目录
NAT
什么是NAT与其工作原理
NAT是网络地址转换,是用于在本地网络中使用私有地址,在连接互联网时转而使用全局 IP 地址的技术。将内网的IP地址转换为可以通外网的IP地址。缓解可用IP不够用的状况,增强内网的网络安全。作用在路由器或防火墙上。
内网主机访问外网,经过路由器,NAT根据NAT映射表将其源IP地址转化为路由器的IP地址(可连外网),发送到外网服务器,回应时,根据NAT映射表将其回应的目的IP地址转化为内网主机IP地址。
总结:内到外,改源IP地址。外到内改目的IP地址
NAT的种类
静态
每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射。实现本地地址和全局地址的一对一映射,这些映射由网络管理员进行配置。当配置静态 NAT 的设备向互联网发送流量时,内部本地地址会被转换为已配置的内部全局地址,内部全局地址是共有的 IPv4 地址。
一个私网IP对应一个公网IP(没有节约公网IP,浪费资源)
动态
为了避免静态NAT的地址浪费(内网主机长时间离线或者不发送数据时,与之对应的公有地址也处于使用状态),动态NAT提出了地址池的概念:所有可用的公有地址组成地址池。
当数据传输完毕后,路由器将把使用完的内部全局地址放回到地址池中,以供其它内部本地地址进行转换。但是在该地址被使用时,不能用该地址再进行一次转换。
当内网主机使用公网IP地址时,对应的端口标记为“In Use”,停止使用时,收回端口IP地址标记为“Not Use”。
NAPT
因为动态NAPT无法转化端口(还是一对一),无法提高公有网P地址利用效率
NAPT在IP地址转换的同时也会转换对应端口,从而实现公网IP地址通过多端口复用,实现公网和私网之间的N:1
当内网主机需要访问公网设备时,NAT设备从地址池中选取一对空闲的“公网ip地址+端口号”,
根据表项把报文“源ip和源端口”改成“公网ip和端口”后转发出去。
NAT设备收到公网主机的回应报文后,根据其“目的IP地址+目的端口号”查找反向NAPT表项,依据查表结果将报文转换后向私网主机发送。
Easy IP
在实现NAPT的同时,使端口进行随机转化(端口号发生变化),从而进一步提高利用效率。适用于不具备固定公网IP地址场景,通过DHCP,PPPoE拨号获取地址的私有网络出口,可以直接获取到的动态地址进行转换。Easy IP 最大的优点是可以为网络设备自动配置 IP 地址和其他网络参数,降低了管理员的工作量。
(没有地址池)
企业内主要使用的种类
端口映射
直接将内网服务器映射到外网主机的一个端口上,当用户访问外网IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上。
端口映射又称虚拟服务器,当内网使用私有地址时,可通过在路由器上做端口映射,配置内网服务器的IP地址与端口,从而使用内网提供的服务。
配置实验
每个实验前都要配置端口,以下为所有实验端口的基本配置
[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 12.0.0.254 24
静态设置实验
端口与内网IP对应,在路由器端口上启用配置
[Huawei]nat static global 8.8.8.8 inside 192.168.1.10
[Huawei]int g0/0/2
[Huawrei-GigabitEthernet0/0/2]nat atatic enable动态设置实验
端口与内网网段对应,在路由器端口上启用配置
[Huawei]nat static global 8.8.8.8 inside 192.168.1.0 netmark 255.255.255.0
[Huawei]int g0/0/2
[Huawrei-GigabitEthernet0/0/2]nat atatic enable Easy ip 设置实验(重要)
配置acl,允许内网网段IP协议通过,在靠近源的端口启用配置
[Huawei]acl number 3000
[Huawei-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255
[Huawei-acl-adv-3000]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 3000
在g0/0/1抓包显示
1177
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
