实验8 NAT配置

实验8 NAT配置

      • 一、 原理描述
      • 二、 实验目的
      • 三、 实验内容
        • 1.实验场景
        • 2.实验要求
      • 四、 实验配置
      • 五、 实验步骤
        • 2.静态NAT配置
        • 3.NAT Outbound配置
        • 4.NAT Easy-IP配置

一、 原理描述

2019年11月26日,全球43亿个IPv4地址正式耗尽,这意味着没有更多的IPv4地址可以分配给 ISP 和其他大型网络基础设施提供商。IPv6 技术虽然可以从根本上解决地址短缺的问题,但是无法即刻替代成熟的IPv4 网络。人们很早就发现了IPv4设计的不足,为解决地址不足问题,1994年提出了NAT (Network Address Translation,网络地址转换)技术,它不仅能解决卫地址不足的问题,还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT 通常部署在一个组织的网络出口位置,通过将内部网络的私有IP地址替换为出口的公共I地址,来提供公网可达性和上层协议的连接能力。图8-1所示为NAT示意图。
在这里插入图片描述

NAT 的实现方式有3种:静态NAT、动态NAT以及网络地址端口转换NAPT。
(1)静态NAT。实现了私有地址和公有地址的一对一转换,一个公网地址对应一个私网地址。
(2)动态NAT。基于地址池来实现私有地址和公有地址的转换,转换是随机的,私有I地址与公有IP地址是多对一的。
(3)网络地址端口转换NAPT。NAT 实现的是私有IP地址和NAT公共地址之间的转换,因此内网中能够同时与公共网进行通信的主机数量就受到NAT的公共I地址数量的限制。为了克服这种限制,NAT 被进一步扩展到使用卫地址和端口(Port)共同参与IP 地址转换,这就是NAPT(Network Address Port Translation)技术。

二、 实验目的

1.理解NAT的应用场景。
2.掌握静态NAT的配置。
3.掌握动态NAT的配置。
4.掌握NAT Easy-IP的配置。

三、 实验内容

1.实验场景

某学院建立了内部的局域网,使用私网IP 地址。R1为学院的出口网关路由器,学院某教研室通过交换机连接在R1上,R2 模拟为外网设备与R1相连。为了实现该教研室能够访问外网,同时服务器可以供外网用户访问,网络管理员需在路由器R1上配置NAT。

2.实验要求

根据实例说明,建立一个网络拓扑,分别使用静态NAT、动态NAT 和网络地址端口转换NAPT的配置,使部分教职员工可以访问外网。

四、 实验配置

1.实验拓扑
S3700交换机1台,AR1220路由器2台,PC3台,NAT配置拓扑结构如图8-2所示。
在这里插入图片描述

2.设备编址
设备编址如表8-1所示。
在这里插入图片描述

五、 实验步骤

1.基本配置
根据编址对主机PC1和PC2进行基本I地址配置,同时更改R1、R2名称并配置相应接口地址。其中,R2作为模拟外网,在这里要设置一个环回路由接口LoopBack0,它是应用较为广泛的一种虚接口,在路由器上配置LoopBack0地址,起到本地回环接口作用。
所有配置完成后注意及时使用save命令保存。
R1的配置

[Huawei] sysname R1
[R1]interface GigabitEthernet 0/0/0
[Rl-GigabitEthernet0/0/0]ip address 172.10.0.254 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 26.28.10.1 24
<Rl>save

R2的配置

[Huawei] sysname R2
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip address 26.28.10.2 24
[R2]interface LoopBack 0
[R2-LoopBackO] ip address 26.28.20.1 24
<R2>save

配置完成后,对直连链路进行连通性测试。以R1和PC2的连通为例。
在这里插入图片描述

2.静态NAT配置

在网关路由器R1上配置学院访问外网的默认路由,地址要指向R2与R1相连的接口。

[R1]ip route-static 0.0.0.0 0.0.0.0 26.28.10.2

学院内部使用的都是私有地址,相互之间可以连通,但是无法直接访问外网。此时需要在网关路由器R1上进行配置,使用NAT地址转换,从而将私网地址转换为公网地址。
PC1是该学院网络管理员,由于其工作特殊性,需要外网也可以访问到它,因此需要为其分配一个公网地址26.28.10.3给PC1用作静态NAT地址转换。进入R1对外的接口,本例中是GE0/0/1,对其使用nat static 命令来进行配置静态NAT地址转换:

[R1]interface GigabitEthernet 0/0/1
[Rl-GigabitEthernet0/0/1]nat static global 26.28.10.3 inside 172.10.0.1

其中,global 表示公网未被分配的地址,inside 表示内网需要进行地址转换的私有IP地址,save后配置生效。
配置完成后,在R1上查看NAT静态配置信息:
在这里插入图片描述

使用ping命令测试与外网(这里为环回路由接口地址LoopBack0)的连通性。
在这里插入图片描述

此时可以看到,PC1通过静态NAT 地址转换,可以成功访问外网。我们可以通过抓包来进行查看,首先在PC1上持续发包,然后在路由器R1的对外接口处进行抓包,如图8-3所示。

PC>ping 26.28.10.2 -t

在这里插入图片描述
图8-3路由器R1的抓包结果

从图中可以看到,R1已经成功地将 PC1的ICMP 报文源地址转换为公网地址26.28.10.3。
同样,再测试一下外网是否可以访问PC1,这里将R2的环回路由口LoopBack0模拟为外网用户来访问PC1对外的接口地址26.28.10.3。在PC1的Ethernet 0/0/1接口上进行抓包分析,如图8-4所示,同时,在R2上执行以下命令。

<R2>ping -a 26.28.20.1 26.28.10.3

在这里插入图片描述
在这里插入图片描述
图8-4 PC1的抓包结果

可以看到,外网用户也可以主动访问内网用户,且数据在经过R1进入内网时,R1将目的IP地址转换为与公网地址26.28.10.3对应的内网地址172.10.0.1,并将数据转交。

3.NAT Outbound配置

学院的教职员工都有访问外网进行办公的需求,现进行动态NAT的配置。
某教研室使用的私网地址为172.10.0.0/24网段,管理员使用公网地址池26.28.10.10-26.28.10.20为该教研室教职员工进行NAT转换。
首先在R1上使用nat address-group命令配置NAT公网地址池,起始地址和结束地址分别为26.28.10.10、26.28.10.20。

[R1]nat address-group 1 26.28.10.10 26.28.10.20

访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。当ACL应用在设备接口入方向时,若接口收到数据包,则先根据应用在接口上的ACL条件进行匹配,如果允许就根据路由表进行转发,如果拒绝直接丢弃。ACL应用在设备接口出方向时,报文先经过路由表路由后转至出接口,根据接口上应用的出方向ACL条件进行匹配,是允许permit 还是拒绝deny,如果是允许,就根据路由表转发数据,如果是拒绝,就直接将数据包丢弃了。命名ACL用字母数字字符串(名称)标识IP 标准ACL 和扩展ACL,其中,标准编号IPv4列表(1-1999,1300-1999)只可以根据源地址设置IP报文过滤条件;扩展编号IPv4列表(100-199,2000-2699)可以根据源目地址、TCP/IP 协议号和TCP/UDP源目的端口条件设置IP报文过滤条件。
rule-id:指定IPv4高级 ACL规则的编号,取值范围为0~65534。若未指定本参数,则系统将按照步长从0开始,自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。
在这里创建基本的ACL2000,匹配172.10.0.0/24地址段。

[Rl]acl 2000
[Rl-acl-basic-2000]rule 5 permit source 172.10.0.0 0.0.0.255

在这里插入图片描述

在里,ACL的子网掩码用反向子网掩码。
在R1对外网接口GE0/0/1上使用nat outbound命令,将ACL2000与地址池相关联,使得ACL中规定的地址可以使用地址池进行地址转换。

[R1]interface GigabitEthernet 0/0/1
[Rl-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat

outbound 表示在接口出方向上使用动态NAT,no-pat表示不做PAT端口复用。
配置完成后,使用命令display nat outbound在R1上查看NATOutbound信息。
使用PC2测试与外网的连通性,并在R1的GE 0/0/1接口上进行抓包,查看地址转换情况,如图8-5所示。
在这里插入图片描述
在这里插入图片描述
图8-5 R1的抓包结果

可以看到,PC2可以成功访间外网,而且来自该主机的ICMP 数据包在R1的GE0/0/1接口上,源地址被替换为外网地址池中的地址。

4.NAT Easy-IP配置

根据当前新冠肺炎疫情管控需要,学生上网课成为主要授课方式,上外网需求急剧上升。目前路由器 R1的公网地址数不足,为了方便学生使用外网,网络管理员使用多对一的Easy-IP转换方式来实现学生上外网的需求。
Easy-IP 是NAPT的一种方式,直接借用路由器出接口I地址作为公网地址,使多个内网地址可以映射到同一个公网地址的不同端口号上,从而实现多对一的地址转换。此时,需要网络管理员将路由器对外接口设置为Easy-IP接口。
我们仍在原有的拓扑结构上来完成。要设置新的接口类型,需要将原有配置删除。使用undo nat outbound命令删除上一步的配置。使用nat outbound命令,配置动态NAT在出接口上使用PAT端口复用,且直接使用接口IP地址作为NAT转换后的地址。

[Rl]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 no-pat
[Rl-GigabitEthernet0/0/1]nat outbound 2000
配置完成后,在PC2上使用UDP发包工具发送UDP数据包到公网地址26.28.20.1。
双击 PC2,选择“UDP发包工具”选项卡,将目的IP地址和端口号、源IP地址和端口号填写完整,并在数据框中填写测试数据,单击“发送”按钮。同样,为PC3也进行配置,如图8-6和图8-7所示。

在这里插入图片描述
图8-6 PC2配置界面

在这里插入图片描述
图8-7 PC3配置界面

display nat session 命令用来查看NAT映射表项。在数据发送后,在R1上使用display nat session protocol udp verbose 命令查看NAT Session的详细信息。
在这里插入图片描述

从结果可以看到,PC2和PC3均使用了同一个R1公网地址与外网连通,但是使用的端口号不同。这种方式不需要建立地址池,大大节省了地址空间。

注:此为记录笔记,如有不足,还望海涵,可留言斧正

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/316930.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【圆桌论坛】个人作为嘉宾参与问答环节的总结,Create 2024百度AI开发者大会之AI智能体开发与应用论坛

目录 ⭐前言⭐讨论话题✨本质和价值✨端侧部署✨应用商业模式✨商业模式 ⭐主题总结⭐有趣分享 ⭐前言 首先&#xff0c;非常荣幸和开心作为开发者和创业者代表参加百度Create AI大会分论坛圆桌论坛的问答环节。 在分论坛活动开始前&#xff0c;参加了文心智能体平台&#xff…

交叉调制少样本图像生成用于结直肠组织分类

文章目录 Cross-Modulated Few-Shot Image Generation for Colorectal Tissue Classification摘要方法实验结果 Cross-Modulated Few-Shot Image Generation for Colorectal Tissue Classification 摘要 提出问题&#xff1a; 针对罕见癌症组织的组织病理训练数据稀缺问题&…

Springboot+Vue项目-基于Java+MySQL的教学资料管理系统(附源码+演示视频+LW)

大家好&#xff01;我是程序猿老A&#xff0c;感谢您阅读本文&#xff0c;欢迎一键三连哦。 &#x1f49e;当前专栏&#xff1a;Java毕业设计 精彩专栏推荐&#x1f447;&#x1f3fb;&#x1f447;&#x1f3fb;&#x1f447;&#x1f3fb; &#x1f380; Python毕业设计 &…

FSD自动驾驶泛谈

特斯拉的FSD&#xff08;Full-Self Driving&#xff0c;全自动驾驶&#xff09;系统是特斯拉公司研发的一套完全自动驾驶系统。旨在最终实现车辆在多种驾驶环境下无需人类干预的自动驾驶能力。以下是对FSD系统的详细探讨&#xff1a; 系统概述 FSD是特斯拉的自动驾驶技术&…

MCGS:脚本程序

MCGS仿真控制要求 控制要求如下 用PLC控制灯字闪灭 1、广告字1亮&#xff0c;1秒后熄灭&#xff1b; 2、广告字2亮&#xff0c;1秒后熄灭&#xff1b; 3、广告字3亮&#xff0c;1秒后熄灭&#xff1b; 4、广告字4亮&#xff0c;1秒后熄灭&#xff1b; 5、广告字5亮&#xff0c;…

C语言【动态内存】

1.为什么要有动态内存 我们现在掌握的内存开辟方法有&#xff1a; int val 20;//在栈空间开辟4个字节 char str[10]{0};//在栈空间开辟10个字节的连续的空间但是上述的方式有两个点要注意&#xff1a; 1.空间开辟的大小是固定的 2.数组在申明的时候&#xff0c;一定要指定数…

shell脚本,删除30天以前的日志,并将日志推送到nas,但运行出现/bin/bash^M。

删除30天以前的日志 将日志推送到nas中&#xff0c;然后删除pod中的日志 pod挂载到本地 运行出现/bin/bash^M 1、删除30天以前的日志&#xff1a; #! /bin/bash# 定义源日志目录 LOG_DIR/home/log/ # 删除日志 find $LOG_DIR -type f -name "*.log" -mtime 30 -exec…

线上线下收银一体化,新零售POS系统引领连锁门店数字化转型-亿发

在市场竞争日益激烈的背景下&#xff0c;没有哪个商家能够永远屹立不倒。随着互联网技术的快速发展&#xff0c;传统的线下门店面临着来自电商和新零售的新型挑战。实体零售和传统电商都需要进行变革&#xff0c;都需要实现线上线下的融合。 传统零售在客户消费之后就与商家失…

从MySQL+MyCAT架构升级为分布式数据库,百丽应用OceanBase 4.2的感受分享

本文来自OceanBase的客户&#xff0c;百丽时尚的使用和测试分享 业务背景 百丽时尚集团&#xff0c;作为国内大型时尚鞋服集团&#xff0c;在中国超过300个城市设有直营门店&#xff0c;数量超过9,000家。集团构建了以消费者需求为核心的垂直一体化业务模式&#xff0c;涵盖了…

FORM调用标准AP\AR\GL\FA界面

EBS FORM客户化界面有时候数据需要追溯打开AP\AR\GL\FA等界面&#xff1a; 一种打开日记账的方式&#xff1a; PROCEDURE SHOW_JOURNAL ISparent_form_id FormModule;child_form_id FormModule; BEGINclose_jrn;parent_form_id : FIND_FORM(:SYSTEM.CURRENT_FORM);COPY(TO…

安卓数据库SQLite

目录 一、SQLite数据库二、SQLiteOpenHelper和SQLiteDatabase2.1 SQLiteOpenHelper2.2 SQLiteDatabase 三、常见数据库使用介绍3.1 创建数据库3.2 插入数据3.3 修改数据&#xff08;升级数据库&#xff09;3.4 删除数据3.5 查询数据3.6 关闭数据库3.7 删除数据库 一、SQLite数据…

Apache中如何配置 ws 接口

Apache中如何配置 wss 接口 在Apache中配置WebSockets的支持&#xff0c;你需要使用mod_proxy_wstunnel模块&#xff0c;该模块是Apache的一个代理模块&#xff0c;它允许你代理WebSocket请求。 以下是配置步骤的简要说明和示例&#xff1a; 确保你的Apache服务器安装了mod_…

【linux-1-Ubuntu常用命令-vim编辑器-Vscode链接ubuntu远程开发】

目录 1. 安装虚拟机Vmare和在虚拟机上安装Ubuntu系统&#xff1a;2. 常用的Ubuntu常识和常用命令2.1 文件系统结构2.2 常用命令2.3 vim编辑器 3. Ubuntu能联网但是ping不通电脑&#xff1a;4. Windows上安装VScode链接ubuntu系统&#xff0c;进行远程开发&#xff1a; 1. 安装虚…

变电站综合自动化系统:Modbus-PLC-645转IEC104网关方案

前言 电力行业作为关系国计民生的重要基础产业&#xff0c;是关系千家万户的公用事业。但是要做好电力行业安全保障工作的前提&#xff0c;是需要对应的技术人员详细了解电力工业使用的系统、设备以及各类协议的安全特性&#xff0c;本文将主要介绍IEC 104协议的定义和钡铼技术…

【百度Apollo】探索自动驾驶:Apollo 新版本 Beta 全新的Dreamview+,便捷灵活更丰富

&#x1f3ac; 鸽芷咕&#xff1a;个人主页 &#x1f525; 个人专栏: 《linux深造日志》《粉丝福利》 ⛺️生活的理想&#xff0c;就是为了理想的生活! 文章目录 引入一、Dreamview介绍二、Dreamview 新特性2.1、基于模式的多场景——流程更简洁地图视角调节&#xff1a;调试流…

使用 scikit-learn 进行机器学习的基本原理-2

介绍 scikit-learn 估计器对象 每个算法都通过“Estimator”对象在 scikit-learn 中公开。 例如&#xff0c;线性回归是&#xff1a;sklearn.linear_model.LinearRegression 估计器参数&#xff1a;估计器的所有参数都可以在实例化时设置&#xff1a; 拟合数据 让我们用 nump…

智能体可靠性的革命性提升,揭秘知识工程领域的参考架构新篇章

引言&#xff1a;知识工程的演变与重要性 知识工程&#xff08;Knowledge Engineering&#xff0c;KE&#xff09;是一个涉及激发、捕获、概念化和形式化知识以用于信息系统的过程。自计算机科学和人工智能&#xff08;AI&#xff09;历史以来&#xff0c;知识工程的工作流程因…

【酱浦菌-爬虫技术细节】解决学术堂爬虫翻页(下一页)问题

首先我们通过css选择器获取页码信息&#xff0c;这里的css选择器&#xff0c;选择的是含有a标签的所有li标签&#xff0c;代码如下&#xff1a; li html_web.css(div.pd_c_xslb_left_fenye ul li>a) for li in li:li_url li.css(a::attr(href)).get()li_num li.css(a::t…

vue2迁移到vue3,v-model的调整

项目从vue2迁移到vue3&#xff0c;v-model不能再使用了&#xff0c;需要如何调整&#xff1f; 下面只提示变化最小的迁移&#xff0c;不赘述vue2和vue3中的常规写法。 vue2迁移到vue3&#xff0c;往往不想去调整之前的代码&#xff0c;以下就使用改动较小的方案进行调整。 I…

口袋实验室--使用AD2学习频谱参数测试

目录 1. 简介 2. 频谱相关参数 2.1 频谱相关基本概念 2.1.1 采样时间间隔 2.1.2 采样频率 2.1.3 采样点数 2.1.4 采样时间长度 2.1.5 谱线数 2.1.6 奈奎斯特频率 2.1.7 频谱分辨率 2.1.8 最高分析频率 2.1.9 频谱泄露 2.2 窗函数 2.2.1 AD2的窗函数 2.2.2 测试矩…