网络防火墙的网络地址转换(NAT)配置指南(十)

网络拓扑：网络目的：通过NAR网络地址转换怎么实现内部IP地址和Internet的IP地址转换；了解Nat网络地址转换有集中类型，以及它们在生活中在哪儿应用；了解Nat网络地址转换的作用和原理；简单了解一下TCP负载均衡；网络连线：Router1 E0/0 <----> Router2 E0/1Router2 E0/0 <----> Router3 E0/1Router3 E0/0 <----> Router4 E0/1Router4 E0/2 <----> VPCS V0/1Router1 E0/1 <----> XPC P0/1网络步骤：————路由器的一些详细配置————1.配置路由器1的IP地址；并为路由器1配置一条默认路由；（配置默认路由的原因就是让来学习相邻的网段）r1(config)#interface e0/0(config-if)#ip add 100.100.100.1 255.255.255.0r1(config-if)#no shr1(config)#interface e0/1r1(config-if)#ip add 172.16.2.126 255.255.255.0r1(config-if)#no shr1(config-if)#exr1(config)#ip route 0.0.0.0 0.0.0.0 e0/02.配置路由器2的IP地址，然后用来宣告他的网段（我们可以用RIP、OSPF、静态来宣告路由器直连的网段，在这里我们选用我们所学习过的RIP；在这里我们用路由器1和路由器2模拟INTERNET）r2(config)#interface e0/12(config-if)#ip add 100.100.100.2 255.255.255.02(config-if)#exr2(config)#interface e0/0r2(config-if)#ip add 101.101.101.1 255.255.255.0r2(config-if)#no shr2(config-if)#exr2(config)#router ripr2(config-router)#version 2r2(config-router)#no auto-summaryr2(config-router)#network 100.100.100.0r2(config-router)#network 101.101.101.03.配置路由器3的IP地址，然后用RIP宣告路由器3直连的网段；我们在这里所用的是RIPv2来进行配置：r3(config)#interface e0/1r3(config-if)#ip add 101.101.101.2 255.255.255.0r3(config-if)#no shr3(config-if)#exit r3r3(config)#interface e0/0r3(config-if)#ip add 102.102.102.1 255.255.255.0r3(config-if)#no shr3(config-if)#exitr3(config-router)#version 2r3(config-router)#no auto-summaryr3(config-router)#network 102.102.102.0r3(config-router)#network 101.101.101.04.配置路由器4的IP地址，然后为路由器4指定默认路由；r4(config)#interface e0/1r4(config-if)#ip add 102.102.102.2 255.255.255.0r4(config-if)#no shr4(config-if)#exitr4(config)#interface e0/2r4(config-if)#ip add 10.10.10.1 255.255.255.0r4(config-if)#no shr4(config-if)#exitr4(config)#ip route 0.0.0.0 0.0.0.0 e0/15.配置客户端的IP地址；（这里我们一个是桥接的，一个是虚拟的；这里的默认网关则是路由器1的IP地址）虚拟的客户机的IP地址网关是路由器4e0/2的接口IP 地址，“24”所指的是它是属于哪一个网段的：VPCS 1 >1VPCS 1 >ip 10.10.10.125 10.10.10.1 24PC1 : 10.10.10.125 255.255.255.0 gateway 10.10.10.1重点：Nat网络地址转换的配置以及详细讲解1.在路由器1上先定义ACL访问控制列表；根据拓扑图的所示：我们只定义172.16.2.0网段的可以允许通过；而不允许其他的流量来通过！在本章实验中我们将以PAT端口地址转换中的复用路由器外部接口地址转换为例：Nat网络地址转换可以分成三大类：静态转换、动态转换、端口多路复用；Nat网络地址转换有三种模式：它们的区别是：“静态转换”是将内部网络的私有地址转换为公有合法的IP地址是，它的地址对应的关系是“一对一”的，是不变的。

NAT地址转换原理及配置解读NAT（Network Address Translation），即网络地址转换，是一种将私有IP地址转换为公有IP地址的技术。

NAT的基本原理是在路由器上创建一个连接表，用于记录内部网络的私有IP地址与外部网络的公有IP地址之间的映射关系。

当内部网络中的主机访问外部网络时，路由器会根据连接表进行地址转换，将内部主机的私有IP地址转换为公有IP地址，然后将数据包转发到外部网络中。

当外部网络返回数据包时，路由器将根据连接表中的映射关系将数据包转发到相应的内部主机。

NAT的主要作用是解决IPv4地址不足的问题，通过将私有IP地址与公有IP地址进行映射，可以节省公有IP地址的使用并且增加了网络的安全性。

同时，NAT还可以提供端口转换功能，使得多个内部主机可以共享同一个公有IP地址。

NAT的配置主要包括以下几个方面：1.内部网络的设置：首先需要确定内部网络所使用的私有IP地址范围，一般常用的私有IP地址范围为10.0.0.0/8、172.16.0.0/12和192.168.0.0/16、然后，在路由器上通过配置虚拟局域网（VLAN）或子接口，将内部网络划分为多个子网，每个子网可以使用独立的私有IP地址范围。

2. NAT转换规则的配置：在路由器上需要配置NAT转换规则，以确定内部网络的私有IP地址与外部网络的公有IP地址之间的映射关系。

常用的NAT转换规则包括静态NAT（Static NAT）、动态NAT（Dynamic NAT）和网络地址端口转换（Network Address Port Translation，NAPT）。

-静态NAT是一种一对一的地址转换，将内部主机的私有IP地址与外部网络的公有IP地址进行固定映射。

配置静态NAT时，需要指定内部主机的私有IP地址和对应的外部网络的公有IP地址。

-动态NAT是一种一对多的地址转换，将内部主机的私有IP地址动态映射到外部网络的公有IP地址池中的一个IP地址。

H3C+NAT+配置⽅法4.3 NAT的配置NAT配置包括：配置地址池配置Easy IP配置静态地址转换配置多对多地址转换配置NAPT配置内部服务器配置地址转换应⽤层⽹关配置内部主机通过域名区分并访问其对应的内部服务器配置地址转换有效时间配置最⼤连接数限制配置报⽂匹配⽅式配置地址转换表项的⽼化刷新速度4.3.1 配置地址池地址池是⼀些连续的IP地址集合，当内部数据包通过地址转换到达外部⽹络时，将会选择地址池中的某个地址作为转换后的源地址。

表4-1 配置地址池说明：NAT地址池中的地址不应包含公⽹主机已使⽤的地址，否则会造成地址冲突。

如果防⽕墙仅提供Easy IP功能，则不需要配置NAT地址池，直接使⽤接⼝地址作为转换后的IP地址。

当某个地址池已经和某个访问控制列表关联进⾏地址转换，是不允许删除这个地址池的。

地址池长度（地址池中包含的所有地址个数）不能超过255个地址。

4.3.2 配置地址转换将访问控制列表和地址池关联（或接⼝地址）后，即可实现地址转换。

这种关联指定了“具有某些特征的IP报⽂”才可以使⽤“这样的地址池中的地址（或接⼝地址）”。

当内部⽹络有数据包要发往外部⽹络时，⾸先根据访问列表判定是否是允许的数据包，然后根据转换关联找到与之对应的地址池（或接⼝地址）进⾏转换。

不同形式的地址转换，配置⽅法稍有不同。

1. Easy IP如果地址转换命令不带address-group 参数，即仅使⽤nat outbound acl-number 命令，则实现了easy-ip 的特性。

地址转换时，直接使⽤接⼝的IP 地址作为转换后的地址，利⽤访问控制列表控制哪些地址可以进⾏地址转换。

表4-2 配置Easy IP2. 使⽤指定loopback 接⼝进⾏地址转换表4-3 使⽤指定loopback 接⼝进⾏地址转换匹配访问控制列表的数据报⽂的源地址将转换为指定的loopback 接⼝的IP 地址。

3. 配置静态地址转换表(1)配置⼀对⼀静态地址转换表表4-4 配置⼀对⼀地址转换(2) 配置静态⽹段地址转换表使⽤静态⽹段地址转换时，只进⾏⽹段地址的转换，⽽保持主机地址不变。

NA T网络地址转换
主要命令：
基本配置：设置各个端口的IP 等等等等。

不再说明。

在路由器0和三层交换机上打（路由器1是公网路由所以不用打）：Ip route 0.0.0.0 0.0.0.099.1.1.2
此命令切记：公网路由上不能打私网路由IP
注解：上面红色字体的地方代表所有网段。

在路由器0上打：
Ip route 192.168.10.0 255.255.255.0 192.168.100.1
IP route 192.168.20.0 255.255.255.0 192.168.100.1
输入完后
Show ip run时
会看到：
说你输入正确。

在路由器0上打：
int f0/0 进入端口0/0设置
Ip nat in 设置这是内部接口
Int f0/1 进入端口0/1设置
Ip nat outside①设置这是外部接口
EXIT 退出去
Ip access-list②standard 1 设置访问列表
Permit③192.168.10.1 0.0.0.255 允许192.168.10.1 IP
Permit 192.168.20.1 0.0.0.255 以此类推
EXIT 推出去（还没完）
Ip nat inside source list 1 int f0/1 ov
红色字体解释：inside:地址转换。

Source:源。

List 1:访问列表1 int f0/1:转换成F0/1的IP OV：端口互用，允许多个转换。

什么是NAT（网络地址转换）？网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。

原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。

借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

静态配置命令ip nat inside source static 内部本地地址内部合法地址。

拓扑图假设我们在ISP那已经申请IP地址，192.192.192.1—192.192.192.4，拿路由器XFZ充当ISP ，ONLY5 为你家外部路由器，下面我们配置静态的NAT，就是1对1进行IP地址转换。

配置信息PC1—PC3的IP地址为192.168.1.2 --- 192.168.1.4 子网掩码为255.255.255.0 网关为 192.168.1.1配置信息ONLY5Router>enableRouter#config tRouter(config)#hostname ONLY5ONLY5(config)#int f0/0ONLY5(config-if)#no shuONLY5(config)#int f0/0ONLY5(config-if)#ip address 192.168.1.1 255.255.255.0 ONLY5(config)#int s0/0ONLY5(config-if)#ip address 192.192.192.1 255.255.255.0ONLY5(config-if)#clock rate 64000// 配置静态NATONLY5(config)#ip nat inside source static 192.168.1.2192.192.192.2ONLY5(config)#ip nat inside source static 192.168.1.3192.192.192.3ONLY5(config)#ip nat inside source static 192.168.1.4 192.192.192.4ONLY5(config)#int f0/0ONLY5(config-if)#ip nat inside // 设置该端口为内部端口ONLY5(config)#int s0/0ONLY5(config-if)#ip nat ouONLY5(config-if)#ip nat outside // 设置该端口为外部部端口ONLY5(config)#ip route 0.0.0.0 0.0.0.0 192.192.192.2 // 设置一条出去的路由（默认路由）XFZ 配置Router>enRouter>enableRouter#config tRouter(config)#hostname XFZXFZ(config)#int s0/0XFZ(config-if)#no shuXFZ(config-if)#ip address 192.192.192.2 255.255.255.0XFZ(config)#ip route 0.0.0.0 0.0.0.0 192.192.192.1 // 设置一条出去的路由（默认路由）OK 完成咯。

NAT网络地址转换一：拓扑图二：使用dynamips完成实验1：启用R5和R6路由器，其中R5模拟PC5机，S1/1 ip：220.171.1.1/24 网关：220.171.1.2 2：R6路由器S1/0端口ip地址：220.171.1.2 ，Fa2/0端口ip地址：192.168.1.1/243：模拟公网实际环境：R6实现ACL来阻止192.168.1.0网络从Fa2/0到达PC5的S1/14：在R6上使用NAT来实现192.168.1.0到PC5的访问5：真实PC（ip:192.168.1.2/24 网关：192.168.1.1）三：实验步骤1：在R5上Router>enRouter# configure terminalRouter(config)#hostname PC5PC5 (config)#no ip domain-lookupPC5 (config)#line console 0PC5 (config-line)#exec-timeout 0 0PC5 (config-line)#logging synchronousPC5 (config-line)#exitPC5 (config)#no ip routing ／去除路由器的路由功能来模拟成pcPC5 (config)#interface s1/1PC5 (config-if)#ip address 220.171.1.1 255.255.255.0 ／配置ip地址PC5 (config-if)#no shutdownPC5 (config-if)#exitPC5 (config)#ip default-gateway 220.171.1.2 ／配置默认网关PC5(config)#endPC5#2：在R6上：使用ACLRouter>enableRouter#configure terminalRouter(config)#hostname R6R6(config)#no ip domain-lookupR6(config)#line console 0R6(config-line)#exec-timeout 0 0R6(config-line)#logging synchronousR6(config-line)#exitR6(config)#inter fa2/0R6(config-if)#ip address 192.168.1.1 255.255.255.0R6(config-if)#no shutdownR6(config-if)#interface s1/0R6(config-if)#ip address 220.171.1.2 255.255.255.0R6(config-if)#no shutdownR6(config-if)#ip access-group 1 out ／加载ACL到s1/0的出口上以192.168.1.0的源包R6(config-if)#exitR6(config)#access-list 1 deny 192.168.1.0 0.0.0.255 ／标准ACL，阻止192.168.1.0来的包R6(config)#access-list 1 permit any ／标准ACL，允许任何来包R6(config)#测试：PC（IP：192.168.1.2／24 网关：192.168.1.1）ping 220.171.1.1 不通由于ACL阻止了192.168.1.0来的包，要实现内外访问，必须使用NAT转换A:使用使用静态NAT：在内部本地地址和内部全局地址之间建立一对一的映射关系R6#R6#conf tR6(config)#ip nat inside source static 192.168.1.2 220.171.1.3 ／配置静态nat，内部本地地址和内部全局地址做一对一对应R6(config)#interface fa2/0R6(config-if)#ip nat inside ／设置fa2/0接口为内部网络R6(config-if)#interface s1/0R6(config-if)#ip nat outside ／设置s1/0网络为外部网络R6(config-if)#endR6#测试：PC（IP：192.168.1.2／24 网关：192.168.1.1）ping 220.171.1.1通B：使用动态地址转换NAT：在内部本地地址和内部全局地址之间建立动态的映射关系。

一、防火墙地址转换配置步骤（内网经过地址转换访问外网）
:
1，配置防火墙内网接口地址
3，配置防火墙默认网关：
4，在通讯策略里设置防火墙地址转换策略：
源：需要访问的网络目的：需要被访问网络通讯方式：NA T 5，在访问策略里设置允许内网地址访问外网：
策略源：内网（intranet）
策略目的：外网（internet）
策略服务：内网需要访问外网的什么服务端口（例如：网页80端口）
访问控制：允许
二、防火墙地址映射配置步骤（允许外网通过防火墙的地址映射访问内网的一台服务器）1，设置服务器内网地址对象：
2，设置服务器影射后的外网地址对象：
3，在通讯策略里设置地址映射策略：
源：外网（internet）目的：服务器映射外网地址通讯方式：MAP目标机器：服务器内部地址
4，在访问策略里设置允许外网访问内网服务器：
策略源：外网（internet）策略目的：服务器内网地址策略服务：服务端口策略动作：允许。