- 1JetBrains 开发工具——免费教育许可申请流程_jetbrains教育
- 2springboot集成kafka多线程消费端的实现_springboot kafka多线程消费
- 3Python + Telnet基本使用_python telnet
- 4安装能调用GPU的pytorch版本_python安装pytorch gpu版本
- 5鸿蒙HarmonyOS4.0开发应用学习笔记_鸿蒙开发文档
- 6【项目实战】python影片数据爬取与数据分析django电影数据网络爬虫与分析系统(源码+答疑+文档报告PPT)
- 7WebSocket + Vue 简单聊天的实现_websocket+kafka+vue
- 8Scrapy_redis+scrapyd搭建分布式架构爬取知乎用户信息_scrapy-redis分布式局域网多台电脑之间怎么建立关联的
- 9基于STM32与FreeRTOS的四轴机械臂项目_基于stm32的机械臂项项目
- 10编写相亲交友源码,应该掌握的简写小技巧_相亲源代码
NAT网路出口构建_出口nat
赞
踩
一、技术背景
公网IP地址及私有IP地址
公网地址
公网地址是指可以在Internet上使用的地址。为保证整个Internet内的IP地址的唯一性,公网地址由IANA(Inetrnet Assigned Number Authority)这个国际组织进行分配。一台网络设备如需要使用公网地址,就必须向ISP(Internet Service Provider)或者注册中心申请
私有地址
为了满足一些实验、公司或者其他组织独立于Internet之外的私有网络需求,RFCA(Request For Comment )1918年私有使用留出了三个IP地址段。私有地址不能再Internet上被分配,因而可以不必申请就可以自由使用。
技术背景
Ipv4地址已经耗尽
局域网用户普遍使用私有IPV4地址,如何访问公网?
局域网使用私有IPV4地址的服务器如何对公网提供服务?
若对外隐藏内网的IP,同时内网的特定服务器又需要对外提供服务该如何实现?
二、NAT概念
什么是NAT?
NAT(network address translator)的主要原理是通过解析IP报文头部。自动替换报文中的源地址或目的地址,实现私网用户通过私网IP访问公网目的。私网的IP转化为公网IP的过程对用户来说是透明的。
内部本地网络:
是指连接到私有寻址LAN中的路由器接口的任何网络。内部网络中主机的IP地址在传输到外部之前需要先进行转换。
外部全局网络:
是指位于LAN外部的路由相连,无法识别LAN主机私有的地址的任何网络。
NAT工作原理
NAT的优缺点
优点
缓解公网地址紧缺问题
解决IP地址空间冲突或重叠的问题
网络扩展性更高,本地控制也更容易
内网结构以及相关操作对外变得不可见
增加了安全性
缺点
存在转发延迟
端到端寻址变得困难
某些应用不支持NAT
NAT产生的表项需要占用设备的内存空间
设备性能问题
三、NAT的分类和实现的方法
NAT的类型
源IP地址转化(Source IP address-based NAT)
NO-PORT地址转换(NO-PAT)
网络端口及端口地址转换(NAPT)
目的IP地址转化(Destination IP address-base NAT)
NAT Server
目的IP
静态NAT
使用本地地址与全局地址一对一映射,这些映射保持不变、
静态NAT对于必须具有一致的地址、可从Internet 访问WEB服务器或者主机特别有用。
这些内部主机地址可能是企业服务器或者网络设备。
动态NAT
使用公有地址池。并以先到先得的方法分配地址。
当具有私有IP地址的主机请求访问Internet时,动态NAT从地址池中选择有个未被其他主机占用的IP地址。
NAT实现方法
NAT类型1:NO-PAT(静态NAT)
NAT类型1:静态一对一映射
NAT类型1:基于地址池的一对一映射(动态NAT)
NAT类型2:基于地址池的多对一映射(NAPT)
NAT类型3:NATserver
四、NAT配置
静态一对一IP映射
内外网及出口路由器OP的IP地址规划为如图所示
现在PC有需求要访问外网,在OR上部署静态一对一IP映射,分配给内网PC192.168.1.1的公网地址是200.1.1.100
[OR] interface gi0/0/0
[OR-GigabitEthernet0/0/0] ip address 192.168.1 254 24
[OR] interface gi0/0/1
[OR-GigabitEthernet0/0/1] ip address 200.1.1.1 24
[OR-GigabitEthernet0/0/1] quit
[OR-GigabitEthernet0/0/1] nat static global 200.1.1.100 inside 192. 168.1.1
[OR] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
搭建拓扑:
配置好所有IP,并用pc去Ping 200.1.1.2
此时的pc无法访问外网:
对OR进行配置:给内网PC192.168.1.1的公网地址是200.1.1.100
添加路由:
再用pc 访问外网:
基于地址池的一对一IP映射(no-pat)
OR出口路由器的配置如下(省略接口IP地址的配置)
#定义NAT池
[OR] nat address-group 1 200.1.1.100 200.1.1.110
#定义基础ACL2000 ,用于匹配允许NAT的内网地址段
[OR] acl 2000
[OR-acl-basic 2000] rule 5 permit source 192.168.1.0 0.0.0.255
[OR-acl-basic -2000] quit
[OR] interface GigabitEthernet0/0/1
[OR-GigabitEthernet0/0/1] nat outbound 2000 address-group 1 no-pat
[OR-GigabitEthernet0/0/1] quit
[OR] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
实验过程:
实验拓扑如上:
实验配置过程:
最后pc也是能成功访问外网。
在OR两个接口抓包分析:
在g0/0/0接口:
从这个接口接收到的包源IP都是pc的本机IP192.168.1.1,且reply的数据包中的目的IP也是192.168.1.1
在g0/0/1接口:
从这个接口发出的几个请求包地址都在变,范围也是:200.1.1.100 200.1.1.110
基于动态地址池的多对一IP端口映射
OR出口路由器的配置如下(省略接口IP地址的配置)
#定义NAT池
[OR] nat address-group 1 200.1.1.100 200.1.1.110
#定义ACL2000 ,用于匹配允许NAT的内网地址段
[OR] acl 2000
[OR-acl-basic 2000] rule 5 permit source 192.168.1.0 0.0.0.255
[OR-acl-basic -2000] quit
[OR] interface GigabitEthernet0/0/1
[OR-GigabitEthernet0/0/1] nat outbound 2000 address-group 1
[OR-GigabitEthernet0/0/1] quit
[OR] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
在这个实验中就不放配置过程。
直接来分析OR两个端口所抓的数据包:
在g0/0/0接口:
依旧如上一个实验一样:从这个接口接收到的包源IP都是pc的本机IP192.168.1.1,且reply的数据包中的目的IP也是192.168.1.1
在g0/0/1接口:向公网发出的源IP都被转化,且源IP地址一直保持不变,为200.1.1.106
EASY IP
[OR] acl 2000
[OR-acl-basic 2000] rule 5 permit source 192.168.1.0 0.0.0.255
[OR-acl-basic -2000] quit
[OR] interface GigabitEthernet0/0/1
[OR-GigabitEthernet0/0/1] nat outbound 2000
[OR-GigabitEthernet0/0/1] quit
[OR] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
分析OR两个端口出的数据包:
G0/0/0:
G0/0/1:设备将同时对 端口号和IP地址 进行映射,允许多个私网IP地址同时映射到同一个公网IP地址,相同的公网IP地址通过不同的 端口号区分映射不同的私网IP地址,从而实现多对一或多对多的地址转换。
内部服务器映射(nat server 属于目的NAT)
内部服务器映射(nat server)
OR出口路由配置如下:
[OR] interface GigabitEthemet0/0/1
[OR-GigabitEthernet0/0/1] nat server protocol tcp global 200.1.1.100 8080 inside 192.168.1.100 80
[OR-GigabitEthernet0/0/1] quit
[OR] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
拓扑如下:
抓包分析:
- 内外网及出口路由器OR的IP地址规划如图所示
- 现在内网的Server需要对外提供WEB服务,申请到的公网地址是200.1.1.100,现在要将内网这台Server的TCP80端口映射到200.1.1.100的TCP 8080端口,使得外网能够访问。
- 内外网及出口路由器OR的IP地址规划如图所示
- 现在192.168.1.0/24网段的PC均需访问外网,现在希望内网能够使用GE0/0/1的公网IP .以Easy IP的方式访问公网。
- 出口路由配置如下:
- 内外网及出口路由器OR的IP地址规划如图所示
- 现在192.168.1.0/24网段的PC均需访问外网,申请到的公网地址池是200.1.1.100~200.1.1.110, 部署 一对一 的地址转换,也就是只转换数据包的地址而不转换端口信息。
- 实验过程:
- OR出口路由器的配置如下:
- NATserver时最常用的基于目的地址的NAT。当内部网络属于一台服务器,其他真实IP是私有网址,但是公网用户只能通过一个公网地址来访问该服务器,这时可以配置NATserver,是设备将公网用户访问该网段地址的报文自动转发给内网服务器。
- NATsever功能使得内部服务器可以外部网络访问。外部网络的用户访问内部服务器时,NAT将请求报文的目的地址转化为内部服务器的私有地址。对内部分服务器回应报文而言,NAT将会自动将回应报文的源地址(私有地址)转化为公网地址。
- NAPT是指在进行NAT转换IP地址的同时,还对端口号进行转换。这种应用可以实现 多个内网用户共用一个公网IP。
- 在NAPT方式中,还可以直接借用设备与外网相连的接口的IP地址作为转换后的IP地址,这种借用接口IP做NAT的应用又称为easy-ip。
- NAPT也可以称之为“地址复用”。通过配置NAPT功能,设备将同时对 端口号和IP地址 进行映射,允许多个私网IP地址同时映射到同一个公网IP地址,相同的公网IP地址通过不同的 端口号区分映射不同的私网IP地址,从而实现多对一或多对多的地址转换。
- NAT No-PAT也可以称为“一对一地址转换”,在地址转换过程中,数据包的源IP地址由私网地址转换为公网地址,但 端口号不做转换。
- 配置No-pat参数后,设备会将转换前后的地址的所有端口进行一一对应的。这种应用的优点是内网地址的所有端口不做转换,缺点是该公网地址不能被其他内网地址使用。
- 例如,地址池中的公网IP地址只有两个。由于一台私网主机在借用其中的一个公网IP访问公网时,会占用这个IP的所有端口。因此,这种情况只允许最多有两台私网主机同时访问公网,其他的私网主机要等到其中一台主机不再访问公网,它占用的公网IP地址被释放后,才可以再进行NAT访问公网。
- 如可以转换,R1讲内本地IP地址转换为内部全局IP地址。
- 并将本地与全局地址映射关系存储在NAT表中。
- 沿途路由器通过查询路由表将数据包转发到目的地址。
- R1有一个ACL,它确定该数据包的源IP地址是否可进行转换。
- 技术背景
- NAT概念
- NAT的分类和实现方法
- NAT的配置
