eNSP華為IPv6如何連接伺服器

❶ eNSP模擬實驗-路由器配置NAT網路地址轉換

    在以往的實踐中，筆者在centos中使用防火牆iptables來配置NAT網路地址轉換。VirtualBox中也可以配置NAT網路地址轉換。但是最近接觸到的雲伺服器，有私網IP地址和公網IP地址，公網IP提供外部通信，私網IP可以使用雲上的各種服務。對於大型的網路來說，通過路由器來進行地址轉換可能更加高效。於是筆者在華為的書籍上找了例子來進行配置實踐。

     IPV6可用解決地址短缺的問題，但是無法立刻替換現在成熟且廣泛應用的IPV4。網路地址轉換（NAT）可以延長IPV4的壽命。NAT是將IP數據報文中的頭IP地址轉換成另一個IP地址的過程，主要用於內部網路(私有IP地址)訪問外部網路(共有IP地址)。NAT有三種類型：靜態NAT、動態地址NAT以及網路地址埠轉換NAT。

    NAT轉換設備維護著地址轉換表，所有經過NAT轉換設備並且需要地納知址轉換的報文，都會通過該表做地址轉換。NAT轉換設備處於內部和外部網路的連接處，常見的有路由器、防火牆。

    根據圖示的信息搭建網路。

    在網關路由器AR1上配置訪問外網的默認路由。

    ip route-static 0.0.0.0 0.0.0.0 202.169.10.2

    查看配置好的靜態路由協議。

    由於內網使用的是私有IP地址，員工無法直接訪問公網。現需要在網關路由器上配置NAT地址轉換，將私網地址轉換為公網地址。PC1自身能夠訪問外網，並且需要外網用戶也能夠直接訪問他，分配一個公網IP地址202.169.10.5給PC1做靜態NAT地址轉換。在R1的G0/0/0介面使用nat static命令配置內部地址到外部地址的一對一轉換。

    配置完成後在AR1上查看NAT靜態配置信息。

      在笑殲PC1上ping命令測試與外網的連通性，可以看到靜態NAT已經可以成功訪問外網。

    在路由器碰茄沖的G0/0/0介面上抓包查看NAT地址轉換，AR1成功把來自PC1的ICMP報文的源地址172.16.1.1轉換成公網地址202.169.10.5 。

    在AR2上使用環回地址loopback0模擬外網訪問PC1，測試成功。

        在PC1的E0/0/1介面上抓包觀察，PC1的私網地址被轉換成唯一的公網地址，外網用戶也能訪問PC1。且數據包在經過R1進入內網時，R1把目的IP地址轉為公網地址202.169.10.5對應的私網地址172.16.1.1發給PC1。

    PC2 、PC3都需要訪問外網，網段為172.17.1.0/24 。使用公網地址池202.169.10.50-202.169.10.60 為其做NAT轉換.

    在AR1上使用nat address-group命令配置NAT地址池，設置起始地址202.169.10.50，終止地址202.169.10.60。

    nat  address-group 1  202.169.10.50   202.169.10.60  

    創建ACL2000。

    在AR1的G0/0/0介面下使用nat outbound 命令將acl200和地址池關聯，使得地址池中規定的地址可以使用地址池進行進行地址轉換。並在AR1上查看NAT outbound信息。

    在PC2上測試與外網的連通性成功。

    並在AR1的介面G0/0/0上抓包觀察地址轉換情況。來自PC2的ICMP數據包在AR1的G0/0/0介面上源地址172.17.1.2被替換成地址池中的第一個地址202.17.10.50 。

        由於PC眾多，採用多對多的NAT轉換方式就必須增加公網IP地址池的地址數量。為了節約地址，需要配置多對一的Easy-IP轉換方式實現訪問外網的需求。Easy-IP是NAPT的一種方式，直接借用路由器的介面IP地址作為公網地址，將不同的內部地址映射到同一公網地址的不同埠上，實現多對一地址轉換。

    在AR1的G0/0/0介面上刪除NAT Outbound配置，並使用nat outbound命令配置Easy-IP特性，直接使用介面IP地址作為NA轉換後的地址。

      [AR1]int g0/0/0

      [AR1-GigabitEthernet0/0/0]undo nat outbound  2000 address-group 1 no-pat

      [AR1-GigabitEthernet0/0/0]nat outbound 2000

        配置完成後，在PC2上使用UDP數據包發包工具發送udp數據包到公網地址202.169.20.1，配置好目的IP地址和UDP源、目的埠號後，輸入字元串後發送。

    PC2的配置如下：

        在AR1上查看nat session的詳細信息。可以看到，源地址172.17.1.2的UDP數據包被新源地址202.169.10.1和新源埠10241替換。AR1借用自身G0/0/0介面的公網地址為所有私網地址做NA轉換，使用不同埠號區分不同私網數據。此方式不需要創建地址池，大大節省了地址空間。

    公司內server伺服器提供ftp服務供外網用戶訪問，配置NAT server並使用公網IP地址202.169.10.6對外公布伺服器地址 ，然後開啟nat alg功能。對於封裝在ip數據報文中應用層協議報文，正常的NAT轉換會導致錯誤，在開啟某應用協議的nat alg功能後，該應用協議報文可以正常進行nat轉換，否則該應用協議不能正常工作。

    在AR1的G0/0/0介面使用nat server命令定義內部伺服器的映射表，指定通信協議為tcp，配置伺服器使用公網ip地址202.169.10.6 ，伺服器內網地址為172.16.1.3，指定埠為21，該常用埠號可以直接使用關鍵字「ftp」代替。並在AR1上查看nat server信息。

        查看server配置成效，選擇根目錄並啟動ftpserver 。

    設置伺服器完成後，在AR2上模擬公網用戶訪問私網ftp伺服器。