NAT地址转换

发表于 | 分类于 |

概念

为了解决IPv4地址短缺的问题,通过内网到外网出口的NAT路由器(有NAT功能的路由器), 将许多的内网IP地址映射为少数的几个外网IP地址,使得内网只有私有地址的计算机也能上网。

过程

  1. 内网PC向外网PC发送请求,途径某出口NAT路由器
  2. 该路由器先查看它自己是公网地址池,取出一条可用的公网地址,将“转换前的源地址和源端口号、转换后的源地址和源端口号”插入地址转换表中,便于外网PC响应时可以原路返回找到那台内网的PC
  3. NAT路由器用新的源地址和源端口号,而目的地址和端口号不变,重新封装报文,再将报文发送出去
  4. 外网PC收到报文后发回应答报文,源地址和源端口号是刚才那条请求报文的目的地址和端口号,目的地址和端口号是NAT路由器封装后的源地址/端口号
  5. NAT收到应答报文,再根据应答报文的目的地址和端口查找地址转换表,再将报文的目的地址和端口改过来,才发送到内网。
  6. 由于应答报文中的目的地址是内网的地址,因此内网中的那台PC能顺利收到应答报文
    这里写图片描述

H3C设置指令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# 建立编号为2001的IPV4基本访问控制列表(Access Control Lists)[R1]acl basic 2001
# 建立允许源地址为10.0.0.*(0.0.0.255为反掩码)的转换规则0
[R1-acl-2001]rule 0 permit source 10.0.0.0 0.0.0.255 
# 建立拒绝其他源地址的转换规则1
[R1-acl-2001]rule 1 deny source any
# 配置地址池1
[R1]nat address-group 1
# 为地址池1添加公网地址192.168.5.5-9
[R1-address-group-1]address 192.168.5.5 192.168.5.9 
# 进入e0/1接口
[R1]inter GigabitEthernet 0/1
# 配置出接口e0/1使用访问控制表2001和地址池1
[R1-GigabitEthernet0/1]nat outbound 2001 address-group 1
[R1-GigabitEthernet0/1]quit
# 配置默认网关,参数分别是目的地址,子网掩码,下一条地址,
# 如果目的地址和子网掩码都是0表示这是一条默认路由,
# 下一条指向网关
[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.5.1

ACL编号的取值范围及其代表的ACL类型如下:
100~199:表示WLAN ACL;
2000~2999:表示IPv4基本ACL;
3000~3999:表示IPv4高级ACL;
4000~4999:表示二层ACL。