PAT原理与配置
PAT原理
PAT(Port Address Translation,端口地址转换)技术是改变数据包的IP地址和端口号,这样就能够大量节省公网IP地址,因此在实际工作中应用广泛。
PAT分为动态PAT和静态PAT。
动态PAT
动态PAT改变外出数据包的源IP地址和源端口,内网的所有主机均可共享一个合法的外部IP地址访问互联网,从而最大限度的节约IP地址。与动态NAT一样,动态PAT也是单向的。
动态PAT包括NAPT和Easy IP,NAPT(Network Address and Port Translation,网络地址端口转换)允许多个内部地址映射到同一个公有地址的不同端口,而Easy IP属于NAPT的一种特例,允许将多个内部地址映射到网关出接口地址上的不同端口,即公有地址直接使用网关设备的外网口。
NAPT
允许多个内部地址映射到同一个公有地址的不同端口。
-
语法:
第一步:定义访问控制列表
[Huawei]acl 2000 [Huawei-acl-basic-2000]rule 5 permit source 10.1.1.0 0.0.0.255 [Huawei-acl-basic-2000]quit第二步:定义地址池[Huawei]nat address-group 1 20.20.20.10 20.20.20.10第三步:在外部接口上启用NAT[Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 [Huawei-GigabitEthernet0/0/1]q第四步:查看NAT配置:[Huawei]dis nat address-group NAT Address-Group Information: -------------------------------------- Index Start-address End-address -------------------------------------- 1 20.20.20.10 20.20.20.10 -------------------------------------- Total : 1实例:
要求将内部网络10.1.1.0/24转换为一个公网地址20.20.20.10/28上网
搭建网络拓扑结构:
要求:将内部地址10.1.1.0/24动态转换为公网地址20.20.20.10 ~ 20.20.20.20/24,以便访问外网(Server3)或被外网(Server3)访问,然后验证动态NAT抓包分析。
第一步:配置客户机、服务器、主机、路由器对应的ip地址、路由及网管;
AR2:
Info: Current terminal monitor is off.sys Enter system view, return user view with Ctrl+Z. [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip address 10.1.1.254 24 [Huawei-GigabitEthernet0/0/0]int g0/0/1 [Huawei-GigabitEthernet0/0/1]ip address 20.20.20.1 24 [Huawei-GigabitEthernet0/0/1]q [Huawei]ip route-static 0.0.0.0 0.0.0.0 20.20.20.2 AR1:
un t m Info: Current terminal monitor is off. sys Enter system view, return user view with Ctrl+Z. [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip address 20.20.20.2 24 [Huawei-GigabitEthernet0/0/0]int g0/0/1 [Huawei-GigabitEthernet0/0/1]ip address 200.1.1.14 24 [Huawei-GigabitEthernet0/0/1]int g0/0/2 [Huawei-GigabitEthernet0/0/2]ip address 100.1.1.254 24 [Huawei-GigabitEthernet0/0/2]q 第二步:在AR2中配置静态NAT
//定义访问控制列表 [Huawei]acl 2000 [Huawei-acl-basic-2000]rule 5 permit source 10.1.1.0 0.0.0.255 [Huawei-acl-basic-2000]quit //定义地址池,地址池编号为1 [Huawei]nat address-group 1 20.20.20.10 20.20.20.10 //在外部接口启用NAT [Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 [Huawei-GigabitEthernet0/0/1]q //查看NAT配置 [Huawei]dis nat address-group NAT Address-Group Information: -------------------------------------- Index Start-address End-address -------------------------------------- 1 20.20.20.10 20.20.20.10 -------------------------------------- Total : 1第三步:进行测试
PC1:
抓包位置:
抓包分析:
Easy IP
允许将多个内部地址映射到网关出接口地址上的不同端口,即公有地址直接使用网关设备的外网口。
语法:
第一步:定义访问控制列表[Huawei]acl 2000 [Huawei-acl-basic-2000]rule 5 permit source 10.1.1.0 0.0.0.255 [Huawei-acl-basic-2000]quit第二步:在外部接口上启用NAT[Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]nat outbound 2000 [Huawei-GigabitEthernet0/0/1]q第三步:查看NAT配置:[Huawei]dis nat outbound NAT Outbound Information: -------------------------------------------------------------------------- Interface Acl Address-group/IP/Interface Type -------------------------------------------------------------------------- GigabitEthernet0/0/1 2000 20.20.20.1 easyip -------------------------------------------------------------------------- Total : 1实例:
要求将内部网络10.1.1.0/24转换为路由器外部接口上网
搭建网络拓扑结构:
要求:将内部地址10.1.1.0/24转换为路由器外部接口上网,以便访问外网(Server3)或被外网(Server3)访问,然后验证动态NAT抓包分析。
第一步:配置客户机、服务器、主机、路由器对应的ip地址、路由及网管;
AR2:
Info: Current terminal monitor is off.sys Enter system view, return user view with Ctrl+Z. [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip address 10.1.1.254 24 [Huawei-GigabitEthernet0/0/0]int g0/0/1 [Huawei-GigabitEthernet0/0/1]ip address 20.20.20.1 24 [Huawei-GigabitEthernet0/0/1]q [Huawei]ip route-static 0.0.0.0 0.0.0.0 20.20.20.2 AR1:
un t m Info: Current terminal monitor is off. sys Enter system view, return user view with Ctrl+Z. [Huawei]int g0/0/0 [Huawei-GigabitEthernet0/0/0]ip address 20.20.20.2 24 [Huawei-GigabitEthernet0/0/0]int g0/0/1 [Huawei-GigabitEthernet0/0/1]ip address 200.1.1.14 24 [Huawei-GigabitEthernet0/0/1]int g0/0/2 [Huawei-GigabitEthernet0/0/2]ip address 100.1.1.254 24 [Huawei-GigabitEthernet0/0/2]q 第二步:在AR2中配置静态NAT
//定义访问控制列表 [Huawei]acl 2000 [Huawei-acl-basic-2000]rule 5 permit source 10.1.1.0 0.0.0.255 [Huawei-acl-basic-2000]quit //在外部接口启用NAT [Huawei]int g0/0/1 [Huawei-GigabitEthernet0/0/1]nat outbound 2000 [Huawei-GigabitEthernet0/0/1]q //查看NAT配置 [Huawei]dis nat outbound NAT Outbound Information: -------------------------------------------------------------------------- Interface Acl Address-group/IP/Interface Type -------------------------------------------------------------------------- GigabitEthernet0/0/1 2000 1 no-pat -------------------------------------------------------------------------- Total : 1第三步:进行测试
PC1:
抓包位置:
抓包分析:
静态PAT
静态PAT改变数据包的IP地址和端口号,与静态NAT一样,静态PAT也是双向的。
实际应用中一般是将内网的服务器发布出去,由外网发起向内网访问,华为称之为NAT Server。
语法:
第一步:在路由器上配置NAT Server[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 20.20.20.12 21 inside 10.1.1.12 21
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 20.20.20.11 80 inside 10.1.1.11 80
[Huawei-GigabitEthernet0/0/1]q 第三步:查看NAT配置:[Huawei]dis nat server
Nat Server Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 20.20.20.12/21(ftp)
Inside IP/Port : 10.1.1.12/21(ftp)
Protocol : 6(tcp)
VPN instance-name : ----
Acl number : ----
Description : ----
Global IP/Port : 20.20.20.11/80(www)
Inside IP/Port : 10.1.1.11/80(www)
Protocol : 6(tcp)
VPN instance-name : ----
Acl number : ----
Description : ----
Total : 2实例:
将内部地址10.1.1.11/24的80端口静态转换为公网地址20.20.20.11/24的80端口,将内部地址10.1.1.12/24的21端口静态转换为公网地址20.20.20.12/24的21端口,以便被外网(Client2)访问。
搭建网络拓扑结构:
要求:将内部地址10.1.1.0/24转换为路由器外部接口上网,以便访问外网(Server3)或被外网(Server3)访问,然后验证动态NAT抓包分析。
第一步:配置客户机、服务器、主机、路由器对应的ip地址、路由及网管;
AR2:Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.1.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 20.20.20.1 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]ip route-static 0.0.0.0 0.0.0.0 20.20.20.2AR1:<Huawei>un t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 20.20.20.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 200.1.1.14 24
[Huawei-GigabitEthernet0/0/1]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 100.1.1.254 24
[Huawei-GigabitEthernet0/0/2]q第二步:在AR2中配置静态NAT
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 20.20.20.12 21 inside 10.1.1.12 21
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 20.20.20.11 80 inside 10.1.1.11 80
[Huawei-GigabitEthernet0/0/1]q
//查看NAT配置
[Huawei]dis nat server
Nat Server Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 20.20.20.12/21(ftp)
Inside IP/Port : 10.1.1.12/21(ftp)
Protocol : 6(tcp)
VPN instance-name : ----
Acl number : ----
Description : ----
Global IP/Port : 20.20.20.11/80(www)
Inside IP/Port : 10.1.1.11/80(www)
Protocol : 6(tcp)
VPN instance-name : ----
Acl number : ----
Description : ----
Total : 2第三步:进行测试
在Server1中搭建HttpServer服务,在Client2能够访问:
抓包位置:
抓包分析:
