8.1、网络地址转换
- 前言
- 随着Internet的发展和网络应用的增多,IPv4地址枯竭已经成为制约网络发展的瓶颈。尽快IPv6可以从根本上解决IPv4地址空间不足的问题,但目前众多的网络设备和网络应用仍是基于IPv4的,因此在IPv6广泛应用之前,一些过渡技术的使用是解决这个问题的主要技术手段。
- 网络地址转换技术NAT(Network Address Translation)主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地址,并且多个私网用户可以共用一个公网地址,这样既可保证网络互通,又节省了公网地址
- NAT应用场景
- 企业或家庭所使用的的网络为私有网络,使用的是私有地址;运营商维护的网络为公共网络,使用的是公有地址。私有地址不能在公网中路由
- NAT一般部署在连接内网和外网的网关设备上
- 静态NAT
- 静态NAT实现了私有地址和公有地址的一对一映射
- 一个公网IP只会分配给唯一且固定的内网主机
- 静态NAT数据访问步骤
- 主机A→主机C
- 主机A想要访问位于公网的100.1.1.1/24的地址
- 主机A发送报文
- 源地址:192.168.1.1
- 目的地址:100.1.1.1
- 由于192.168.1.1是一个私网地址,是不能访问公网的。私网地址不能在公网中进行路由
- RTA收到主机A的数据包,RTA对私有地址和公有地址进行一对一的映射,并且在RTA中形成一个映射表。
- 原地址:192.168.1.1
- 映射地址:200.10.10.1
- RTA通过映射表将私有地址映射成公网地址,然后进行路由到达主机C
- 主机C→主机A
- 主机C的数据包到达RTA时,也通过映射将公网地址转换成私网地址,然后去访问主机A
- 主机A→主机C
- 动态NAT
- 动态NAT基于地址池来实现私有地址和公有地址的转换
- 动态NAT转换步骤
- 动态NAT会在RTA上,在NAT服务器上配置一个地址池
- 当内网主机去访问外网主机时,网关RTA会从公网地址池中选择一个没有使用的公网地址,与收到的数据包完成映射
- 地址池
- 地址池选择地址的方式是随机的,只要是未使用的,空闲状态下的地址即可
- 当对应的地址不需要此链接时,对应的地址映射就会被删除,公网地址就会回到地址池中待定
- 当地址池中的地址用尽以后,我们只能去进行等待,等待公有的地址被释放以后,才能再次使用该地址去访问公网
- NAPT
- 网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口
- 主要通过端口进行区分
- 访问步骤
- 内网主机向外网主机发送一个报文
- 源IP地址:192.16.1.1:1025
- 目的IP地址:200.10.10.1:2843
- RTA收到数据包以后,通过内网地址池选择一个空闲的公网地址加端口号来建立表项,然后即可访问外网地址
- 外网地址访问内网地址时,通过RTA中的NAT列表重新将公网地址映射成私网地址,然后发送给主机A
- 内网主机向外网主机发送一个报文
- Easy IP
- Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口
- Easy IP主要是适用于小规模的局域网当中
- NAPT和EasyIP
- 因为NAPT是通过设置地址池
- Easy IP是通过向公网申请获取一个临时的公网地址,然后进行分配
- 访问步骤
- 内网地址想要访问外网地址
- 报文
- 源IP地址:192.168.1.1:1025
- 目的IP地址:100.1.1.1:80
- 报文
- RTA收到数据包后,会建立一个Easy IP的表项,表项中源IP地址和端口号和出接口的公网IP地址形成映射,然后将报文的源IP地址和端口号转换成出接口的源IP地址和端口号。
- RTA将映射后的报文转发到公网上
- 公网地址访问内网地址时,路由器收到回复报文也会查找Easy IP表项,路由表通过该表项将报文的目的地址和端口号转换成私网的源地址和端口号
- 内网地址想要访问外网地址
- NAT服务器
- 通过配置NAT服务器,可以使外网用户访问内网服务器
- 使用NAT技术时,内网用户是可以访问公网用户的。但是默认屏蔽了公网用户不能访问内网用户的需求
- 公网访问内网也是我们的一种需求,而NAT服务器可以实现这个需求。
- 实际过程中,上网时我们可以访问运营商,运营商其实也可以访问我们。如果不能访问我们,我们就无法进行下载数据
- 但是我们需要将配置服务器的私网IP地址和端口号,转换成公网IP地址发布出去
- 公网访问内网也是我们的一种需求,而NAT服务器可以实现这个需求。
- 访问步骤
- 外网主机想要访问私网服务器,发送一个数据包
- 目的IP地址:200.10.10.1:80
- 源IP地址:100.1.1.1:2844
- RTA收到此报文会查找地址转换表项,然后将目的地址进行转换
- 因为我们已经配置好私网IP地址转换为公网IP地址。回复报文时直接转换即可
- RTA转换完成后将数据转发到服务器上
- 外网主机想要访问私网服务器,发送一个数据包
- 静态NAT配置
- 1、进入接口,配置地址。保证底层的连通性
- 2、进入串口配置地址
- 1、配置IP地址
- 2、手动配置外部公网地址和内部地址的映射表
- 配置验证
- 可以看到公网地址和私网地址分别的映射关系
- 动态NAT配置
- 配置步骤
- 1、首先配置一个NAT组
- NAT组的名字是1
- 地址池是200.10.10.1~200.10.10.200
- 2、配置一个ACL
- 允许通过的地址是192.168.1.0网段
- 3、进入RTA外部接口配置NAT
- 只要是被ACL匹配的网段的IP地址都会被映射成地址池的地址,然后转发出去
- 1、首先配置一个NAT组
- 配置验证
- 可以查看到地址池和ACL匹配的规则
- Easy IP配置
- Easy IP也是通过ACL匹配来进行的
- 配置步骤
- 1、创建一个ACL
- 规则是可以匹配到192.168.1.0网段
- 2、RTA的外部接口配置NAT
- 只要是符合ACL允许的网段的就可以进行地址转换
- 1、创建一个ACL
- 配置验证
- 可以查看到匹配规则和地址池
- NAT服务器配置
- 配置步骤
- 1、RTA内部接口和外部接口配置IP地址
- 2、手动指定NAT服务器协议
- TCP的公网地址和私网地址的映射关系
- 配置完成后外部用户就可以通过公网地址和端口来访问内部服务器
- 配置验证
- 可以查看到公网和私网IP地址的映射关系
- 本章总结
- 那种NAT转换允许服务器既能被内部访问又能被外部访问?
- 通过内部访问外部,我们现在学习的方法都可以
- 通过外部访问内部
- 配置NAT服务器
- NAPT有什么功能和特点?
- NAPT主要是基于端口的转换,允许多个内部地址映射到同一个公有地址不同端口上
- 实际上不是基于IP地址的转换,是基于端口的转换
- NAPT主要是基于端口的转换,允许多个内部地址映射到同一个公有地址不同端口上
- 那种NAT转换允许服务器既能被内部访问又能被外部访问?
291
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
