龙空技术网

NAT详述及配置案例,ensp实现

Geek视界 5169

前言:

当前朋友们对“natsever映射”大概比较关心,各位老铁们都想要了解一些“natsever映射”的相关资讯。那么小编同时在网上搜集了一些关于“natsever映射””的相关内容,希望看官们能喜欢,看官们一起来学习一下吧!

1、NAT的含义

实现网络地址转换(Network Adress Translation),本质上是将IP数据报文头中的源IP地址转换成另一个IP地址的过程。

2、目的

节约公网IPv4地址,实现内部网络访问外部网络的功能。当内网主机访问外网时,通过NAT可以将私网转换成公网地址,多个私网用户共用一个公网地址访问外部网络。

通常情况下,NAT技术只适合私网方面向公网方面发送通信的场景,反之则不行。

3、公网和私网

私网IP地址

A类:10.0.0.0~10.255.255.255.

B类:172.16.0.0~172.31.255.255

C类:192.168.0.0~192.168.255.255

公网中不能有私网IP地址,公网中的所有网络设备的网络接口必须使用公网IP,公网中出现的IP报文,目的IP地址和源IP地址必须是公网IP地址,而且在公网中必须保证IP地址的唯一性。IPv4地址的长度是32位,包含了大约43亿个地址,已经分配完毕。

4、NAT的好处

NAT可以有效缓解IP地址枯竭,通过地址重用来满足IP地址的需求,有三点好处:

缓解IPv4地址枯竭的问题;避免外网攻击,一定程度上提高了网络安全性;控制内网访问外网,也可以控制外网主机访问内网,解决了内外网互通的问题。

5、NAT原理概述

NAT是将IP数据报文头中的IP地址转换成另一个IP地址的过程,常见的模式有:

5.1 Basic NAT

静态NAT,私网地址和公网地址一对一,只进行IP地址转换,不处理TCP/UDP协议的端口号,这种方式不常用。

实现过程:

Router收到内网侧Host发送的访问公网侧Server的报文,其源IP地址为10.1.1.100;Router从地址池中选取一个空闲的公网IP地址,建立与内网侧报文源IP地址间的NAT转换表项(正反向),并依据查找正向NAT表项的结果将报文转换后向公网侧发送,其源IP地址是162.105.178.65,目的IP地址是211.100.7.34;Router收到公网侧的回应报文后,根据其目的IP地址查找反向NAT表项,并依据查表结果将报文转换后向私网侧发送,其源IP地址是2.2.2.2,目的IP地址是10.1.1.100。

5.2、NAPT(Network Adress Port Translation)

网络地址端口转换,允许多个内部地址映射到同一个公网地址,实现“多对一地址转换”,通过“IP地址+端口号"的形式进行转换。

实现过程:

Router收到内网侧Host发送的访问公网侧Server的报文。比如收到Host A报文的源地址是10.1.1.100,端口号1025;Router从地址池中选取一对空闲的“公网IP地址+端口号”,建立与内网侧报文“源IP地址+源端口号”间的NAPT转换表项(正反向),并依据查找正向NAPT表项的结果将报文转换后向公网侧发送。比如Host A的报文经Router转换后的报文源地址为162.105.178.65,端口号16384;Router收到公网侧的回应报文后,根据其“目的IP地址+目的端口号”查找反向NAPT表项,并依据查表结果将报文转换后向私网侧发送。比如Server回应Host A的报文经Router转换后,目的地址为10.1.1.100,端口号1025。

6、NAT实现

Basic NAT实现了一对一的地址转换,NAPT实现了多对一的地址转换。NAT的实现主要包括:Easy IP、地址池NAT、NAT Server和静态NAT/NAPT。

6.1 Easy IP

利用访问控制列表控制哪些地址可以实现地址转换,适合小型局域网访问internet的情况。

处理过程

Router收到内网侧主机发送的访问公网侧服务器的报文。Router利用公网侧接口的“公网IP地址+端口号”,建立与内网侧报文“源IP地址+源端口号”间的Easy IP转换表项(正反向),并依据查找正向Easy IP表项的结果将报文转换后向公网侧发送。Router收到公网侧的回应报文后,根据其“目的IP地址+目的端口号”查找反向Easy IP表项,并依据查表结果将报文转换后向内网侧发送。

6.2 NAT Server

NAT具有”屏蔽“内部主机的作用,如果内网需要对外提供服务,比如www服务、ftp服务,可以通过NAT Server(端口映射)的方式解决这个问题。在NAT Server事先配置好”公网IP+端口“与”私网IP+端口“之间的映射关系,将服务器的"公网IP+端口号"根据映射关系替换成对应的"私网IP+端口"。

实现过程

Router收到公网用户发起的访问请求,设备根据该请求的“目的IP+端口号”查找NAT Server转换表项,找出对应的“私网IP+端口号”,然后用查找结果替换报文的“目的IP+端口号”;Router收到内网服务器的回应报文后,根据该回应报文的“源IP地址+源端口号”查找NAT Server转换表项,找出对应的“公网IP+端口号”,然后用查找结果替换报文的“源IP地址+源端口号”。

6.3 静态NAT和NAPT

静态NAT,内部主机与公网IP一一对应。

静态NAPT,内网主机的”IP地址+协议号+端口号"与“公网IP+协议号+端口号"一一对应。

静态NAT和静态NAPT,可以实现内网主机和外网的相互访问,外部直接访问对应的内网主机。

6.4 其它

NAT ALG:NAT和NAPT只能对IP报文的头部地址和TCP/UDP头部的端口信息转换,对于一些特殊的应用,比如FTP,数据部分可能包含IP地址信息或者端口信息,这些内容不能被NAT有效转换,就需要用到NAT的应用层网关ALG(application level gateway)功能,对应用层协议进行NAT转换;DNS Maping:私网用于通过域名访问位于私网的内部服务器;NAT关联VPN:包括VPN关联源NAT、VPN关联NAT Server、两次NAT。

7、NAT的配置

7.1 动态地址转换

实现内网主机使用内网IP地址访问外网主机,即实现内网用户访问外网。

配置步骤

配置地址转换的ACL规则,rule配置为permit;配置出接口的地址关联,有两种情况:

带地址池的NAT Outbound:

执行命令nat address-group group-index start-address end-address,配置公网地址池。执行命令interface interface-type interface-number [ .subnumber ],进入接口或子接口视图。执行命令nat outbound acl-number address-group group-index [ no-pat ],配置带地址池的NAT Outbound。

不带地址池的easy ip,使用nat设备出接口IP地址完成NAT:

执行命令interface interface-type interface-number [ .subnumber ],进入接口或子接口视图。执行命令nat outbound acl-number [ interface interface-type interface-number [ .subnumber ] ] [ vrrp vrrpid ],配置Easy IP。

7.2 配置静态地址转换

实现内网重要主机IP使用固定的公网IP地址访问外网。

可以在接口视图或者全局视图下配置,通常在接口下配置

7.3 配置内部服务器

实现外网用户访问内部服务器。

进入接口后,使用nat server命令。

8、配置案例

8.1 实验拓扑

R2模拟外部网络,R1为内网路由器,内网通过NAT的方式访问外网。

8.2 相关信息

PC1:192.168.10.1/24,网关:192.168.10.254,属于VLAN10

PC2:192.168.20.1/24,网关:192.168.20.254,属于VLAN20

互联地址:

SW G0/0/1:20.0.0.1/30 <-> R1 G0/0/1:20.0.0.2/30

R1 G0/0/0:30.0.0.1/30 <-> R2 G0/0/0:30.0.0.2/30

SW和R1之间通过OSPF相连。

8.3 实验内容

基础配置

实现内网的互联互通,以及网络设备互联地址的配置。

内网交换机SW,开启了telnet远程访问功能。

R1的配置,SW和R1之间通过OSPF协议互联

R2的配置

用于模拟外网环境

1)静态NAT的配置

静态NAT,私网IP地址与公网IP一一对应,不进行端口复用,不能节省IP地址,通常用于对外为服务器。

已知:公网地址202.106.1.1/32、202.106.1.2/32。

R1的配置

在R1的接口G0/0/0配置静态NAT

R2的配置

配置回程路由

配置成功之后,PC1和PC2就可以与外网通信了。

PC1

在R2上抓包分析,可以看到源IP变成了202.106.1.1。

2)动态NAT

动态NAT在出口路由器中做了一个地址池,内网PC访问外网时,从地址池内获取一个公网IP,既可以选择端口复用,也可以禁止端口复用(no-pat)。

已知公网IP:202.106.1.0/24

R1的配置

首先配置公网地址池,然后配置acl,最后在接口应用nat outbound,并且配置no-pat,不进行端口转换,也就是公网IP地址不可复用。

R2配置回程路由

3)NAPT的配置

NATP,公网IP可以反复使用,所有主机都可以通过它来访问外网。

已知:有一个公网IP地址202.106.1.1/32。

R1的配置

R2的配置

配置回程路由

PC1的访问外网,以及在R2上的抓包分析

如果没有公网地址,只有一个外网网口G0/0/0的IP:30.0.0.1

R1的配置

端口映射

R1的配置

在R2上远程连接SW交换机

标签: #natsever映射