欢迎访问南京建策科技股份有限公司! 分支机构: 南京 | 广州 | 上海 | 扬州 | 常州
 最新动态 NEWS     More...
【喜报】再来一波,恭喜以下1...
【喜报】恭喜以下建策学员顺利...
【喜报】抓住2019的尾巴,...
纸短情长|因为你的肯定温暖着...
有人@你:您收到一封表扬信
又是全过,恭喜小伙伴们通过H...

 

  网站位置:首页 > 学习交流 > 技术文档下载
NAT技术的配置
[2019-5-8]

一、实验描述及组网图

网络迅速发展,IPv4地址不敷使用,为了解决IPv4地址短缺的问题,IETF提出了NAT解决方案。

NAT技术主要作用是将私有地址转换成公有地址。Basic NAT虽然可以实现私有地址和公有地址的转换但不如NAPT普及,NAPT采用端口号更能提高公网IP的利用效率,适用与私网作为客户端访问公网服务器的场合;Easy IP配置最为简单,一般用于拨号接入Internet或动态获得IP地址的场合;NAT Server则用于私网对外提供服务,由公网主动向私网设备发起连接的场合。
 

    

实验组网如图所示,实验使用两台主机(PC_A,PC_B)、三台MSR路由器(jiance1, jiance2, jiance3)。

PC_A,PC_B位于私网,网关为jiance1。jiance2为NAT设备,有一个私网接口S1/0和一个公网接口E1/0,公网接口与公网路由器jiance3互连,地址池范围是:200.1.1.11~200.1.1.11。公网jiance3上loopback 0是一个公网接口地址,作为公网服务器测试。


NAPT配置

私网PC_A,PC_B需要访问公网服务器,但由于公网地址有限,可以通过配置NAPT动态的为PC_A,PC_B分配公网地址和协议端口。

步骤一:检查连通性

分别在PC_A,PC_B上ping服务器(IP地址为:220.1.1.1)。显示如下:

在PC_A上ping服务器: 

C:\Documents and Settings\jiance_pca>ping 220.1.1.1

Pinging 220.1.1.1 with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.


Ping statistics for 220.1.1.1:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

在PC_B上ping服务器:  

C:\Documents and Settings\jiance_pcb>ping 220.1.1.1

Pinging 220.1.1.1 with 32 bytes of data:

Request timed out.

Request timed out.

Request timed out.

Request timed out.


Ping statistics for 220.1.1.1:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

结果显示,从PC_A,PC_B上无法ping通服务器。


步骤二:配置NAPT

在JIANCE2上配置NAPT:

用ACL定义一条源地址属于192.168..0.0/16网段的流

[jiance2]acl number 2000

[jiance2-acl-basic-2000]rule permit source 192.168.0.0 0.0.0.255.255

[jiance2-acl-basic-2000]rule deny source any   

配置NAT地址池1,地址池中只有一个地址200.1.1.11

[jiance2]nat address-group 1 200.1.1.11 200.1.1.11

进入接口视图将NAT地址池1与ACL 2000绑定,接口方向为出方向

[jiance2]interface Ethernet 0/0

[jiance2-Ethernet0/0]nat outbound 2000 address-group 1          

此时命令中未携带no-pat关键字,表示NAT要对数据包进行端口转换


步骤三:测试连通性

从PC_A,PC_B上ping公网服务器

PC_A测试:

C:\Documents and Settings\jiance_pca>ping 220.1.1.1

Pinging 200.1.1.1 with 32 bytes of data:

Reply from 220.1.1.1: bytes=32 time=21ms TTL=253

Reply from 220.1.1.1: bytes=32 time=21ms TTL=253

Reply from 220.1.1.1: bytes=32 time=21ms TTL=253

Reply from 220.1.1.1: bytes=32 time=21ms TTL=253


Ping statistics for 220.1.1.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% looss)

Approximate round trip times in milli-seconds:

Minimum = 21ms, Maximum = 23ms, Average = 21ms


PC_B上测试:

C:\Documents and Settings\jiance_pcb>ping 220.1.1.1

Pinging 200.1.1.1 with 32 bytes of data:

Reply from 220.1.1.1: bytes=32 time=22ms TTL=253

Reply from 220.1.1.1: bytes=32 time=21ms TTL=253

Reply from 220.1.1.1: bytes=32 time=21ms TTL=253

Reply from 220.1.1.1: bytes=32 time=21ms TTL=253


Ping statistics for 220.1.1.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% looss)

Approximate round trip times in milli-seconds:

Minimum = 21ms, Maximum = 23ms, Average = 21ms

发现PC_A,PC_B都能ping通服务器。


步骤四:检查NAT表项

ping通后立即在JIANCE2上查看NAT表项:


[jiance2]display nat session

There are currently 2 NAT sessions:


Protocol    GlobalAddr  Port    InsideAddr  Port      DestAddr  Port

1  200.1.1.11  12289  192.168.2.100  43984    220.1.1.1  43984

VPN:  0,      status:    11,        TTL: 00:01:00,       Left: 00:00:51


1  200.1.1.11  12288  192.168.1.100  768      220.1.1.1   768

 VPN:  0,      status:    11,        TTL: 00:01:00,       Left: 00:00:52

从表项中可以看出源地址192.168.1.100,192.168.2.100转换成同一个公网地址200.1.1.11,但端口号是不同的,192.168.1.100转换的端口号为768,而192.168.2.100转换的端口号位43984,通过不同的端口号来分辨数据是发给192.168.1.100还是192.168.2.100,NAPT靠这种方式对数据包的IP层和传输层信息同时进行转换,从而显著的提高IP地址的利用率。


如果您对技术帖内容有任何疑问,请联系官方邮箱:jcit@jiancenj.com,也欢迎广大学员踊跃投稿,一经录用,有稿费酬谢

友情链接
 
腾讯云
华三
红帽
思科
瞻博网络
 Copyright @ 2016-2019 www.jiancenj.com All Rights Reserved. 版权所有 建策科技 苏ICP备11058165号
 总 部地 址:江苏省南京市玄武区珠江路222号长发科技大厦16楼 联系电话: 025-84804339;84804652
 广州办事处:广州市天河区石牌西路8号展望数码广场1903室
 上海办事处:上海普陀区真南路1008号上海信息技术学院8号楼114室
 常州办事处:常州市武进区科教城创研港3A804 18796950509
 扬州办事处:扬州市邗江区润扬南路33号南京邮电大学通达学院2号实验楼2203-2206室