对于一台使用TCP/IP协议连接到网络的一台主机来说,要想成功的与其他网络连接通信,TCP/IP就必须了解三信息
如上图所示,你会看到三个重要的信息:ipv4地址、子网掩码、默认网关;在同一子网下 默认网关和子网掩码是一样的。
网关就是一个网络连接到另一个网络的“关口”。它实质上是一个网络通向另外网络的ip地址。不同网络之间的接口。从一个网络到另一个网络的转发点。
对于不在同一网络的ip地址,想要互相通信,就必须依赖网关。这个功能是由 路由器 ,即三层设备来完成。
默认网关:就像一个房间有多扇门一样,一台主机可以有多个网关,默认网关是指一台主机如果找不到一台可以用的网关,就会把数据包发送给默认网关。
网关的值一般是取本网段的最后一个ip地址。
想要数据在网络中可以正常的通信,那么有三个地址是必不可少的。
端口号的作用是让应用层的各种应用进程都能将其数据通过端口向下交付给传输层,以及让传输层知道应当将其报文段中的数据向上传送给应用层的每个应用进程。从这个意义上讲,每一个端口就相当于每一个应用进程。
注意事项
一般来说,端口号大致分三类:
21 FTP传输协议
23 Telnet远程登录
25 SMTP简单文件传输协议
53 DNS域名解析协议
80 >一、配置路由器R1和R2的接口地址
(一)配置R1路由器接口
system-view
[Rl]interface gi0/0/0
[Rl-GigabitEthernet0/0/0]ip address 19216831 24 #配置接口IP地址
[Rl-GigabitEthernet0/0/0]description TO_LAN #添加描述LAN信息,方便管理员管理
[Rl]interface gi0/0/1
[Rl-GigabitEthernet0/0/1]ip address 12111 29 #29位掩码减少公网地址浪费
[Rl-GigabitEthernet0/0/1]description TO_WAN #添加描述WAN信息
[Rl-GigabitEthernet0/0/1]dis this
[V200R003C00]
interface GigabitEthernet0/0/1
description TO_WAN
ip address 12111 255255255248
(二)配置R2路由器接口
[R2]interface gi0/0/0
[R2-GigabitEthernet0/0/0]ip address 12116 29
[R2-GigabitEthernet0/0/0]dis this
[V200R003C00]
interface GigabitEthernet0/0/0
ip address 12116 255255255248
return
[R2]interface loopback 0 #配置环回接口地址
[R2-LoopBack0]ip address 9999 24
二、配置缺省路由联通整个网络
[Rl]ip route-static 0000 0 12116 #缺省路由目标是任意外网,下一跳是12116
三、静态一对一映射NAT技术
静态NAT:static NAT ,一对一(一一映射),一个私网地址对应一个公网地址,外网的用户可以访问内网的主机。缺点是有n个私网地址就需要n个公网地址,成开销本较大。
global:全局公网地址;local:本地私网地址。
inside:内网;outside:外网。
在外网口配置
[Rl-GigabitEthernet0/0/1]nat static global 12112 inside 19216832 netmask 255255255255
#将19216832和12112做一对一映射转换
[Rl-GigabitEthernet0/0/1]dis this
[V200R003C00]
interface GigabitEthernet0/0/1
description TO_WAN
ip address 12111 255255255248
nat static global 12112 inside 19216832 netmask 255255255255
return
dis nat session protocol icmp #实时查看NAT会话
四、NAT Easy IP技术
允许多个私网地址转换成一个公网IP,企业普遍常用 Easy IP。
在路由器出口先写acl匹配内网私网地址段,acl用来匹配范围时,没有默认隐含允许所有的规则。
[Rl]acl 2000
[Rl-acl-basic-2000]rule permit
fragment Check fragment packet
none-first-fragment Check the subsequence fragment packet
source Specify source address
time-range Specify a special time
-instance Specify a -Instance
Please press ENTER to execute command
[Rl-acl-basic-2000]rule permit source 19216830 000255
#匹配 19216830网段访问
[Rl-acl-basic-2000]dis this
[V200R003C00]
acl number 2000
rule 5 permit source 19216830 000255
return
[Rl-GigabitEthernet0/0/1]nat outbound 2000
#2000是acl的表号,内网私网地址出包时转换成公网接口gi0/0/1当前的IP地址12111
不同PC识别的是序列号Sequence Numer。
五、Server NAT 技术
可将某服务的端口映射出去,只提供端口服务,非常安全。
(一)对应一台服务器的Server NAT
system-view
[Rl-GigabitEthernet0/0/1]undo nat outbound 2000
#先取消上次的NAT 的easy IP配置
[R2]interface loopback 0
[R2-LoopBack0]undo ip address 9999 24 #取消上次的环回接口配置
[R2]interface gi0/0/1
[R2-GigabitEthernet0/0/1]ip address 9991 24 #配置客户端网关地址
[Rl-GigabitEthernet0/0/1]nat server protocol tcp global 12114 的> 在以往的实践中,笔者在centos中使用防火墙iptables来配置NAT网络地址转换。VirtualBox中也可以配置NAT网络地址转换。但是最近接触到的云服务器,有私网IP地址和公网IP地址,公网IP提供外部通信,私网IP可以使用云上的各种服务。对于大型的网络来说,通过路由器来进行地址转换可能更加高效。于是笔者在华为的书籍上找了例子来进行配置实践。
IPV6可用解决地址短缺的问题,但是无法立刻替换现在成熟且广泛应用的IPV4。网络地址转换(NAT)可以延长IPV4的寿命。NAT是将IP数据报文中的头IP地址转换成另一个IP地址的过程,主要用于内部网络(私有IP地址)访问外部网络(共有IP地址)。NAT有三种类型:静态NAT、动态地址NAT以及网路地址端口转换NAT。
NAT转换设备维护着地址转换表,所有经过NAT转换设备并且需要地址转换的报文,都会通过该表做地址转换。NAT转换设备处于内部和外部网络的连接处,常见的有路由器、防火墙。
根据图示的信息搭建网络。
在网关路由器AR1上配置访问外网的默认路由。
ip route-static 0000 0000 202169102
查看配置好的静态路由协议。
由于内网使用的是私有IP地址,员工无法直接访问公网。现需要在网关路由器上配置NAT地址转换,将私网地址转换为公网地址。PC1自身能够访问外网,并且需要外网用户也能够直接访问他,分配一个公网IP地址202169105给PC1做静态NAT地址转换。在R1的G0/0/0接口使用nat static命令配置内部地址到外部地址的一对一转换。
配置完成后在AR1上查看NAT静态配置信息。
在PC1上ping命令测试与外网的连通性,可以看到静态NAT已经可以成功访问外网。
在路由器的G0/0/0接口上抓包查看NAT地址转换,AR1成功把来自PC1的ICMP报文的源地址1721611转换成公网地址202169105 。
在AR2上使用环回地址loopback0模拟外网访问PC1,测试成功。
在PC1的E0/0/1接口上抓包观察,PC1的私网地址被转换成唯一的公网地址,外网用户也能访问PC1。且数据包在经过R1进入内网时,R1把目的IP地址转为公网地址202169105对应的私网地址1721611发给PC1。
PC2 、PC3都需要访问外网,网段为1721710/24 。使用公网地址池2021691050-2021691060 为其做NAT转换
在AR1上使用nat address-group命令配置NAT地址池,设置起始地址2021691050,终止地址2021691060。
nat address-group 1 2021691050 2021691060
创建ACL2000。
在AR1的G0/0/0接口下使用nat outbound 命令将acl200和地址池关联,使得地址池中规定的地址可以使用地址池进行进行地址转换。并在AR1上查看NAT outbound信息。
在PC2上测试与外网的连通性成功。
并在AR1的接口G0/0/0上抓包观察地址转换情况。来自PC2的ICMP数据包在AR1的G0/0/0接口上源地址1721712被替换成地址池中的第一个地址202171050 。
由于PC众多,采用多对多的NAT转换方式就必须增加公网IP地址池的地址数量。为了节约地址,需要配置多对一的Easy-IP转换方式实现访问外网的需求。Easy-IP是NAPT的一种方式,直接借用路由器的接口IP地址作为公网地址,将不同的内部地址映射到同一公网地址的不同端口上,实现多对一地址转换。
在AR1的G0/0/0接口上删除NAT Outbound配置,并使用nat outbound命令配置Easy-IP特性,直接使用接口IP地址作为NA转换后的地址。
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]undo nat outbound 2000 address-group 1 no-pat
[AR1-GigabitEthernet0/0/0]nat outbound 2000
配置完成后,在PC2上使用UDP数据包发包工具发送udp数据包到公网地址202169201,配置好目的IP地址和UDP源、目的端口号后,输入字符串后发送。
PC2的配置如下:
在AR1上查看nat session的详细信息。可以看到,源地址1721712的UDP数据包被新源地址202169101和新源端口10241替换。AR1借用自身G0/0/0接口的公网地址为所有私网地址做NA转换,使用不同端口号区分不同私网数据。此方式不需要创建地址池,大大节省了地址空间。
公司内server服务器提供ftp服务供外网用户访问,配置NAT server并使用公网IP地址202169106对外公布服务器地址 ,然后开启nat alg功能。对于封装在ip数据报文中应用层协议报文,正常的NAT转换会导致错误,在开启某应用协议的nat alg功能后,该应用协议报文可以正常进行nat转换,否则该应用协议不能正常工作。
在AR1的G0/0/0接口使用nat server命令定义内部服务器的映射表,指定通信协议为tcp,配置服务器使用公网ip地址202169106 ,服务器内网地址为1721613,指定端口为21,该常用端口号可以直接使用关键字“ftp”代替。并在AR1上查看nat server信息。
查看server配置成效,选择根目录并启动ftpserver 。
设置服务器完成后,在AR2上模拟公网用户访问私网ftp服务器。
1 配置DHCP网段
- 在ENSP中打开设备管理器,选择需要配置DHCP的设备。
- 在设备管理器中选择“DHCP”选项卡,点击“添加”按钮。
- 在d出的“DHCP配置”对话框中,输入需要配置的DHCP网段和子网掩码,点击“确定”按钮保存配置。
2 配置接口
- 在设备管理器中选择需要配置的接口,点击“配置”按钮。
- 在d出的“接口配置”对话框中,选择“IP地址”选项卡,输入需要配置的IP地址和子网掩码。
- 点击“确定”按钮保存配置。
3 配置接口和DHCP网段的关联
- 在设备管理器中选择需要配置的接口,点击“配置”按钮。
- 在d出的“接口配置”对话框中,选择“DHCP”选项卡,勾选“启用DHCP”选项。
- 在“DHCP服务器地址”中输入DHCP服务器的IP地址,点击“确定”按钮保存配置。
通过以上步骤,就可以在ENSP中配置DHCP网段和接口下不同,实现设备的自动获取IP地址和手动配置IP地址的功能。需要注意的是,配置完成后需要保存配置并重启设备,才能使配置生效。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)