NAT-网络地址转换技术,次要用于实现位于外部网络的主机拜访内部网络的性能。当局域网内的主机须要拜访内部网络时,通过 NAT 技术能够将其私网地址转换为公网地址,并且多个私网用户能够共用一个公网地址,这样既可保障网络互通,又节俭了公网地址。
任何公网路由器里的主路由外面都不可能蕴含公有路由,就算有,包也会不来,因为公有地址不能保障全局唯一性,所以在园区网边界部署 NAT 技术。本次试验拓扑如下:
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.10.254 24
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 12.1.1.1 24
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 12.1.1.2 24
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 100.1.1.254 24
[AR1]ip route-static 0.0.0.0 0.0.0.0 g0/0/1 12.1.1.2 //R1须要指定一条缺省路由。
当初R1是能够ping通server的,PC1是不能够ping通 server的,接下来在R1上做动态。
[AR1]int g0/0/1 router //连贯外网的接口
[AR1-GigabitEthernet0/0/1]nat static global 12.1.1.100 inside 192.168.10.1 //设置动态的转换后的共有地址 要转换的公有地址
当初就能够 ping 通了,PC 发包去往 100.1.1.1 的时候,网关是 R1,R1 把源地址转换成 12.1.1.100 发送给 R2,R2 给了 server,server 回包给 R2,R2 进行 12.1.1.100 ARP 申请,R1 给你做了应答之后,发送给 R1,回向转换之后发送给 PC。
能够看到 NAT 地址转换表
R2 有 12.1.1.100 条目, 条目和 12.1.1.1 的截然不同,R2 就是接管回包,会给 R2 接口之 前, 现针对 12.1.1.100 做 ARP 申请,这个申请 R1 给我做了一个应答,所以我的失去一个映射, 其实是发给 R1 的, 抓 R2 的G0/0/1口的包。
源地址是 100.1.1.1,目标 IP 是 12.1.1.100 。再抓PC的回包。
源地址 192.168.10.1,目标 100.1.1.1 。接下来ping测试一下:
发现华为的动态NAT也能够从外到内的被动拜访,这是 Huawei 做的优化,和 Cisco 一样。