Сервер NAT — это служба, настроенная на пограничном устройстве сети, которая позволяет пользователям внешней сети получать доступ к службам или хостам во внутренней сети, скрывая при этом реальный IP-адрес внутренней сети. Через сервер NAT службы или узлы внутренней сети могут предоставлять услуги внешней сети, защищая при этом конфиденциальность и безопасность внутренней сети.

Сценарии применения

1. NAT-сервер обычно используется в следующих сценариях:
2. Обеспечить доступ к внутренним сетевым сервисам：Например,Веб-сервер, сервер электронной почты или FTP-сервер во внутренней сети должен предоставлять услуги внешней сети.,Но внутренняя сеть использует частный IP-адрес.,Непосредственный доступ снаружи. По NAT-серверу,Пользователи внешней сети могут получать доступ к сервисам во внутренней сети, используя общедоступные IP-адреса и порты.
3. Скрыть структуру внутренней сети：проходитьNATсервер,Реальные IP-адреса скрыты внутри сети,Предоставляйте только общедоступный IP-адрес NAT-сервера. Это повышает безопасность внутренней сети.,Предотвратите злоумышленникам прямой доступ к хостам внутри сети.
4. Сохраняйте ресурсы общедоступных IP-адресов：потому чтоIPv4Ресурсы адресов ограничены,Использование NATсервера может в определенной степени Сохранять ресурсы общедоступных IP-адреса сопоставляют несколько хостов или служб внутренней сети через общедоступный IP-адрес.

Сервер NAT может выполнять три функции: он обеспечивает удобный доступ к внутренним сетевым службам, таким как веб-серверы, почта и FTP-серверы; он скрывает реальный IP-адрес внутренней сети, повышая безопасность, и может эффективно экономить ресурсы общедоступных IP-адресов; , через один общедоступный IP-адрес сопоставляется с несколькими хостами или службами внутренней сети.

Экспериментальная топология

Для эксперимента требуется доступ к серверному приложению интрасети через публичную сеть.

Предварительная конфигурация

Базовая конфигурация AR1

//Базовый IP-адрес и конфигурация маршрутизации по умолчанию

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 202.96.0.1 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]ip route-static 0.0.0.0 0 202.96.0.2 
[Huawei]

Как показано на картинке

Базовая конфигурация AR2

//Базовая конфигурация IP

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]un in en
Info: Information center is disabled.
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 202.96.0.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 6.6.6.6 24
[Huawei-GigabitEthernet0/0/1]
<Huawei>

IP-адрес интранет-сервера

Клиент общедоступной сети

Конфигурация Nat-сервера

Настройка на интерфейсе G0/0/1 AR1.

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]acl 2001

[Huawei-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2001]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2001


[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global current-interface ww
w inside 192.168.1.2 www
Warning:The port 80 is well-known port. If you continue it may cause function fa
ilure.
Are you sure to continue?[Y/N]:y
[Huawei-GigabitEthernet0/0/1]
<Huawei>

ACL Правила 2001 года
acl 2001
 rule permit source 192.168.1.0 0.0.0.255
Эта конфигурация создает список управления доступом с именем 2001 с разрешающим правилом. Это правило разрешает трафик из подсети 192.168.1.0/24.
Весь трафик проходит.

Правила исходящего трафика NAT
int g0/0/1
nat outbound 2001

Эта конфигурация настраивает интерфейс GigabitEthernet0/0/1 как исходящий NAT, что означает выполнение трансляции NAT для трафика, отправленного с этого интерфейса.
Это правило определяет
ACL 2001 год, так что только ACL Только трафик, разрешенный к 2001 году, будет подвергаться трансляции NAT.
Это означает, что только трафик из подсети 192.168.1.0/24 будет транслироваться NAT как исходящий трафик.

• nat server protocol tcp：Указано для настройкиNATсервер СоглашениеTCP,То есть сопоставляется только TCP-трафик.
• global current-interface ww：globalПосле ключевого слова указывается глобальный адрес, сопоставленный с ним.。current-interface意味着использовать当前接口的IPадрес,иwwозначает, что все интерфейсы, которые будут сопоставлены с текущим интерфейсомIPадрес。Это означает, что все записи в этом интерфейсеTCPТрафик будет сопоставлен с внутреннимсетьконкретный хост на。
• inside 192.168.1.2 www：指定了映射后的内部адрес和端口。192.168.1.2является внутреннимсетьцелевой хост вIPадрес,иwwwэто номер порта,Указывает, что трафик будет перенаправлен на TCP-порт внутреннего хоста.

тест

Клиент общедоступной сети Доступ к интранетусервер

Далее скачиваем его на рабочий стол и открываем текстовый документ

Эксперимент окончен, всем спасибо.