NAT-网络地址转换技术,主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过 NAT 技术可以将其私网地址转换为公网地址,并且多个私网用户可以共用一个公网地址,这样既可保证网络互通,又节省了公网地址。
任何公网路由器里的主路由里面都不可能包含私有路由,就算有,包也会不来,因为私有地址不能保证全局唯一性,所以在园区网边界部署 NAT 技术。本次实验拓扑如下:
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.10.254 24
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 12.1.1.1 24
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 12.1.1.2 24
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 100.1.1.254 24
[AR1]ip route-static 0.0.0.0 0.0.0.0 g0/0/1 12.1.1.2 //R1需要指定一条缺省路由。
现在R1是可以ping通server的,PC1是不可以ping通 server的,接下来在R1上做静态。
[AR1]int g0/0/1 router //连接外网的接口
[AR1-GigabitEthernet0/0/1]nat static global 12.1.1.100 inside 192.168.10.1 //设置静态的转换后的共有地址 要转换的私有地址
现在就可以 ping 通了,PC 发包去往 100.1.1.1 的时候,网关是 R1,R1 把源地址转换成 12.1.1.100 发送给 R2,R2 给了 server,server 回包给 R2,R2 进行 12.1.1.100 ARP 请求,R1 给你做了应答之后,发送给 R1,回向转换之后发送给 PC。
可以看到 NAT 地址转换表
R2 有 12.1.1.100 条目, 条目和 12.1.1.1 的一模一样,R2 就是接收回包,会给 R2 接口之 前, 现针对 12.1.1.100 做 ARP 请求,这个请求 R1 给我做了一个应答,所以我的得到一个映射, 其实是发给 R1 的, 抓 R2 的G0/0/1口的包。
源地址是 100.1.1.1,目的 IP 是 12.1.1.100 。再抓PC的回包。
源地址 192.168.10.1,目的 100.1.1.1 。接下来ping测试一下:
发现华为的静态NAT也可以从外到内的主动访问,这是 Huawei 做的优化,和 Cisco 一样。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。