华为ENSP——NAT实验

一、静态NAT

拓扑

需求

实现企业内网主机（PC1/PC2）访问公网网站服务器（Server1）

配置步骤

第一步：给PC1/PC2/Server1配置接口IP地址，掩码，网关

PC1上：

Server1上：

第二步：R1配置静态nat

-边界路由器R1,配置接口IP地址

-边界路由器R1,配置默认路由

-在边界路由器R1的出接口上配置静态NAT

[Huawei]sys R1

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24

[R1-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]ip address 200.1.1.1 29//掩码是29

[R1-GigabitEthernet0/0/1]quit

[R1]ip route-static 0.0.0.0 0.0.0.0  200.1.1.6   //配置默认路由，下一跳为公网网关

[R1]int g0/0/1    //进入出接口

[R1-GigabitEthernet0/0/1]nat static global 200.1.1.2 inside 192.168.1.1  //做出口设备的出接口上配置静态NAT，让公网IP 200.1.1.2 和内网IP 192.168.1.1做1对绑定

备注：静态NAT是配置的出口设备的出接口上

第三步：配置ISP-dx 路由器

-配置路由器接口IP地址

[Huawei]sys ISP-dx

[ISP-dx]int g0/0/0

[ISP-dx-GigabitEthernet0/0/0]ip address 200.1.1.6 29

[ISP-dx-GigabitEthernet0/0/0]int g0/0/1

[ISP-dx-GigabitEthernet0/0/1]ip address 210.1.1.254 24

第四步：测试与验证

-测试PC1/PC2是否可以访问Server1

R1 0/0/0口上

R1 0/0/1口上

实验总结：

静态NAT

私有IP地址和公有IP地址是1对1转换；一个私有IP地址，绑定一个公有IP地址；静态1对1 并没有从根本上节约IPv4地址

二、动态NAT

拓扑

需求

实现企业内网主机（PC1/PC2）访问公网网站服务器（Server1）

配置步骤

第一步：给PC1/PC2/Server1配置接口IP地址，掩码，网关

PC上：

PC2上：

Server1上：

第二步：R1配置动态nat

-边界路由器R1,配置接口IP地址

-边界路由器R1,配置默认路由

[Huawei]sys R1

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24

[R1-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]ip address 200.1.1.1 29//掩码是29

[R1-GigabitEthernet0/0/1]quit

[R1]ip route-static 0.0.0.0 0.0.0.0  200.1.1.6//配置默认路由

第三步：配置动态NAT

-配置NAT地址池--定义公网IP地址

-配置ACL-允许那些内网网段访问互联网

-在边界路由器R1的出接口配置动态NAT（不做端口转换-no-pat）

[R1]nat address-group 1 200.1.1.2 200.1.1.5

[R1]acl 2000

[R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255

[R1-acl-basic-2000]quit

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]nat outbound  2000 address-group 1 no-pat

// 让acl 2000 定义的内网地址段，192.168.1.0/24  绑定公网地址池 address-group 1 //不做端口转换（no-pat）

第四步：配置ISP-dx路由器

-配置ISP-dx路由器接口IP地址

ISP-dx的配置：

[Huawei]sys ISP-dx

[ISP-dx]int g0/0/0

[ISP-dx-GigabitEthernet0/0/0]ip address 200.1.1.6 29

[ISP-dx-GigabitEthernet0/0/0]int g0/0/1

[ISP-dx-GigabitEthernet0/0/1]ip address 210.1.1.254 24

第五步：测试与验证

-测试PC1/PC2是否可以访问Server1

对R1的0/0/0和0/0/1接口分别抓包结果如下：

-在边界路由器R1的出接口配置动态NAT（做端口转换）

[R1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 no-pat

[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 ///做端口转换

测试：

对R1的0/0/0和0/0/1接口分别抓包结果如下：

动态NAT总结

动态NAT,基于“NAT地址池”实现“私有IP地址”和“公有IP地址”之间的转换。一个公有IP地址在不同的时间可以为多个私有IP地址进行转换。但是在同一时间一个公有IP地址只能为一个私有IP地址进行转换。所以，动态NAT也没有从根本上解决公网IP节约的问题.如果公司的内网设备有同时上网的需求,那么NAT地址池里公有IP地址的数量就要等于或者大于公司私有IP地址的数量，所以动态NAT也没有从根本上解决节省公有IP地址的目的

三、NAPT之NAT地址池

拓扑

需求

实现企业内网主机（PC1-PC4）访问公网网站服务器（Server1）

配置步骤

第一步：给PC1-PC4/Server1配置接口IP地址，掩码，网关

PC1：

Server1：

第二步：R1配置默认路由

-边界路由器R1,配置接口IP地址

-边界路由器R1,配置默认路由

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24

[R1-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 200.1.1.1 29

[R1-GigabitEthernet0/0/1]q

[R1]ip route-static 210.1.1.0 24 200.1.1.6

第三步：配置NAPT之地址池NAT

-配置NAT地址池--定义公网IP地址

-配置ACL-允许那些内网网段访问互联网

-在边界路由器R1的出接口配置NAPT之地址池NAT

[R1]nat address-group 1 200.1.1.2 200.1.1.5

[R1]acl 2000

[R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255

[R1-acl-basic-2000]q

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

第四步：配置ISP-dx路由器

-配置ISP-dx路由器接口IP地址

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]ip add 200.1.1.6 29

[R2-GigabitEthernet0/0/0]int g0/0/1

[R2-GigabitEthernet0/0/1]ip add 210.1.1.254 24

第五步：测试与验证

-测试PC1-PC4是否可以访问Server1

PC1：

PC4：

NAPT之NAT地址池总结(NAPT：网络地址端口转换)

使用“IP地址＋端口号”的形式进行转换，使多个私有IP地址可共用一个公网IP地址访问外网。允许多个私有地址同时转换为同一个公有地址，因此也称为“多对一地址转换”或地址复用。NAPT的实现方式主要有EasyIP和地址池NAPT。

地址池NAT在目前企业中应用的最为广泛，是最主流的NAT解决方案

地址池NAT适用于大型企业，主机数量多企业   

四、NAPT之easy-ip

拓扑

需求

实现企业内网主机（PC1-PC4）访问公网网站服务器（Server1）

配置步骤

第一步：给PC1/PC2/Server1配置接口IP地址，掩码，网关

Server1：

第二步：R1配置默认路由

-边界路由器R1,配置接口IP地址（修改IP地址和掩码，目前掩码为30）

-边界路由器R1,配置默认路由 （修改默认路由的下一跳地址为200.1.1.2）

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24

[R1-GigabitEthernet0/0/0]int g0/0/1

[R1-GigabitEthernet0/0/1]ip add 200.1.1.1 29

[R1-GigabitEthernet0/0/1]q

[R1]ip route-static 210.1.1.0 24 200.1.1.6

第三步：配置动态NAT

-配置ACL-允许那些内网网段访问互联网

-在边界路由器R1的出接口配置easy-ip

[R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255

[R1-acl-basic-2000]q

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2000

第四步：配置ISP-dx路由器

-配置ISP-dx路由器接口IP地址

[Huawei]sysn R2

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]ip add 200.1.1.6 29

[R2-GigabitEthernet0/0/0]int g0/0/1

[R2-GigabitEthernet0/0/1]ip add 210.1.1.254 24

第五步：测试与验证

-测试PC1-PC4是否可以访问Server1

PC1访问Server1：

抓包查看R1上的0/0/0和0/0/1接口：

easy-ip总结

利用出口设备的出接口IP地址做NAT转换，这是目前最节约公网IP的一种NAT解决方案。easy-ip 适用于中小型企业，主机数量少的企业

五、NAT-Server

拓扑

需求

1）让企业内网主机访问公网网站服务器--已完成

2）让公网主机可以访问企业内网服务器（web/ftp）-实现内网服务器的对外映射

配置步骤

配置步骤：

第一步：给PC/Server配置接口IP地址，掩码，网关

Server1：

第二步：R1配置默认路由

-边界路由器R1,配置接口IP地址和掩码

-边界路由器R1,配置默认路由

第三步：配置地址池nat

-创建NAT地址池

-配置ACL-允许那些内网网段访问互联网

-在边界路由器R1的出接口配置地址池nat(做端口转换）

第四步：配置nat-server

-在企业内网中将server2的web服务启动，将server3的ftp服务启动

-在边界路由器R1的出接口的配置nat-server(实现外网主机访问内网服务器）

第五步：配置ISP-dx路由器

-配置ISP-dx路由器接口IP地址 

第六步：测试与验证

内网：PC1-4  ping  server1  -t 

外网：Client1 通过http-client1 访问内网web服务器： http://200.1.1.5

外网：Client1 通过ftp-client1 访问内网ftp服务器 ：服务器地址：200.1.1.5

-测试PC1/PC2是否可以访问Server1

NATServer总结

NATServer 是一种特殊的静态NAT，主要应用于外网用户访问企业内网服务器的场景。