NAPT之NAT地址池

拓扑

 

 需求

    实现企业内网主机（PC1-PC4）访问公网网站服务器（Server1）

配置步骤

第一步：给PC1-PC4/Server1配置接口IP地址，掩码，网关 
第二步：R1配置默认路由
-边界路由器R1,配置接口IP地址
-边界路由器R1,配置默认路由

 第三步：配置NAPT之地址池NAT

    -配置NAT地址池--定义公网IP地址
-配置ACL-允许那些内网网段访问互联网
-在边界路由器R1的出接口配置NAPT之地址池NAT

第四步：配置ISP-dx路由器

    -配置ISP-dx路由器接口IP地址 

第五步：测试与验证

    -测试PC1-PC4是否可以访问Server1

配置命令
第一步：给PC1/PC2/Server1配置接口IP地址，掩码，网关
第二步：配置默认路由
R1配置：
[Huawei]sys R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 200.1.1.1 29    //掩码是29
[R1-GigabitEthernet0/0/1]quit
[R1]ip route-static 0.0.0.0 0.0.0.0  200.1.1.6   //配置默认路由

第三步：配置NAPT之地址池NAT
R1配置：
[R1]nat address-group 1 200.1.1.2 200.1.1.5   //创建nat地址池
[R1]acl 2000
[R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255   //定义acl
[R1-acl-basic-2000]quit
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound  2000 address-group 1 
//acl 2000 定义的内网地址段，192.168.1.0/24  绑定公网地址池 address-group 1
//表示的是利用address-group 1地址池里面的公网IP给
acl 2000定义的私有IP地址段：192.168.1.0/24 做nat转换

第四步：配置ISP-dx路由器
ISP-dx的配置：
[Huawei]sys ISP-dx
[ISP-dx]int g0/0/0
[ISP-dx-GigabitEthernet0/0/0]ip address 200.1.1.6 29
[ISP-dx-GigabitEthernet0/0/0]int g0/0/1
[ISP-dx-GigabitEthernet0/0/1]ip address 210.1.1.254 24

第五步：测试与验证
PC1  ping  server1  -t   通
PC2  ping  server1  -t   通

```

 总结

    NAPT：网络地址端口转换

    使用“IP地址＋端口号”的形式进行转换，使多个私有IP地址可共用一个公网IP地址访问外网

    允许多个私有地址同时转换为同一个公有地址，因此也称为“多对一地址转换”或地址复用

    NAPT的实现方式主要有EasyIP和地址池NAPT

    地址池NAT在目前企业中应用的最为广泛，是最主流的NAT解决方案

    地址池NAT适用于大型企业，主机数量多企业

NAPT之easy-ip

拓扑

需求

    实现企业内网主机（PC1-PC4）访问公网网站服务器（Server1）

  配置步骤

 第一步：给PC1/PC2/Server1配置接口IP地址，掩码，网关
第二步：R1配置默认路由
-边界路由器R1,配置接口IP地址（修改IP地址和掩码，目前掩码为30）
-边界路由器R1,配置默认路由 （修改默认路由的下一跳地址为200.1.1.2）

 第三步：配置动态NAT
-配置ACL-允许那些内网网段访问互联网
-在边界路由器R1的出接口配置easy-ip

第四步：配置ISP-dx路由器

    -配置ISP-dx路由器接口IP地址 

 第五步：测试与验证

    -测试PC1-PC4是否可以访问Server1

配置命令
第一步：给PC1/PC2/Server1配置接口IP地址，掩码，网关
第二步：配置默认路由
R1配置：
[Huawei]sys R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address 200.1.1.1 30   //掩码是30
[R1-GigabitEthernet0/0/1]quit
[R1]ip route-static 0.0.0.0 0.0.0.0  200.1.1.2  //配置默认路由

第三步：配置NAPT之easy-ip
R1配置：
[R1]acl 2000
[R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255   //定义acl
[R1-acl-basic-2000]quit
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound  2000 
//让acl 2000 定义的内网地址段，利用出接口IP地址来做nat 转换

第四步：配置ISP-dx路由器
ISP-dx的配置：
[Huawei]sys ISP-dx
[ISP-dx]int g0/0/0
[ISP-dx-GigabitEthernet0/0/0]ip address 200.1.1.2  30
[ISP-dx-GigabitEthernet0/0/0]int g0/0/1
[ISP-dx-GigabitEthernet0/0/1]ip address 210.1.1.254 24

第五步：测试与验证
PC1-4  ping  server1  -t  (可以抓包验证转换的地址为出接口IP地址)
 

 总结

    easy-ip：

    利用出口设备的出接口IP地址做NAT转换

    这是目前最节约公网IP的一种NAT解决方案

    easy-ip  适用于中小型企业，主机数量少的企业

    

 NAT-Server

 拓扑

  需求

    1）让企业内网主机访问公网网站服务器--已完成
2）让公网主机可以访问企业内网服务器（web/ftp）-实现内网服务器的对外映射

配置步骤

    配置步骤：

    第一步：给PC/Server配置接口IP地址，掩码，网关

    第二步：R1配置默认路由

    -边界路由器R1,配置接口IP地址和掩码

    -边界路由器R1,配置默认路由

    第三步：配置地址池nat

    -创建NAT地址池

    -配置ACL-允许那些内网网段访问互联网

    -在边界路由器R1的出接口配置地址池nat(做端口转换）

    第四步：配置nat-server

    -在企业内网中将server2的web服务启动，将server3的ftp服务启动

    -在边界路由器R1的出接口的配置nat-server(实现外网主机访问内网服务器）

    第五步：配置ISP-dx路由器

    -配置ISP-dx路由器接口IP地址 

    第六步：测试与验证

    -测试PC1/PC2是否可以访问Server1

   配置命令
第一步：给PC1/PC2/Server1配置接口IP地址，掩码，网关
第二步：配置默认路由
R1配置：
[Huawei]sys R1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip address  200.1.1.1 29   //掩码是29
[R1-GigabitEthernet0/0/1]quit
[R1]ip route-static 0.0.0.0 0.0.0.0  200.1.1.6   //配置默认路由

第三步：配置NAPT只地址池NAT
R1配置：
[R1]nat  address-group 1  200.1.1.2  200.1.1.4
[R1]acl 2000
[R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255   //定义acl
[R1-acl-basic-2000]quit
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound  2000  address-group 1   
 //利用address-group 1地址池里面的公网IP给：
 acl 2000定义的私有IP地址段：192.168.1.0/24 做nat转换
 
备注： 让外网主机ping 通200.1.1.5（做nat-server -icmp 绑定）
[R1-G0/0/1]nat server protocol icmp global 200.1.1.5 inside 192.168.1.10

第四步：配置NAT Server
R1配置：
[R1]int g0/0/1
[R1-G0/0/1]nat server protocol tcp global 200.1.1.5  80 inside 192.168.1.10 80
        //将私有IP：192.168.1.10的80端口映射给公有IP：200.1.1.5的80的端口
        //让外网主机能够通过200.1.1.5:80 访问到企业内网web服务器
        
[R1-G0/0/1]nat server protocol tcp global 200.1.1.5  21 inside 192.168.1.20 21
        //将私有IP：192.168.1.20的21端口映射给公有IP：200.1.1.5的21的端口
        //让外网主机能够通过200.1.1.5:21 访问到企业内网FTP服务器
        
[R1-G0/0/1]quit
[R1]nat alg  ftp  enable    //开启FTP协议的NAT ALG功能
    //如果ftp数据想通过nat来透传，需要nat中开启alg功能
======================================================================
备注：
NAT能够识别网络层IP头部和传输层TCP/UDP头部的IP地址信息和端口信息
但是对于一些特殊应用层协议，如FTP，NAT不能很好识别FTP报文数据部分包含的IP地址信息或端口信息，
所以在FTP报文数据部分包换的IP地址信息和端口信息，NAT无法有效转换
如果要解决这些特殊协议的NAT转换，就需要在NAT中开启应用层网关ALG
=======================================================================

第五步：配置ISP-dx路由器
ISP-dx的配置：
[Huawei]sys ISP-dx
[ISP-dx]int g0/0/0
[ISP-dx-GigabitEthernet0/0/0]ip address  200.1.1.6  29
[ISP-dx-GigabitEthernet0/0/0]int g0/0/1
[ISP-dx-GigabitEthernet0/0/1]ip address 210.1.1.254 24

第五步：测试与验证
内网：PC1-4  ping  server1  -t 
外网：Client1 通过http-client1 访问内网web服务器： http://200.1.1.5
外网：Client1 通过ftp-client1 访问内网ftp服务器 ：服务器地址：200.1.1.5
```

 总结

    NATServer 是一种特殊的静态NAT

    主要应用于外网用户访问企业内网服务器的场景