NAT实现外网Telnat内网Server
知识点
网络地址转换===》节约公网IP地址!
NAT技术目的是不是就为了节约公网IP?
为了安全性!———其次:同时解决公网IP地址!
安全环境:可以被人随时访问到的环境!————内网服务器
存在的问题:
P1、P2、P3经过GW设备转换为公网地址访问百度,因为转换后的地址都是100.1.1.2,所以在百度给100.1.1.2回包后,网关设备会不知道将包转发给哪一台PC。可能会将PC1的包发给PC2,PC2的包发给PC3,这个时候就要解决这个问题了。
解决方法就是,基于端口标识符进行包的转发。
NAT转换表
PC1 | 192.168.1.2:10 | 100.1.1.2:10 |
---|---|---|
PC2 | 192.168.1.3:10 | 100.1.1.2:11 |
PC3 | 192.168.1.4:10 | 100.1.1.2:12 |
1.比如端口能不能使用重复的?
地址不同 端口一样无所谓 转换出去 地址相同 端口不能一样
2.有没有可能端口号占没了?
一台电脑可能占用多个端口的 同一时间有很多电脑的时候,但是后续没有数据在经过了—倒计时60s—条目自动取消 端口就会释放!
拓扑图
实验步骤
1.配置ip地址,实现个网段互通
[Server]int GigabitEthernet 0/0/0
[Server]ip address 192.168.1.1 255.255.255.0
[GW]int GigabitEthernet 0/0/0
[GW]ip address 192.168.1.2 255.255.255.0
[GW]int GigabitEthernet 0/0/1
[GW]ip address 10.1.1.2 255.255.255.0
[DianXin]int GigabitEthernet 0/0/0
[DianXin]ip address 10.1.1.1 255.255.255.0
2.实现内外网互通
[GW]acl 2000
[GW-acl-basic-2000]rule 5 permit any ---允许任意ip访问
[GW-acl-basic-2000]quit
[GW]int GigabitEthernet 0/0/1 ---进入网关设备的出接口的接口视图
[GW-GigabitEthernet0/0/1]nat outbound 2000 ---给nat挂接acl2000
3.Server尝试Ping通电信10.1.1.1
显示连接超时
原因:使用路由器来实现Server功能,所以AR1不知道网关是谁
解决方案:添加一条去往外网的静态路由,下一条就是AR1的网关地址
[Server]ip route-static 0.0.0.0 0.0.0.0 192.168.1.2
4.再次Ping成功。
5.设置telnet登录的密码
[Server]user-interface vty 0 4
[Server-ui-vty0-4]set authentication password cipher 123
[Server-ui-vty0-4]quit
[GW]user-interface vty 0 4
[GW-ui-vty0-4]set authentication password cipher 123
[GW-ui-vty0-4]quit
6.在外网telnet10.1.1.2
<DianXin>telnet 10.1.1.2
Press CTRL_] to quit telnet mode
Trying 10.1.1.2 ...
Connected to 10.1.1.2 ...
Login authentication
Password:
<GW>
可以发现这个时候telnet登录的设备是GW,而不是Server。这就是因为10.1.1.2是网关设备的接口ip,在远程登录时自然就登录累GW。
那要怎么实现Telnet登录内网Server呢???
7.进入网关设备的出接口GE0/0/1,配置nat Server
[GW-GigabitEthernet0/0/1]
nat server protocol tcp global current-interface telnet inside 192.168.1.1 telnet
协议 全部的 当前接口 进
这条命令的意思是
所有通过TCP传输协议进入当前接口(GE0/0/1)的telnet远程登录都将IP地址转化为192.168.1.1这一地址
8.那么又要怎么实现既可以登录网关设备,又可以登录Server呢
[GW-GigabitEthernet0/0/1]
nat server protocol tcp global current-interface 8888 telnet inside 192.168.1.1 telnet
添加了一个端口ID,这样在telnet 10.1.1.2时在后面加上8888,才能进入Server
<DianXin>telnet 10.1.1.2
Press CTRL_] to quit telnet mode
Trying 10.1.1.2 ...
Connected to 10.1.1.2 ...
Login authentication
Password:
<GW>exit
<DianXin>telnet 10.1.1.2 8888
Press CTRL_] to quit telnet mode
Trying 10.1.1.2 ...
Connected to 10.1.1.2 ...
Login authentication
Password:
<Server>exit