Linux运维之路


华为HCNP_19 多种NAT配置与上网认证配置

admin 2019-06-12 388浏览 0条评论
首页/正文
分享到: / / / /

NAT简介

随着Internet的飞速发展和网络应用的增多,IPv4地址枯竭已经成为制约网络发展的瓶颈,尽管ipv6可以从根本上解决ipv4地址空间不足的问题,但目前众多的网络设备和网络应用仍然是基于ipv4的,因此在ipv6广泛应用之前,一些过度技术的使用是解决这个问题的基本手段

什么是NAT?

NAT(Network Address Translation,网络地址转换)

主要用于实现内部网络的主机访问外部网络的功能,当局域网内主机需要访问外部网络的时候,通过NAT技术

可以将私网地址转换为公网地址,这样可以保证网络互通,还节省了公网地址。

ipv4地址个数: 2^32=42.9亿

1. 静态NAT

拓扑:

基本配置:

PC1:

PC2:

server2:

Client1:

server1:

R1配置:

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1] ip address 12.1.1.1 255.255.255.248   #[买来的地址一般是1组 6个 运营商用一个 你5个]

R2配置

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 12.1.1.6 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 9.9.9.1 24
[Huawei-GigabitEthernet0/0/0]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 8.8.8.1 24

静态NAT

静态NAT 一对一 转换,常用于单个内网地址转换为公网地址

R1:静态路由配置:

静态nat转换配置:
[Huawei]int g0/0/0] nat static global 12.1.1.2 inside 192.168.1.2 netmask 255.255.255.255

配置完成后,当192.168.1.2访问外部网络的时候会被转换成  12.1.1.2 

此时PC1 (192.168.1.2) 已经可以访问百度了

pc1 ===> 9.9.9.9

原理:

当PC1访问外部网络的时候 数据包到达R1 会被转换为 公网地址,当数据成功获取并且返回给PC1

数据包会被转为内部地址传输给PC1,此时nat 会话会产生一条缓存记录,通过 dis nat session all 来查看

NAT转换抓包截图:

静态NAT缺点

静态NAT缺点明显,它属于一对一的转换,有多少内网地址就需要多少公网地址来实现上网功能

静态NAT优点: 可以直接在外网通过访问公网地址来获取内网PC信息。如服务器使用的公网IP,如果服务器上有服务,可以直接通过该IP访问。

2. Easy ip NAT (多对一 nat outbound)

还是原来的拓扑图,只是NAT模式更改为 easy nat:

R1配置:

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1] ip address 12.1.1.1 255.255.255.248   #[买来的地址一般是1组 6个 运营商用一个 你5个]

R2配置:

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 12.1.1.6 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 9.9.9.1 24
[Huawei-GigabitEthernet0/0/0]int g0/0/2
[Huawei-GigabitEthernet0/0/2]ip add 8.8.8.1 24

PC配置

如前面的图配置

R1 easyNAT 关键配置:

注意acl用来匹配范围的时候就没有拒绝所有了

<Huawei> sysn
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]undo nat static global 12.1.1.2 inside 192.168.1.2 
netmask 255.255.255.255



配置esay nat:
  使用acl匹配范围:
  [Huawei]acl 2000
  [Huawei-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255  【配置哪些回被转换的网段,如果匹配所有可以写成 0.0.0.0 0.0.0.255】
  
调用acl 2000 到接口:
  [Huawei-acl-basic-2000]int g0/0/1
  [Huawei-GigabitEthernet0/0/1]nat outbound 2000
  
注意:如果要使用所有人都能上网可以把acl写成:
  [Huawei-acl-basic-2000]rule  permit source 192.168.1.0 0.0.0.255 
  
  注意:这里可以将多个网段转换为公网IP,一个接口可以允许65535 同时转换为 外网地址。

配置完成后192.168.1.0网段 就可以访问到外部网络了:

easy NAT配置要点

easy NAT 记住两步:

  1. 配置 acl 定义需要转换的网段
  2. 定义好的acl 需要放置在路由的出口接口中
  3. 出口别忘记配置ip地址

原理:

数据包在出外网的时候,路由器会基于源端口,将报文进行相应的地址转换,并将相应的映射记录缓存起来

当报文回来的时候,会基于端口来区分不同的PC

3. 地址池方式NAT

上图一样的。配置图,拿掉 nat配置 重新配置 地址池方式

R1 定义 公网 地址池[公网地址池不可以包含出口接口IP地址,否则报错冲突]

[Huawei] nat address-group 1 12.1.1.2 12.1.1.3

12.1.1.1被应用在了出接口 所以不能配置到 这个组里。否则应用到接口会报错。

查看:

[Huawei]dis nat address-group 1

 NAT Address-Group Information:
 --------------------------------------
 Index   Start-address      End-address
 --------------------------------------
 1            12.1.1.2         12.1.1.3
 --------------------------------------
 
 如果你配置包含了 出口IP 那就用 undo nat address-group 1  来取消这个组 重新创建
 [Huawei] nat address-group 1 12.1.1.2 12.1.1.3 

创建和出接口调用ACL匹配允许被转换的网段转换为 公网地址池

[Huawei]acl 2010
[Huawei-acl-basic-2010]rule 5 permit source 192.168.1.0 0.0.0.255 

应用在路由器出接口

[Huawei] int g0/0/1
[Huawei-GigabitEthernet0/0/1] nat outbound 2010 address-group 1   --##将 group 1 和 acl 2010 定义在 outbound 方向。

通过ping命令来检查地址池被使用的情况:

4. NAT server(端口映射,公司常用)

取消之前的NAT配置

[Huawei]undo acl 2000

映射80端口到公网去:

外网口配置:
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.5 www inside 
192.168.1.200 www

这是将内部服务器 192.168.1.200  80端口映射为公网地址 12.1.1.5 的 80 端口

我们把内部的 server启动起来尝试在外部访问

启动后通过外部进行访问该服务器:

Client1 访问 server

看到这个代表80访问正确。 错误的情况是啥也没有。

查看映射表:

可以看到 被映射的地址是 12.1.1.5 访问者是 8.8.8.8

配置无误

nat server使用场景

将武器放置防火墙或路由器的后端,通过端口映射方式映射到公网 实现业务的正常访问

这样会让服务器更加安全有保障

5. 点到点 拨号上网配置(二层链路封装形式)

ppp 二层封装【目前仅用于医保财务专线】ppp认证

实验请使用 AR2220路由器进行

打开AR2220路由器配置界面 添加 2SA模块:

拖上去 点 开关按钮

启动后在添加一条线缆用于做认证:

注意,启动后配置了地址 线缆才会变成绿色

AR3配置:

[Huawei]interface Serial4/0/0
[Huawei-Serial4/0/0]ip address 12.1.1.1 255.255.255.0 

[Huawei-Serial4/0/0]dis this     #检查
[V200R003C00]
#
interface Serial4/0/0
 link-protocol ppp
 ip address 12.1.1.1 255.255.255.0 
#
return

AR4配置:

[Huawei]interface Serial4/0/0
[Huawei-Serial4/0/0] ip address 12.1.1.4 255.255.255.0 
[Huawei-Serial4/0/0]dis this
[V200R003C00]
#
interface Serial4/0/0
 link-protocol ppp
 ip address 12.1.1.4 255.255.255.0 
#
return

测试ping :
[Huawei-Serial4/0/0]ping 12.1.1.1
  PING 12.1.1.1: 56  data bytes, press CTRL_C to break
    Reply from 12.1.1.1: bytes=56 Sequence=1 ttl=255 time=230 ms
    Reply from 12.1.1.1: bytes=56 Sequence=2 ttl=255 time=30 ms
    Reply from 12.1.1.1: bytes=56 Sequence=3 ttl=255 time=20 ms
    Reply from 12.1.1.1: bytes=56 Sequence=4 ttl=255 time=20 ms
    Reply from 12.1.1.1: bytes=56 Sequence=5 ttl=255 time=20 ms

  --- 12.1.1.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 20/64/230 ms

抓包查看 :

ppp认证:

广域网中经常会使用串行链路来提供远距离的数据传输,高级数据链路控制 HDLC9(High-Level Data Link Control) 和点对点协议 PPP (Point to Point Protocol) 是两种典型的串口封装协议

不过这两种专线都用的比较少了,但是都需要懂

PAP认证 (两次握手,明文认证) ppoe目前用的就是pap认证方式

拓扑:

R1:服务端

[R1]aaa
[R1-aaa]local-user leilei password cipher 123      # 创建用户
[R1-aaa]local-user leilei service-type ppp         # 用户类型为 ppp 
[R1-Serial4/0/0]pp authentication-mode pap         # 启用认证

R2: 客户端

[R2]int s4/0/0
[R2-Serial4/0/0]ppp pap local-user leilei password simple 123

配置完成后接口会变成 up

CHAP认证

CHAP认证最大的优点不同于PAP认证,CHAP密码会被加密,并且使用三次握手。

CHAP配置

实验配置和上面实验配置一样 只是要改为 chap认证

在 R1 路由器中:
取消pap认证:
[R1-Serial4/0/0]undo ppp pap local-user 

R2配置:

3A认证可以保留 如果没有保留请配置:
[R1]aaa
[R1-aaa]local-user leilei password cipher 123      # 创建用户
[R1-aaa]local-user leilei service-type ppp         # 用户类型为 ppp 
[R1-Serial4/0/0]ppp authentication-mode chap         # 启用认证

取消之前配置的pap 如果没有配 直接往下看
取消pap配置:
[R2-aaa]int s4/0/0
[R2-Serial4/0/0]undo  ppp authentication-mode 

更改为3A认证 
[R1]aaa
[R1-aaa]local-user leilei password cipher 123      # 创建用户
[R1-aaa]local-user leilei service-type ppp         # 用户类型为 ppp 

接口下启用ppp chap认证
[R2-aaa]int s4/0/0
[R2-Serial4/0/0]ppp authentication-mode chap

R1配置:

R1是被认证方 它需要知道这个用户名和密码 进行连接认证
配置:
[R1]int s4/0/0
[R1-Serial4/0/0]ppp chap user leilei              #配置用户
[R1-Serial4/0/0]ppp chap password cipher 123      #配置密码

验证:

接口下 shutdown 然后再 undo shudown 来抓包查看重新认证是否正确

抓包:

帧中继 (feame relay) [HCIE考试不再考这个知识了]

最后修改:2019-06-12 23:18:43 © 著作权归作者所有
如果觉得我的文章对你有用,请随意赞赏
扫一扫支付

上一篇

发表评论

评论列表

还没有人评论哦~赶快抢占沙发吧~