目的NAT————静态NAT(公网地址和私网地址一对一映射)

已于 2023-11-16 17:29:32 修改
阅读量597 收藏 1
点赞数
分类专栏: 华为防火墙 文章标签: php 网络 服务器
于 2023-11-16 16:45:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zj2059129607/article/details/134445176
版权

静态目的NAT

静态目的NAT是一种转换报文目的IP地址的方式,且转换前后的地址存在一种固定的映射关系。

通常情况下,出于安全的考虑,不允许外部网络主动访问内部网络。但是在某些情况下,还是希望能够为外部网络访问内部网络提供一种途径。例如,公司需要将内部网络中的资源提供给外部网络中的客户和出差员工访问。

基于NAT策略的静态目的NAT工作原理如图1所示。

图1 基于NAT策略的静态目的NAT工作原理示意图

如图1所示,当Host访问Server时,FW的处理过程如下:

  1. FW收到Internet上用户访问1.1.1.10的报文的首包后,将匹配NAT策略的报文的目的地址进行转换。
  2. FW选择一个私网IP地址,替换报文的目的地址,同时可以选择使用新的端口替换目的端口号或者端口号保持不变。公网地址与私网地址一对一进行映射的场景下,公网地址与目的地址池地址按顺序一对一进行映射,FW从地址池中依次取出私网IP地址,替换报文的目的地址。
  3. 报文通过安全策略后,FW建立会话表,然后将报文发送至内网服务器。
  4. FW收到Server响应Host的报文后,通过查找会话表匹配到3中建立的表项,用原Host报文的目的地址(1.1.1.10)替换Server的IP地址(192.168.1.2),然后将报文发送至Host。
  5. 后续Host继续发送给Server的报文,FW都会直接根据会话表项的记录对其进行转换。

为了兼容V500R003C00之前版本的NAT,保留了NAT server。NAT Server会生成Server-map表,并通过Server-map保存地址转换前后的映射关系。与NAT Server不同,基于NAT策略的静态目的NAT不会产生Server-map表。但如果转换前的地址没有变化,转换后的目的地址也不会改变,转换前后的目的依然会存在固定的映射关系。FW在进行地址转换的过程中还可以选择是否多个地址转换为同一个目的地址,是否选择端口转换,以满足不同场景的需求。NAT Server相关配置举例请参考配置NAT Server。

实验拓扑

将接口加入防火墙区域

[LW1]firewall zone dmz 
[LW1-zone-dmz]dis th
2023-11-16 08:34:51.640 
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet1/0/1
#
return
[LW1-zone-dmz]q
[LW1]firewall zone untrust 
[LW1-zone-untrust]dis th
2023-11-16 08:35:03.680 
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
#
return

 配置防火墙安全策略允许私网指定网段与Internet进行报文交互。

security-policy
 rule name u_t_d
  source-zone untrust
  destination-zone dmz
  destination-address 172.16.10.0 mask 255.255.255.0
  action permit
#
return

 配置NAT地址池

destination-nat address-group group1 0
 section 172.16.10.1 172.16.10.2
#

 NAT策略实现私网指定网段访问Internet时自动进行源地址转换。

nat-policy
 rule name nat1
  source-zone untrust
  destination-address range 1.1.10.10 1.1.10.11
  service ftp
  service http
  action destination-nat static address-to-address address-group group1
#

 配置报文目的地址的黑洞路由,以防路由环路。

[FW] ip route-static 1.1.10.10 255.255.255.255 NULL0 
[FW] ip route-static 1.1.10.11 255.255.255.255 NULL0

 配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。

[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

R1路由器配置到公网地址的静态路由,使得去服务器的流量能够送往FW。

[R]ip route-static 1.1.10.10 32 1.1.1.1
[R]ip route-static 1.1.10.11 32 1.1.1.1

实验结果 

外网客户机拿到ftp服务器的文件

IT_浣熊
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
天融信防火墙NAT地址映射配置步骤
10-22
天融信防火墙NAT地址映射配置步骤,需要仔细研究
NAT地址映射的4种类型.pptx
01-04
全锥形NAT有点类似于静态NAT,不同之处在于它不需要任何额外的配置,也不需要重启路由器或更改IP地址。 2. 地址受限锥形NAT 地址受限锥形NAT除了与源IP和源端口相关外,还与目的IP有关。内网主机主动连接的公网IP...
CCNA7:ACL、NAT一对一、一对多、多对多)、端口映射、远程登录
Student_xx的博客
05-23 1359
CCNP9:重发布技术+路由策略如果只是这样晦涩的一说,我觉得还不是很好理解,接下来我用个小实验为大家深刻讲解一下,这个实验。
NAT的类型与配置(学习笔记)
qq_50981675的博客
02-27 1万+
一、NAT的类型 1、静态NAT 静态NAT是指在路由器中,将内网IP地址固定地转换为外网IP地址,通常应用在允许外网用户访问内网服务器的场景中。 2、动态NAT 动态NAT指将一个内部IP地址转换为一组外部IP地址池中的一个IP地址(公有IP地址)。动态NAT静态NAT地址转换上很相似,只是可用的公有IP地址不能被某个私有网络的计算机永久独自占有。 3、动态NAPT 动态NAPT指以IP地址及端口号(TCP或UDP)为转换条件,将专用网络的内部私有IP地址及端口号转换成外部公有IP地址及端口号 4、静
NAT-基础知识及静态NAT
最新发布
little_startoo的博客
04-10 1336
NAT-基础知识及静态NAT
思科:静态nat的配置
qq_59718828的博客
12-09 1万+
一、拓扑图 二、三台pc的配置 1、三、路由器的配置 Router>en Router#config t Router(config)#int fa0/0 Router(config-if)#ip add 192.168.1.1 255.255.255.0 Router(config-if)#no shut Router(config-if)#int fa0/1 Router(config-if)#ip add 200.1.1.1 255.255.255.0 Router.
九、常用网络协议与应用——静态NAT、动态NAT、NAPT、Easy ip NATNAT server
积累
04-04 1755
网络地址转换技术NAT(Network Address Translation)主要用于实现位于内部网络的主机访问外部网络的功能。
企业级路由器应用:一对一NAT应用
houjinan的专栏
05-10 941
本文适用于TL-ER6120 V1.0、TL-ER6110 V1.0、TL-ER5120 V1.0、TL-ER5110 V1.0、TL-ER5520G V1.0、TL-ER5510G V1.0、TL-ER5210G V1.0、TL-R473 V3.0、TL-R483 V3.0、TL-R478 V4.0、TL-R478+ V5.0、TL-WVR300 V1.0) 企业路由器中的“NAT映射”指
静态NAT
weixin_45857582的博客
02-09 5119
静态NAT: 网络地址转换 将局域网内的私有IP转换成可以访问公网的共有IP地址,网关设备有少量的公有IP地址静态NAT:一个私有IP地址固定对应一个公网IP地址公网IP地址需要申请。地址一对一的,只适合部署在特定的主机上。 只能让少量用户上网,不能解决公网IP地址短缺的问题 静态NAT是双向转换,外网可以访问内网,内网可以访问外网 ​ 网络实验结构: 本实验要达到的目标是: 内网主机访问外网服务器时,源地址使用的是公网的IP地址, 外网服务器使用映射出去的公网地址就可以访问内网特定的主机。
三张图解释静态NAT、动态NAT、PAT
networktp的博客
01-27 6659
介绍 定义:NAT网络地址转换,Network Address Translations。 IPv4地址分类: IP地址分为公网IP和私网IP 公网IP只能在公网上使用 私网IP只能在内网中使用 公网上不允许出现私有IP地址 私网IP可以重复在内网使用 私有IP地址范围: 1)10.0.0.0/8 2)172.16.0.0/16 - 172.31.0.0/16 3)192.168.0.0/16 NAT主要实现公私有IP地址的转换,一般是路由器或者防火墙上来完成。 原理 看上面这张图,192.168访
思科网络中如何进行静态NAT配置
2201_75693008的博客
03-12 4540
根据每台PC机所处的位置配置地址,这里可以统一给他们的地址为.1 / .2(每个IP网段共有254个地址是可以分配给PC机的,分别是第1~254,IP地址中的第一个地址.0是网络地址(保留地址),IP网段的最后一个地址.255是广播地址(保留地址)PC0:192.168.1.1(IP地址),255.255.255.0(子网掩码)Server0:192.168.1.2(IP地址),255.255.255.0(子网掩码)PC1:200.1.1.1(IP地址),255.255.255.0(子网掩码)PC1:200
ACL访问控制配置演示,静态和动态NAT,NAPT地址转换配置简介
树下一少年的博客
04-21 1985
一.ACL访问控制 1.ACL功能和特点 (1)功能 (2)特点 2.ACL种类 (1)基础ACL: (2)增强ACL: 3.配置演示 (1)基础ACL: (2)增强ACL: 二.NAT地址转换 1.类型介绍 (1)一对一 (2)一对多 (3)多对多 2.功能 (1)将大量的私有地址转换为公有地址(节约IP地址) (2)将一个IP地址转换为另一个IP地址(增加内部网络设备的安全性) 3.缺陷: (1)很消耗网络设备资源 (2)破坏数据端到端传输,安全策略实施受限 4
静态NAT、动态NAT、PAT(端口多路复用)之间的区别
xtggbmdk的博客
04-11 1万+
静态NAT、动态NAT、PAT(端口多路复用)的配置 经验总结: 静态转换(statictranslation)将内部网络的私有IP地址转换为公有合法IP地址。IP地址的对应关系是一对一的,而且是不变的。 动态转换(dynamictranslation)指将内部私有IP转换为公网IP地址时,IP的对应关系是不确定的。也就是说只要指定哪些内部地址可以进行NAT转换,以及哪些可以的合法...
实验:使用静态NAT对外发布公司官网.docx
11-12
3. 掌握如何配置静态NAT,确保内部服务器公网映射正确无误。 实验原理: 私有IP地址,如192.168.1.1,是不被Internet路由的,因此需要通过静态NAT将其映射公网IP地址,例如16.16.16.1,以便外部用户可以访问。...
NAT配置 网络地址转换NAT详解指南.zip
02-11
1. 静态NAT:内部网络的私有IP地址被永久映射公网IP地址,提供一对一的转换,适用于需要从外部网络直接访问的服务器。 2. 动态NAT:内部网络的私有IP地址被随机映射到一组公网IP地址池中,提供一对多的转换,适用...
9.8-静态NAT ensp工程文件
04-23
静态NATNAT的一种类型,它按照预定义的规则,将内部网络中的特定私有IP地址一对一映射公网上的静态公有IP地址。这种映射关系是固定的,不会改变,因此得名“静态”。 ENSPI(Enterprise Network Simulation ...
NAT实验1--静态NAT
u013434525的博客
12-24 396
Huawei]nat static global 11.1.1.2 inside 192.168.1.2 //一对一。[Huawei-GigabitEthernet0/0/1]nat static enable //出接口开启才能生效。
华为eNSP:静态NAT、动态NAT、端口NAT的配置(NAPT)-网络地址转换
热门推荐
qq_59718828的博客
10-07 2万+
华为eNSP:静态NAT、动态NAT、端口NAT的配置(NAPT),网络地址转换
静态NAT配置
qq_46244264的博客
03-20 541
链接:https://pan.baidu.com/s/122okEudevKOGj1MGg5CPHQ。5.仅提供关键步骤,基础步骤自行完成,详细步骤请参考链接里的文件内容。将192.168.1.10的IP地址翻译成211.84.144.1。--来自百度网盘超级会员V5的分享。1.绘制拓扑,完成各设备IP配置。
简述NAT技术实现方式以及说明公网、私网IP映射关系
07-11
NAT(Network Address Translation,网络地址转换)是一种常用的网络技术,用于将私有网络内部的IP地址与公共互联网上的IP地址进行映射转换。其主要目的是解决IPv4地址短缺问题,同时提供了网络安全和隐私保护的功能。 NAT技术有三种实现方式:静态NAT、动态NAT和PAT(Port Address Translation,端口地址转换)。 1. 静态NAT:每个私有IP地址映射到一个公共IP地址静态NAT需要手动配置映射规则,一对一映射关系固定不变。这种方式适用于需要从公网访问私网中的特定主机或服务的场景。 2. 动态NAT:多个私有IP地址共享一个公共IP地址。动态NAT根据内部设备的需求动态分配公共IP地址,通常使用动态端口号来区分不同的内部设备。这种方式适用于私网内部设备较多而公网IP地址有限的情况。 3. PAT:多个私有IP地址共享一个公共IP地址,并通过不同的端口号进行区分。PAT是一种特殊的动态NAT,它在转换过程中还会修改源端口号和目标端口号。这种方式适用于私网内部设备较多,且需要同时支持多个内部设备与公网建立连接的情况。 在NAT中,私有IP地址是在内部网络中使用的IP地址范围,如10.0.0.0/8、172.16.0.0/12和192.168.0.0/16等。公网IP地址则是在公共互联网上被分配和使用的IP地址NAT通过将私有IP地址映射公网IP地址,实现了私有网络与公共互联网之间的通信。 总结起来,NAT技术通过映射转换私有IP地址和公共IP地址,实现了私有网络与公共互联网之间的连接。静态NAT、动态NAT和PAT是常见的NAT实现方式,它们提供了不同级别的IP地址映射关系,以适应不同规模和需求的网络环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值