前言:
当前朋友们对“natsever映射”大概比较关心,各位老铁们都想要了解一些“natsever映射”的相关资讯。那么小编同时在网上搜集了一些关于“natsever映射””的相关内容,希望看官们能喜欢,看官们一起来学习一下吧!1、NAT的含义
实现网络地址转换(Network Adress Translation),本质上是将IP数据报文头中的源IP地址转换成另一个IP地址的过程。
2、目的
节约公网IPv4地址,实现内部网络访问外部网络的功能。当内网主机访问外网时,通过NAT可以将私网转换成公网地址,多个私网用户共用一个公网地址访问外部网络。
通常情况下,NAT技术只适合私网方面向公网方面发送通信的场景,反之则不行。
3、公网和私网
私网IP地址
A类:10.0.0.0~10.255.255.255.
B类:172.16.0.0~172.31.255.255
C类:192.168.0.0~192.168.255.255
公网中不能有私网IP地址,公网中的所有网络设备的网络接口必须使用公网IP,公网中出现的IP报文,目的IP地址和源IP地址必须是公网IP地址,而且在公网中必须保证IP地址的唯一性。IPv4地址的长度是32位,包含了大约43亿个地址,已经分配完毕。
4、NAT的好处
NAT可以有效缓解IP地址枯竭,通过地址重用来满足IP地址的需求,有三点好处:
缓解IPv4地址枯竭的问题;避免外网攻击,一定程度上提高了网络安全性;控制内网访问外网,也可以控制外网主机访问内网,解决了内外网互通的问题。
5、NAT原理概述
NAT是将IP数据报文头中的IP地址转换成另一个IP地址的过程,常见的模式有:
5.1 Basic NAT
静态NAT,私网地址和公网地址一对一,只进行IP地址转换,不处理TCP/UDP协议的端口号,这种方式不常用。
实现过程:
Router收到内网侧Host发送的访问公网侧Server的报文,其源IP地址为10.1.1.100;Router从地址池中选取一个空闲的公网IP地址,建立与内网侧报文源IP地址间的NAT转换表项(正反向),并依据查找正向NAT表项的结果将报文转换后向公网侧发送,其源IP地址是162.105.178.65,目的IP地址是211.100.7.34;Router收到公网侧的回应报文后,根据其目的IP地址查找反向NAT表项,并依据查表结果将报文转换后向私网侧发送,其源IP地址是2.2.2.2,目的IP地址是10.1.1.100。
5.2、NAPT(Network Adress Port Translation)
网络地址端口转换,允许多个内部地址映射到同一个公网地址,实现“多对一地址转换”,通过“IP地址+端口号"的形式进行转换。
实现过程:
Router收到内网侧Host发送的访问公网侧Server的报文。比如收到Host A报文的源地址是10.1.1.100,端口号1025;Router从地址池中选取一对空闲的“公网IP地址+端口号”,建立与内网侧报文“源IP地址+源端口号”间的NAPT转换表项(正反向),并依据查找正向NAPT表项的结果将报文转换后向公网侧发送。比如Host A的报文经Router转换后的报文源地址为162.105.178.65,端口号16384;Router收到公网侧的回应报文后,根据其“目的IP地址+目的端口号”查找反向NAPT表项,并依据查表结果将报文转换后向私网侧发送。比如Server回应Host A的报文经Router转换后,目的地址为10.1.1.100,端口号1025。
6、NAT实现
Basic NAT实现了一对一的地址转换,NAPT实现了多对一的地址转换。NAT的实现主要包括:Easy IP、地址池NAT、NAT Server和静态NAT/NAPT。
6.1 Easy IP
利用访问控制列表控制哪些地址可以实现地址转换,适合小型局域网访问internet的情况。
处理过程
Router收到内网侧主机发送的访问公网侧服务器的报文。Router利用公网侧接口的“公网IP地址+端口号”,建立与内网侧报文“源IP地址+源端口号”间的Easy IP转换表项(正反向),并依据查找正向Easy IP表项的结果将报文转换后向公网侧发送。Router收到公网侧的回应报文后,根据其“目的IP地址+目的端口号”查找反向Easy IP表项,并依据查表结果将报文转换后向内网侧发送。
6.2 NAT Server
NAT具有”屏蔽“内部主机的作用,如果内网需要对外提供服务,比如www服务、ftp服务,可以通过NAT Server(端口映射)的方式解决这个问题。在NAT Server事先配置好”公网IP+端口“与”私网IP+端口“之间的映射关系,将服务器的"公网IP+端口号"根据映射关系替换成对应的"私网IP+端口"。
实现过程
Router收到公网用户发起的访问请求,设备根据该请求的“目的IP+端口号”查找NAT Server转换表项,找出对应的“私网IP+端口号”,然后用查找结果替换报文的“目的IP+端口号”;Router收到内网服务器的回应报文后,根据该回应报文的“源IP地址+源端口号”查找NAT Server转换表项,找出对应的“公网IP+端口号”,然后用查找结果替换报文的“源IP地址+源端口号”。
6.3 静态NAT和NAPT
静态NAT,内部主机与公网IP一一对应。
静态NAPT,内网主机的”IP地址+协议号+端口号"与“公网IP+协议号+端口号"一一对应。
静态NAT和静态NAPT,可以实现内网主机和外网的相互访问,外部直接访问对应的内网主机。
6.4 其它
NAT ALG:NAT和NAPT只能对IP报文的头部地址和TCP/UDP头部的端口信息转换,对于一些特殊的应用,比如FTP,数据部分可能包含IP地址信息或者端口信息,这些内容不能被NAT有效转换,就需要用到NAT的应用层网关ALG(application level gateway)功能,对应用层协议进行NAT转换;DNS Maping:私网用于通过域名访问位于私网的内部服务器;NAT关联VPN:包括VPN关联源NAT、VPN关联NAT Server、两次NAT。
7、NAT的配置
7.1 动态地址转换
实现内网主机使用内网IP地址访问外网主机,即实现内网用户访问外网。
配置步骤
配置地址转换的ACL规则,rule配置为permit;配置出接口的地址关联,有两种情况:
带地址池的NAT Outbound:
执行命令nat address-group group-index start-address end-address,配置公网地址池。执行命令interface interface-type interface-number [ .subnumber ],进入接口或子接口视图。执行命令nat outbound acl-number address-group group-index [ no-pat ],配置带地址池的NAT Outbound。
不带地址池的easy ip,使用nat设备出接口IP地址完成NAT:
执行命令interface interface-type interface-number [ .subnumber ],进入接口或子接口视图。执行命令nat outbound acl-number [ interface interface-type interface-number [ .subnumber ] ] [ vrrp vrrpid ],配置Easy IP。
7.2 配置静态地址转换
实现内网重要主机IP使用固定的公网IP地址访问外网。
可以在接口视图或者全局视图下配置,通常在接口下配置
7.3 配置内部服务器
实现外网用户访问内部服务器。
进入接口后,使用nat server命令。
8、配置案例
8.1 实验拓扑
R2模拟外部网络,R1为内网路由器,内网通过NAT的方式访问外网。
8.2 相关信息
PC1:192.168.10.1/24,网关:192.168.10.254,属于VLAN10
PC2:192.168.20.1/24,网关:192.168.20.254,属于VLAN20
互联地址:
SW G0/0/1:20.0.0.1/30 <-> R1 G0/0/1:20.0.0.2/30
R1 G0/0/0:30.0.0.1/30 <-> R2 G0/0/0:30.0.0.2/30
SW和R1之间通过OSPF相连。
8.3 实验内容
基础配置
实现内网的互联互通,以及网络设备互联地址的配置。
内网交换机SW,开启了telnet远程访问功能。
R1的配置,SW和R1之间通过OSPF协议互联
R2的配置
用于模拟外网环境
1)静态NAT的配置
静态NAT,私网IP地址与公网IP一一对应,不进行端口复用,不能节省IP地址,通常用于对外为服务器。
已知:公网地址202.106.1.1/32、202.106.1.2/32。
R1的配置
在R1的接口G0/0/0配置静态NAT
R2的配置
配置回程路由
配置成功之后,PC1和PC2就可以与外网通信了。
PC1
在R2上抓包分析,可以看到源IP变成了202.106.1.1。
2)动态NAT
动态NAT在出口路由器中做了一个地址池,内网PC访问外网时,从地址池内获取一个公网IP,既可以选择端口复用,也可以禁止端口复用(no-pat)。
已知公网IP:202.106.1.0/24
R1的配置
首先配置公网地址池,然后配置acl,最后在接口应用nat outbound,并且配置no-pat,不进行端口转换,也就是公网IP地址不可复用。
R2配置回程路由
3)NAPT的配置
NATP,公网IP可以反复使用,所有主机都可以通过它来访问外网。
已知:有一个公网IP地址202.106.1.1/32。
R1的配置
R2的配置
配置回程路由
PC1的访问外网,以及在R2上的抓包分析
如果没有公网地址,只有一个外网网口G0/0/0的IP:30.0.0.1
R1的配置
端口映射
R1的配置
在R2上远程连接SW交换机
标签: #natsever映射