Network（四）NAT实现方式与VRRP概述

一  NAT

1  NAT概述

（1）NAT的作用

Network Address Translation，网络地址转换

通过将内部网络的私有IP地址转换成全球唯一的公网IP地址使内部网络可以连接到互联网。

（2）私有IP地址分类

A类	10.0.0.0~10.255.255.255
B类	172.16.0.0~172.31.255.255
C类	192.168.0.0~192.168.255.255

（3）NAT的特性

使用NAT带来的好处

• 节省公有合法IP地址
• 处理地址重叠
• 提高安全

（4）NAT的实现方式

• 静态转换

• Easy IP

2  静态NAT

（1）静态NAT概述

静态转换是指将内部网络的私有地址转换为公有地址时IP地址的对应关系是确定的

静态转换是一对一的转换

静态转换是双向的

（2）静态NAT的配置

按下图所示，在路由器上配置静态NAT使192.168.2.1与192.168.2.2实现外网访问

 步骤一：首先按图配置ip

路由器ip配置：
[Huawei]interface GigabitEthernet 0/0/0                     //进0口
[Huawei-GigabitEthernet0/0/0]ip address 100.0.0.1 8         //配置ip
[Huawei-GigabitEthernet0/0/0]in g0/0/1                      //进1口
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.254  24   //配置ip
[Huawei-GigabitEthernet0/0/1]quitpc1的ip是 192.168.2.1  网关是192.168.2.254
pc2的ip是 192.168.2.2  网关是192.168.2.254
pc3的ip是 100.0.0.10  网关不需要配

 步骤二：然后在路由器配置静态nat，使用nat前要进入外网接口

[Huawei-GigabitEthernet0/0/0]nat static global 100.0.0.2 inside 192.168.2.1  //使用静态nat技术，将内部的2.1与外部的公网地址100.0.0.2进行相互

转换然后测试使用192.168.2.1 ping 100.0.0.10可以互通说明地址转换成功

如果配置错误可以用undo删除，比如：
undo nat static global 100.0.0.2 inside 192.168.2.4
[Huawei-GigabitEthernet0/0/0]nat static global 100.0.0.3 inside 192.168.2.2  //可以通过上述方案让2.2也实现外网的访问，利用的公网地址是100.0.0.3

3  Easy IP

EasyIP允许多个内部地址使用一个公网ip

Easy IP的配置

继续使用上图，在路由器配置easy ip，让所有的内部主机仅仅利用唯一的一个公网地址100.0.0.1访问外网

删除已有的静态nat
[Huawei-GigabitEthernet0/0/0]undo nat static global 100.0.0.3 inside 192.168.2.2 
[Huawei-GigabitEthernet0/0/0]undo nat static global 100.0.0.2 inside 192.168.2.1[Huawei]acl 2000   //通过acl定义允许访问外网的设备
[Huawei-acl-basic-2000]rule permit source any   //这里放行所有设备，如果将any换成192.168.2.0 0.0.0.255则是仅仅允许2.0网段的设备访问外网
[Huawei-acl-basic-2000]in g0/0/0                //进入0接口(外网接口)
[Huawei-GigabitEthernet0/0/0]nat outbound 2000  //应用nat (easy ip方式)

二  VRRP

1  VRRP概述

（1）单网关的缺陷

当网关路由器出现故障时，本网段内以该设备为网关的主机都不能与其他网络进行通信

（2）多网关存在的问题

通过部署多网关的方式实现网关的备份

存在的问题

• 网关间IP地址冲突
• 主机会频繁切换网络出口

（3）VRRP定义与原理

VRRP定义

VRRP是虚拟路由冗余协议

VRRP能够在不改变组网的情况下，将多台路由器虚拟成一个虚拟路由器，通过配置虚拟路由器的IP地址为默认网关实现网关的备份
 

VRRP原理 

（4）VRRP组成员

• 主(Master)路由器
• 备份 (Backup)路由器
• 虚拟 (Virtual) 路由器

如果打算将某个设备定义为主：
in vlan 1
vrrp vrid 1 priority 105   //修改vrrp优先级，默认值是100，越高越优先成为主

2  VRRP配置

在三层交换机配置VRRP产生一个虚拟网关192.168.1.254为vlan1的设备使用，实验拓扑如下图所示。

步骤一：pc配置ip

pc1的ip是 192.168.4.1 网关是192.168.4.254

pc2的ip是 192.168.1.1 网关是192.168.1.254

步骤二：第一台三层交换机配置

[Huawei]sysname sw1                 //修改主机名为sw1    
[sw1]undo info-center enable        //关闭日志
[sw1]in vlan 1  //进入vlan1
[sw1-Vlanif1]ip add 192.168.1.252 24  //配置ip
[sw1]vlan 2    //创建vlan2
[sw1-vlan2]in vlan 2   //进入vlan虚拟接口
[sw1-Vlanif2]ip add 192.168.2.2 24  //配ip
[sw1-Vlanif2]in g0/0/2  //进入要配ip的接口
[sw1-GigabitEthernet0/0/2]port link-type access
[sw1-GigabitEthernet0/0/2]port default vlan 2另外一台s5700        
<Huawei>sys
[Huawei]sysname sw2
[sw2]undo info-center enable 
[sw2]in vlan 1
[sw2-Vlanif1]ip add 192.168.1.253 24
[sw2]vlan 3            //创建vlan3
[sw2-vlan3]in vlan 3   //进入vlan虚拟接口
[sw2-Vlanif3]ip add 192.168.3.2 24  //配ip
[sw2-Vlanif3]in g0/0/2  //进入要配ip的接口
[sw2-GigabitEthernet0/0/2]port link-type access
[sw2-GigabitEthernet0/0/2]port default vlan 3

步骤三：路由器配置ip

<Huawei>system-view
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.2.1 24
[Huawei-GigabitEthernet0/0/0]in g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.3.1 24
[Huawei-GigabitEthernet0/0/1]in g0/0/2
[Huawei-GigabitEthernet0/0/2]ip address 192.168.4.254 24

步骤四：分别在路由器与三层交换机上配置ospf

[Huawei]ospf    //在路由器配置ospf
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255[sw1]ospf       //在sw1配置ospf
[sw1-ospf-1]area 0
[sw1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255[sw2]ospf      //在sw2配置ospf
[sw2-ospf-1]area 0
[sw2-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[sw2-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255

步骤五：在两台三层交换机配置vrrp

[sw1]in vlan 1  //vrrp需要在接口中配置，进入vlan接口
[sw1-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254  //开启vrrp功能，组号是1，虚拟设备的ip是1.254[sw2]in vlan 1   //另外这台设备配置一样的内容
[sw2-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254
[sw2-Vlanif1]display this  //查看当前视图配置
<sw1>display vrrp brief   //分别在两台三层交换机查看vrrp状态，看到一台是Master一台是backup即可

3  网络负载均衡

组建如下图拓扑结构，通过配置VRRP实现负载均衡的效果

 

首先按图组建拓扑

pc1的ip是192.168.1.1 网关是192.168.1.254

pc2的ip是192.168.2.1 网关是192.168.2.254

pc3的ip是192.168.1.2 网关是192.168.1.254

pc4的ip是192.168.2.2 网关是192.168.2.254

所有交换机依次改名为sw1~sw4并且都要创建vlan2

然后将所有交换机之间的接口都配置成tunk中继链路

第1台s5700配置：
[Huawei]sysname  sw1
[sw1]vlan 2
[sw1-vlan2]quit
[sw1]port-group 1    //创建接口组，组号是1
[sw1-port-group 1]group-member gigabitethernet 0/0/1 to gigabitethernet 0/0/3  
//添加组成员，从g0/0/1到g0/0/3一共3个接口
[sw1-port-group 1]port link-type trunk   //将这些接口配置为中继链路
[sw1-port-group 1]port trunk allow-pass vlan all    //放行所有vlan 的数据
第2台s5700配置：
[Huawei]sysname  sw2
[sw2]vlan 2
[sw2-vlan2]quit
[sw2]port-group 1    //创建接口组，组号是1
[sw2-port-group 1]group-member gigabitethernet 0/0/1 to gigabitethernet 0/0/3  
//添加组成员，从g0/0/1到g0/0/3一共3个接口
[sw2-port-group 1]port link-type trunk   //将这些接口配置为中继链路
[sw2-port-group 1]port trunk allow-pass vlan all    //放行所有vlan 的数据
第1台s3700配置：
[Huawei]sysname  sw3
[sw3]vlan 2
[sw3-vlan2]quit
[sw3]port-group 1    //创建接口组，组号是1
[sw3-port-group 1]group-member ethernet 0/0/1 to ethernet 0/0/2  
//添加组成员，从e0/0/1到e0/0/2一共2个接口
[sw3-port-group 1]port link-type trunk   //将这些接口配置为中继链路
[sw3-port-group 1]port trunk allow-pass vlan all    //放行所有vlan 的数据
[sw3-port-group 1]quit
[sw3]interface ethernet 0/0/4
[sw3-Ethernet0/0/4]port link-type access
[sw3-Ethernet0/0/4]port default vlan 2     //将4口加入vlan2
第2台s3700配置：
[Huawei]sysname  sw4
[sw4]vlan 2
[sw4-vlan2]quit
[sw4]port-group 1    //创建接口组，组号是1
[sw4-port-group 1]group-member ethernet 0/0/1 to ethernet 0/0/2  
//添加组成员，从e0/0/1到e0/0/2一共2个接口
[sw4-port-group 1]port link-type trunk   //将这些接口配置为中继链路
[sw4-port-group 1]port trunk allow-pass vlan all    //放行所有vlan 的数据
[sw4-port-group 1]quit
[sw4]interface ethernet 0/0/4
[sw4-Ethernet0/0/4]port link-type access
[sw4-Ethernet0/0/4]port default vlan 2     //将4口加入vlan2三层交换机配置ip
[sw1]in vlan 1     //第一台三层交换机
[sw1-Vlanif1]ip address  192.168.1.252 24  //配置ip
[sw1-Vlanif1]in vlan 2
[sw1-Vlanif2]ip address 192.168.2.252 24     
[sw2]in vlan 1    //第二台三层交换机
[sw2-Vlanif1]ip address 192.168.1.253 24   //配置ip
[sw2-Vlanif1]in vlan 2
[sw2-Vlanif2]ip address 192.168.2.253 24配置VRRP，实现vrrp负载均衡要做到sw1 vlan1 主 vlan2 备
sw2 vlan1 备 vlan2 主
[sw1]in vlan 1     //第一台三层交换机
[sw1-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254   //在sw1配置vrrp 
[sw1-Vlanif1]vrrp vrid 1 priority 105   //设置优先级称为vlan1的主
[sw1]in vlan 2 
[sw1-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.254   //开启vrrp功能
[sw2]in vlan 1    //第二台三层交换机
[sw2-Vlanif1]vrrp vrid 1 virtual-ip 192.168.1.254  //开启vlan1的vrrp
[sw2-Vlanif1]in vlan 2
[sw2-Vlanif2]vrrp vrid 2 virtual-ip 192.168.2.254
[sw2-Vlanif2]vrrp vrid 2 priority 105    //为vlan2的vrrp设置优先级
配置完毕后使用display vrrp brief 检查，每个5700的vrrp是一主一备即可