今天介绍路由交换技术中一个非常重要的概念:NAT
网络地址转换技术(NAT),它可以将内部网络的私有IP地址转换为公网IP地址,从而实现内部网络与外部网络的通信。这种技术可以有效地解决IPv4地址不足的问题,并提高网络安全性。
NAT技术的实现原理是通过在路由器或防火墙设备上设置NAT规则,将内部网络的私有IP地址映射为公网IP地址,从而实现内部网络与外部网络的通信。其拓扑组成通常包括一个或多个内部网络、一个路由器或防火墙设备以及一个公网IP地址。在配置NAT时,需要指定内部网络和外部网络的接口,并设置源地址和目标地址的映射关系。常见的NAT路由配置策略包括静态NAT、动态NAT和PAT(端口地址转换)。其中静态NAT将内部网络的一个固定IP地址映射为一个公网IP地址,动态NAT则根据内部网络的IP地址池动态分配公网IP地址,而PAT则通过改变端口号来实现多个内部网络共享一个公网IP地址的转换。
我们先来看拓扑图:
这里写入了172.16和172.17两个地址段,通过202.169.10.0的运营商线路访问一台路由器的回环口来代表网络应用。
这里交换机为类似集线器功能,没有配置。
路由器AR2配置如下:
acl number 2001
rule 5 permit source 172.17.1.0 0.0.0.255
nat alg ftp enable
#
nat address-group 1 202.169.10.50 202.169.10.60
#
interface GigabitEthernet0/0/0
ip address 202.169.10.1 255.255.255.0
nat static global 202.169.10.5 inside 172.16.1.1 netmask 255.255.255.255
nat server protocol tcp global 202.169.10.6 ftp inside 172.16.1.3 ftp
nat outbound 2001
#
interface GigabitEthernet0/0/1
ip address 172.16.1.254 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 172.17.1.254 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 202.169.10.2
AC2写入了ACL规则、NAT配置、接口配置、静态路由,具体配置说明如下所示:
- ACL规则:ACL编号为2001,第5条规则允许源IP地址为172.17.1.0/24的流量通过。
- NAT配置:启用FTP ALG,定义地址组1包括202.169.10.50和202.169.10.60。在GigabitEthernet0/0/0接口上,定义静态NAT规则将172.16.1.1映射为202.169.10.5。定义FTP NAT服务器规则将172.16.1.3映射为202.169.10.6。在出口方向应用ACL 2001。
- 接口配置:GigabitEthernet0/0/0接口配置为202.169.10.1/24,GigabitEthernet0/0/1接口配置为172.16.1.254/24,GigabitEthernet0/0/2接口配置为172.17.1.254/24。
- 静态路由:默认路由指向202.169.10.2。
路由器会对数据流进行ACL过滤、NAT转换和路由转发等操作,以实现网络通信。
路由器AR3配置如下:
#
interface GigabitEthernet0/0/0
ip address 202.169.10.2 255.255.255.0
#
interface LoopBack0
ip address 202.169.20.1 255.255.255.0
#
AC2写入了ACL规则、NAT配置、接口配置、静态路由,具体配置说明如下所示:
- GigabitEthernet0/0/0接口的IP地址为202.169.10.2/24。
- Loopback0接口的IP地址为202.169.20.1/24。
然后,服务器配置如下图所示:
PC可以按照服务器IP配置:
测试一下各设备间是否互相通信:
发现能够Ping通,下面再用PC3测试一下。
通过ACL的规则,172.17.1.2和172.17.1.3同样访问服务器地址172.16.1.3和外网的loopback:202.169.20.1。这样这个实验展示了通过路由策略和NAT技术实现各个网络设备间的互相访问。