拓扑图的基础上进行配置,则只需删除静态NAT配置即可。

[AR1]interface GigabitEthernet 0/0/1

[AR1-GigabitEthernet0/0/1]undo nat static global 12.1.1.3 inside 10.1.0.100 netmask 255.255.255.255

[AR1-GigabitEthernet0/0/1]undo nat static global 12.1.1.4 inside 10.1.0.101 netmask 255.255.255.255

2.NAPT的配置

(1)使用ACL匹配内网(AR1)需要转换的私有IP地址:

[AR1]acl 2000

[AR1-acl-basic-2000]rule permit source 10.1.0.0 0.0.0.255

(2)配置可用的公有IP地址组

[AR1]nat address-group 1 12.1.1.3 12.1.1.6

(3)使用前面两个步骤中配置好的ACL(编号)和NAT地址组(编号),在执行转换的接口上指定私有地址到公有地址的NAT转换关系:

[AR1]interface GigabitEthernet 0/0/1

[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

3.查看配置结果

(1)查看NAT公有地址池:

[AR1]display nat address-group  

 目前公有地址池中包含的地址范围是12.1.1.3-----12.1.1.6

(2)查看NAT转换表项:

[AR1]display nat outbound 

(3)在AR1上g0/0/1抓包可知,都转换为相同公有地址:12.1.1.5。

(4)查看转发表项:

[AR1]display nat session all

 

三.Easy IP的配置

1.建立如下拓扑图并初始化设备

[AR1]int g0/0/1

[AR1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1

[AR1]undo nat address-group 1

2.easy IP的配置

[AR1]int g0/0/1

[AR1-GigabitEthernet0/0/1]nat outbound 2000     

  //acl 2000在NAPT的配置中配置过,所以这里可以直接拿来使用

3.查看配置结果

(1)PC端对8.8.8.8的ping

(2)查看NAT转换表项:

[AR1]display nat outbound 

(3)在AR1上g0/0/1抓包可知,都转换为相同公有地址:12.1.1.1。

四. NAT Server的配置

        在真实的网络中,与NAT相关的设计方案往往会是下图所示的一种融合NAT环境。其中,内网PC设备需要使用动态NAT去访问Internet,同时又有服务器需要为公网的设备提供服务。

1.建立拓扑图如下所示并初始化设备

 若是在Easy IP拓扑图的基础上进行配置,则只需按照如图所示进行增减配置即可。

2.在AR2上配置连接Client1的接口IP:

[AR2]int g0/0/0

[AR2-GigabitEthernet0/0/0]ip add 2.1.0.1 24

3.对server1进行配置

 并建立一个文件夹,使Server1能有根目录,选择点击“启动”。

4.对Client1进行配置

5.网络配置

因为在Easy IP的配置里,已经实现了内网PC上网的需求。

之前配置的程序如下: 

[AR1]acl 2000

[AR1-acl-basic-2000]rule permit source 10.1.0.0 0.0.0.255

[AR1-acl-basic-2000]quit

[AR1]interface GigabitEthernet 0/0/1

[AR1-GigabitEthernet0/0/1]nat outbound 2000

        以上程序在Easy IP中已经配置过了,所以在拓扑图修改的时候,我们只需要配置内网服务器的地址转换,即NAT Server。

[AR1]interface GigabitEthernet 0/0/1

[AR1-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.6 www inside 10.1.0.101 www

6.检查配置结果

(1)NAT Server的配置结果

[AR1]display nat server 

 路由器AR1只把公有IP地址12.1.1.6的TCP 80端口转换为内网服务器IP地址10.1.0.101的80端口。

(2)连通性测试:

 (3)在AR1上对G0/0/1端口抓包,PC1 ping 2.1.0.100 测试与公网的连通性

 (4)Client1进行配置结果测试

五.NAT Server的配置的升级版

在内网再添加一台FTP服务器,IP地址为10.1.0.102/24

1.修改拓扑图如图所示

2.Server2的配置

 同样,建立一个文件夹作为根目录

 3.配置内网的服务器的地址转换,即NAT Server

[AR1]interface GigabitEthernet 0/0/1

[AR1-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.6 ftp inside 10.1.0.102 ftp

4.存在的问题

      (1)  此时若用Client登录ftp,会处于无法登录的状态。

        NAT只会针对数据包头部的IP地址和端口号执行转换,而不会关注数据包载荷部分的内容。而ftp协议,也会在数据包的载荷中携带地址和端口信息。如果执行NAT转换的网关路由器不对载荷中的地址和端口信息进行任何处理的话,通信就会失败。

       (2) 用户无法正常访问FTP服务器,是因为网关路由器缺少ALG配置。

        ALG称为应用程序网关(Application Level Gateway),ALG地址转换改变了IP地址数据包头的IP地址信息,如果数据报文的载荷中含有地址信息,地址转换就要特殊处理,除了改变IP包头的地址信息,还得改变数据报文中载荷中的地址信息。

 5.开启ALG

[AR1]nat alg ftp enable        //启用ALG功能

6.检测配置结果

(1) 查看ALG的状态

[AR1]display nat alg       

 (2)Client1获取 ftp

(3) 在AR1上对G0/0/1端口抓包

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/665816.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

清微智能TX5368A与飞桨完成Ⅱ级兼容性测试,助力全行业智能化升级

近日,清微智能的高性能视觉芯片TX5368A与飞桨完成Ⅱ级兼容性测试(基于Paddle2ONNX工具)。测试结果显示,双方兼容性表现良好,整体运行稳定。这是清微智能加入“硬件生态共创计划”后取得的又一阶段性成果。 产品兼容性证…

差分信号隔离放大变送模块光电转换器0-10mV/0-20mV/0-±10mV/0-±20mV转0-5V/0-10V/4-20mA

概述: DIN11 IPO 压力应变桥信号处理系列隔离放大器是一种将差分输入信号隔离放大、转换成按比例输出的直流信号导轨安装变送模块。产品广泛应用在电力、远程监控、仪器仪表、医疗设备、工业自控等行业。此系列模块内部嵌入了一个高效微功率的电源,向输…

软考高级系统架构设计师(三) 基础知识之操作系统1进程

目录 概要 操作系统 概述 ​编辑 进程管理 进程的状态 进程管理-PV操作 利用PV操作实现进程的同步 进程管理-前趋图 进程管理-死锁 概要 操作系统 概述 操作系统的功能: 进程管理、存储管理、文件管理、作业管理、设备管理 操作系统的特征 并发性共享性虚拟性不…

竞逐对话式AI,百度、字节各有千秋

随着OpenAI陆续发布的ChatGPT引发了AI界热议,新一代的AI热度便开始持续走高。与此同时,以ChatGPT模型为代表的大型预训练模型的出现,也使得对话式AI的生成能力和智能水平得到了飞跃式的提升,得益于此,对话式AI的发展又…

FPGA_学习_10_IP核_PLL

1 PLL IP核配置步骤 (Vivado 赛灵思) 我看的教程里面,那个兄弟是选的下面这个。 看来还是比较注重开发效率。 下面按照截图路径打开这个veo文件,学习如何在FPGA程序中例化IP核(有点像C你创建了一个类,然后你实例化一个&#xff…

MES生产管理系统简介与实践经验分享,一篇就够了

MES系统是制造业企业数字化转型的重要组成部分,也是实现智能制造的基础。本文将从MES系统的定义、功能和应用实践等方面进行介绍和分享。 一、MES系统简介 MES系统(Manufacturing Execution System)又称生产执行系统,是在企业信…

JS自定义打印网页内容(详细全面)

浏览器自身打印 (不在赘述,重点是讲述打印自定义的几种方法与常见的问题) 使用 window.print() 调起浏览器自带的打印预览弹框打印默认会打印 body 里面所有内容const handlePrintPdf = () => {window.print(); }方式一:通过 iframe 打印部分区域 动态创建一个不可见的 i…

【Android -- JNI 和 NDK】认识 NDK

简介 定义:Native Development Kit ,是 Android 的一个工具开发包。 NDK 是属于 Android 的,与 Java 并无直接关系 作用:快速开发 C、 C 的动态库,并自动将 so 和应用一起打包成 APK 即可通过 NDK 在 Android 中 使用…

拼多多买家订单API

目录 订单查询支持两种方式 请求数据格式(指定账号) 请求头示例 数据格式说明 返回数据格式(指定账号) 返回头示例 数据格式说明 不同页面层级各自有什么订单数据 请求数据格式(指定订单编号) 请…

电脑桌面图标打不开?尝试这3个解决方法!

Dam在使用电脑时,无论怎么点击桌面图标都无法打开,他感到很苦恼。遇到电脑桌面图标打不开的情况应该怎么办呢? 电脑桌面上的图标是我们经常使用的快捷方式,但有时候它们可能会出现无法打开的问题。这可能是由于各种原因引起的&…

数字孪生世界建设核心能力:地理信息数据应用能力

地理信息数据是数字孪生的核心基础之一,它能够把真实世界的空间结构和关系映射到数字世界,包含了静态的地理元素和动态的时空变量,如道路、建筑、水系、交通流量、人口密度、环境质量等,它能够反映真实世界的时空特点和动态变化&a…

建设现代化智慧档案八防设备系统解决方案

档案馆库房八防温湿度空气质量一体化解决方案 档案库房是档案事业发展的基石,其主要任务是集中保管国家机构及个人等在各种形式下形成的具有一定价值和保存价值的各种载体档案,主要包括文书档案、科技档案、会计档案、人事档案、实物档案等。随着我国经济…

sqlmap拿shell

sqlmap5种思路拿shell总结 ①利用dump 管理员类的账户后进入进行站点后拿shell 或者拿到账户后远程连接进行连接进行udf类提取类拿shell #连接方法 sqlmap -d “mysql://admin:password192.168.1.1:3306/security” admin是账号,psw是密码,后面是地址和端口&#x…

springboot基于微信小程序的安全教育平台面向大学生-计算机毕设 附源码85871

springboot基于微信小程序的安全教育平台面向大学生 目 录 摘要 1 绪论 1.1 研究背景 1.2 研究现状 1.3论文结构与章节安排 2 基于微信小程序的安全教育平台面向大学生系统分析 2.1 可行性分析 2.2 系统流程分析 2.2.1 数据增加流程 2.2.2 数据修改流程 2.2.3 数据删…

Eureka 平滑迁移 Nacos 方案

博主介绍:✌全网粉丝4W,全栈开发工程师,从事多年软件开发,在大厂呆过。持有软件中级、六级等证书。可提供微服务项目搭建与毕业项目实战、定制、远程,博主也曾写过优秀论文,查重率极低,在这方面…

Python基础语法1(语法和规则)

Python是一门脚本语言,相比与C/C,Java的优势就是不用事先进行编译,可以直接读取脚本文件,一边解释一边执行 大家好,我是纪宁 本文将介绍pytho的基础语法第一部分,关于一些python写代码的基本规则 博主也正…

14-2利用遗传算法求解BP神经网络初始化权值和阈值的最优问题(附matlab程序)

1.简述 核心问题: BP网络是前向网络的核心部分,是神经网络中的最精华、最完美的部分,由于其简单的结构,可调整的参数多,训练算法也多,而且可操作性好,BP神经网络获得了非常广泛的应用&#xff0…

易基因:ChIP-seq等揭示METTL14调控哺乳动物二价结构域的表观遗传机制|科研进展

大家好,这里是专注表观组学十余年,领跑多组学科研服务的易基因。 组蛋白及其翻译后修饰在调控基因表达和其他染色质模板化过程中起着重要作用。组蛋白H3赖氨酸4三甲基化(H3K4me3)和组蛋白H3K27me3分别在小鼠植入前胚胎的基因激活…

C盘中哪些文件可以删除?这些文件放心删!

我的c盘动不动就显示爆满,想删一些c盘的文件吧,又害怕误操作删了电脑的系统文件。有没有电脑高手能总结一下c盘里哪些文件可以删除呀! C盘作为我们默认的存储盘,会自动保存很多文件,久而久之我们可能会发现&#xff0c…

【保姆级教程】Vue项目调试技巧

前言 在Vue项目开发过程中,当遇到应用逻辑出现错误,但又无法准确定位的时候,知晓Vue项目调试技巧至关重要,debug是必备技能。 同后台项目开发一样,可以在JS实现的应用逻辑中设置断点,并进行单步、进入方法…