ensp-网络地址转换
前言
網絡地址轉換(NAT)技術實現了私有網絡中的主機與公共網絡中的資源之間的通信,還提供了一定的安全功能,并且也會在網絡遷移時成為管理員的首選方案
NAT原理
NAT簡介:
- 改變IP報文中的源或目的地址的一種處理方式;
- 讓局域網用戶訪問外網資源,也可以設定內部的應用對外提供服務;
- 隱藏內部局域網的IP主機,起到安全保護的作用;
- NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。
IANA為私有網絡預留的IP地址空間:
10.0.0.0/8的地址范圍是10.0.0.0~10.255.255.255;
172.16.0.0/12的地址范圍是172.16.0.0~172.31.255.255;
192.168.0.0/16的地址范圍是192.168.0.0~192.168.255.255。
NAT的優點:
- 節省合法的注冊公網地址;
- 在地址重疊時提供解決方案;
- 提高連接到Internet的靈活性;
- 在網絡發生變化時避免重新編址。
NAT的缺點:
- 地址轉換將增加交換延遲;
- 導致無法進行端到端IP追蹤;
- 導致有些應用程序無法正常運行。
為上網主機提供NAT轉換:
通過在網關設備上部署NAT技術,為整個使用私有IP地址空間的私有網絡提供一個或多個公網可路由的IP地址,NAT在執行網絡地址轉換的同時,也會對外隱藏私有網絡內部的地址結構。于是,在ISP看來,寬帶用戶或組織機構只使用了自己分配出去的IP地址,而并不知道寬帶用戶實際使用了幾臺設備上網,也不會知道組織機構的內部網絡結構。
企業網絡融合的過渡解決方案:
企業的網絡需要與合作伙伴的網絡進行部分互聯時,為了確保一定的安全性,管理員可以使用NAT技術對合作伙伴隱藏自己的內部網絡結構;或者在企業并購后要把多個企業網絡合并為一個新企業網絡的環境中,如果合并前的多個網絡使用了相同范圍的私有IP地址,或者私有IP地址有部分重疊,那么管理員就可以使用NAT技術作為割接時的過渡手段,優先實現企業業務流量的正常轉發。日后再在對網絡進行重新設計后,逐步實施舊網絡規劃到新網絡規劃的遷移。
NAT的工作原理
傳統NAT的介紹:
- 實現內網主機向外網主機發起并建立會話;
- 主機用戶是不會體驗到通信的過程經歷了網絡地址轉換的操作;
- 包含基本NAT和NAPT。
在實施了NAT后,不僅內網主機使用的私有IP地址會被轉換為公網可路由的公有IP地址,并且外網(公網)設備無法主動向內網主機發起訪問,如果需要外網主動向內網發起訪問的話,需要配置一種特殊類型的NAT。
基本NAT的操作拓撲:
管理員考慮到近期的擴展需求而向ISP申請了4個公網地址。這時管理員就可以在企業網關路由器上靜態配置一對一的IP地址轉換關系,比如把PC1使用的私有IP地址10.0.0.1/24轉換為ISP分配的公網IP地址123.119.122.1/29,把PC2使用的私有IP地址10.0.0.2/24轉換為ISP分配的公網IP地址123.119.122.2/29。
PC1發出的數據包:
網關路由器收到PC1發出的數據包后查找路由表找出出接口;
依據出站口上的NAT規則,確定PC1的IP地址符合需要轉換的條件并做對應的轉換;
重新以轉換后的地址封裝去往目標的數據包,并從G0/0/1發送出去。
外網返回給PC1的數據包到達路由器后,依據NAT規則,將之前更換的源IP還原作為目的IP;
路由器再查找去往PC1的地址的路由表,從接口G0/0/0發出;
PC1收到外網資源的回饋信息。
NAPT的操作拓撲:
企業內部使用10.0.0.0/24私有IP地址范圍,企業向ISP申請了1個公網IP地址123.119.122.200,管理員在企業網關路由器的G0/0/1接口上實施了NAPT。
PC1的數據包:
網關路由器收到PC1發出的數據包后,查找路由表找出出接口;
依據出站口上的NAT規則,匹配第一條對源IP和源端口進行轉換;
重新以轉換后的地址和端口封裝去往目標的數據包,并從G0/0/1發送出去。
PC2的數據包:
網關路由器收到PC2發出的數據包后,查找路由表找出出接口;
依據出站口上的NAT規則,匹配第二條對源IP和源端口進行轉換;
重新以轉換后的地址和端口封裝去往目標的數據包,并從G0/0/1發送出去。
NAT的類型
NAT的主要類型包括:
- 靜態NAT/NAPT
- Easy IP
- NAT服務器
靜態NAT簡介:
- 內網中一個主機的私有IP地址與一個公網IP地址相綁定;
- 實現一對一的轉換關系;
實際中很少用,因為一個公網IP地址無法為內網中的多臺主機同時提供外網連接。
靜態NAT是通過將內網的私網IP與公網IP做一對一的映射關系,所以沒有起到節省公網IP的作用,實際中只有特殊的情況才會使用它。
NAPT簡介:
把二元組“內部網絡主機的IP+端口號”和“公網IP+端口號”執行一對一綁定;
一個公網IP地址可以同時為多個私有IP地址提供外網連接。
NAPT是通過IP+端口二元組的方式進行動態的創建映射,因此通過端口號的不同,一個公網IP可以同時向多個私網IP進行IP+端口的一對一映射,實際中常用到這種NAT方式。
Easy IP簡介:
常用于撥號上網的網絡環境中;
撥號得到的公網地址自動成為轉換的公網IP;
所有內網主機都需要使用這個臨時公網獲取的IP地址來訪問互聯網。
企業網關路由器接收到了內網主機(比如PC1)訪問外網主機的數據包,源地址為10.0.0.1,端口號為3017;
企業網關路由器根據ISP分配的公網IP地址,把內部主機使用的私有“源IP地址+源端口號”轉換為公網“源IP地址+源端口號”,并把NAT轉換關系記錄在Easy IP轉換表中。路由器在收到出向(PC1發往外部主機)的數據包時,會正向查找Easy IP表條目,把數據包的源IP地址+源端口號轉換為123.119.122.200:1024并發送出去;
企業網關路由器在接收到入站(外部主機響應PC1)的數據包時,會反向查找Easy IP表條目,把數據包的目的IP地址+目的端口號轉換為10.0.0.1:3017并發送給PC1。
NAT服務器簡介:
用于內網應用對外提供服務;
靜態配置公網“IP地址+端口號”和私有“IP地址+端口號”之間的轉換;
公網用戶只知道通過公網IP訪問服務,內網的IP隱藏起到保護作用。
NAT服務器的操作:
管理員需要事先在企業網關路由器上配置NAT服務器的轉換條目;
企業網關路由器在接收到(公網用戶主動發起的)入站數據包時,會根據公網用戶希望訪問的公網“IP地址+端口號”來查找NAT服務器轉換表條目,找到它所對應的私有“IP地址+端口號”,并根據查找結果對入向數據包的目的“IP地址+端口號”進行轉換。在本例中,外網主機發送的數據包目的“IP地址+端口號”是123.119.122.200:80,轉換后的私有“IP地址+端口號”是10.0.0.10:80;
企業網關路由器在接收到內部網頁服務器的響應數據包后,會根據這個數據包的源“IP地址+端口號”查找NAT服務器轉換表條目,找到它所對應的公網“IP地址+端口號”,并根據查找結果對出站數據包的源“IP地址+端口號”進行轉換。在本例中,內網網頁服務器響應的數據包源“IP地址+端口號”是10.0.0.10:80,轉換后的公網“IP地址+端口號”是123.119.122.200:80。
配置NAT
配置基本NAT
配置基本NAT的網絡環境:
在所示環境中,內網中只有一臺PC能夠訪問互聯網,它的私有IP地址是10.0.0.10/24,網關IP地址是10.0.0.1/24。作為網關的路由器GW-AR1一邊通過接口G0/0/1連接內網,使用私有IP地址10.0.0.1/24,一邊通過接口G0/0/0連接ISP,使用固定公網IP地址202.108.0.1/24。ISP側連接GW-AR1的接口IP地址為202.108.0.2/24。現在管理員要在GW-AR上把上網PC的私有IP地址10.0.0.10靜態轉換為公網IP地址202.108.0.3,讓PC能夠通過這個公網IP地址訪問互聯網。
靜態NAT的配置句法:
nat static global global-address inside host-address驗證及查看靜態NAT的配置:
display nat static在GW-AR1上配置基本NAT:
<Huawei>system-view [Huawei]sysname GW-AR1 [GW-AR1]interface gigabitethernet 0/0/1 [GW-AR1-GigabitEthernet0/0/1]ip address 10.0.0.1 255.255.255.0 [GW-AR1-GigabitEthernet0/0/1]quit [GW-AR1]interface gigabitethernet 0/0/0 [GW-AR1-GigabitEthernet0/0/0]ip address 202.108.0.1 255.255.255.0 [GW-AR1-GigabitEthernet0/0/0]nat static global 202.108.0.3 inside 10.0.0.10 [GW-AR1-GigabitEthernet0/0/0]quit [GW-AR1]ip route-static 0.0.0.0 0.0.0.0 202.108.0.2查看GW-AR1上的靜態NAT配置:
[GW-AR1]display nat static Static Nat Information:Interface : GigabitEthernet0/0/0Global IP/Port : 202.108.0.3/---- Inside IP/Port : 10.0.0.10/----Protocol : ---- VPN instance-name : ---- Acl number : ----Netmask : 255.255.255.255 Description : ----Total : 1使用display nat static命令查看了GW-AR1上的靜態NAT配置,從這條命令的輸出信息中我們可以看出,G0/0/0接口下有一對轉換關系:公網IP地址202.108.0.3和內部IP地址10.0.0.10之間的轉換。除此之外,從這里我們還可以了解到,靜態NAT的配置中還可以設置端口號、指定具體協議、應用ACL,以及添加描述信息。
在上網PC上測試聯網結果:
配置NAPT
配置NAPT的網絡環境:
在所示環境中,內網分為兩個VLAN(VLAN 10和VLAN 20),VLAN 10中主機使用的IP地址范圍是10.0.10.0/24,網關地址是10.0.10.1;VLAN 20中主機使用的IP地址范圍是10.0.20.0/24,網關地址是10.0.20.1。作為網關的路由器GW-AR1一邊通過接口G0/0/1和G0/0/2分別連接內網中的兩個VLAN,這兩個接口上分別配置了IP地址10.0.10.1/24和10.0.20.1/24,一邊通過接口G0/0/0連接ISP,使用固定公網IP地址202.108.0.1/24。ISP側連接GW-AR1的接口IP地址為202.108.0.2/24。ISP為這個網絡分配了4個可用的公網IP地址:202.108.0.3~202.108.0.6。現在管理員要把前兩個公網IP地址分給VLAN 10的用戶,把后兩個分給VLAN 20的用戶。
訪問控制列表:
- 由ACL命令生成;
- 用于抓取需要訪問外部網絡的內部網絡主機的地址或者網段;
- 用于判定是否是允許轉換的數據包。
地址池:
- 由一些外部地址組合而成的地址集合;
- 內部網絡通過地址轉換到達外部網絡時,選擇地址池中的某個地址作為轉換后的源地-址,有效的利用外部地址,提高內部網絡訪問外部網絡的能力。
轉換關聯:
- 將一個地址池和一個訪問列表關聯起來;
- 從訪問控制列表中定義的源內網IP動態與地址池中的地址進行轉換映射表。
配置地址池句法:
配置NAT綁定關系句法:
nat outbound acl-number address-group group-index驗證及查看NAPT的配置:
display nat address-group display nat outboundDisplay nat address-group:查看配置的地址池信息
Display nat outbound:查看NAT的綁定關系
管理員也可以在接口視圖的命令nat outbound acl-number address-group group-index中添加關鍵字no-pat,來為某個NAT轉換關系禁用端口轉換功能。
在GW-AR1上配置NAPT:
[GW-AR1]acl 2010 [GW-AR1-acl-basic-2010]rule permit source 10.0.10.0 0.0.0.255 [GW-AR1-acl-basic-2010]quit [GW-AR1]acl 2020 [GW-AR1-acl-basic-2020]rule permit source 10.0.20.0 0.0.0.255 [GW-AR1-acl-basic-2020]quit [GW-AR1]nat address-group 1 202.108.0.3 202.108.0.4 [GW-AR1]nat address-group 2 202.108.0.5 202.108.0.6 [GW-AR1-GigabitEthernet0/0/0]nat outbound 2010 address-group 1 [GW-AR1-GigabitEthernet0/0/0]nat outbound 2020 address-group 2使用基本ACL來指定私有IP地址范圍,配置ACL 2010抓取了VLAN 10的用戶地址,而ACL 2020抓取VLAN 20的用戶地址。
使用系統視圖命令nat address-group group-index start-address end-address來指定公網IP地址范圍。其中group-index是地址組的編號,這個編號的取值范圍會根據不同的設備平臺而有所不同,管理員在配置時,可以使用問號(?)功能查看設備所支持的編號范圍,也可以查詢產品手冊和命令參考文檔來確定取值范圍。start-address end-address是管理員要指定的IP地址范圍中的第1個和最后一個IP地址。
在連接外網的接口上使用接口視圖命令nat outbound acl-number address-group group-index,綁定NAT轉換關系。參數acl-number部分需要輸入管理員之前創建的基本ACL,參數group-index部分需要輸入NAT地址組編號,這樣就可以通過一條命令建立一個轉換關系。
查看GW-AR1上的NAT地址組配置:
[GW-AR1]display nat address-group NAT Address-Group Information:--------------------------------------Index Start-address End-address--------------------------------------1 202.108.0.3 202.108.0.42 202.108.0.5 202.108.0.6--------------------------------------Total : 2使用命令display nat address-group查看了GW-AR1上的NAT地址組配置。從命令的輸出內容中我們可以看出,GW-AR1上配置了兩個NAT地址組,編號、起始地址和結束地址都清晰地以列表的形式列出。
查看GW-AR1上的出向NAPT配置:
[GW-AR1]display nat outbound NAT Outbound Information:--------------------------------------------------------------------Interface Acl Address-group/IP/Interface Type--------------------------------------------------------------------GigabitEthernet0/0/0 2010 1 patGigabitEthernet0/0/0 2020 2 pat--------------------------------------------------------------------Total : 2命令display nat outbound可以用來查看出向NAT的轉換關系。從輸出內容中我們可以看出,G0/0/0接口上有兩個NAT出向轉換關系,Type(類型)都是pat。類型pat指的是啟用端口轉換功能,這也是NAPT的默認配置。管理員也可以在接口視圖的命令nat outbound acl-number address-group group-index中添加關鍵字no-pat,來為某個NAT轉換關系禁用端口轉換功能。
抓取數據包:
GE0/0/1:
從內網接口G0/0/1的抓包信息可以看出,PC10向外網地址202.108.0.2發起了ping測試,并且測試成功,它們都收到了ISP路由器的應答。
GE0/0/2:
從內網接口G0/0/2的抓包信息可以看出,PC20向外網地址202.108.0.2發起了ping測試,并且測試成功,它們都收到了ISP路由器的應答。
GE0/0/0:
GW-AR1先后收到了來自202.108.0.3和202.108.0.5的ping請求消息。說明GW-AR1把PC10發出的數據包源IP地址轉換為202.108.0.3,把PC20發出的數據包源IP地址轉換為202.108.0.5,正好是它們各自NAT地址組中的第一個IP地址。
配置Easy IP
配置Easy IP的網絡環境:
出口: 先寫acl 匹配內網私網地址段
acl number 2000 rule 5 permit source 192.168.31.0 0.0.0.255注:acl 用來做匹配范圍時,沒有默認隱含允許所有的規則。 int gi 0/0/1 (公網接口) nat outbound 2000 (2000是acl 的表號) 原理:內網私網地址出包時轉換成公網接口gi 0/0/1 當前的ip地址。
server NAT:
可以將某服務器的某端口映射出去 (非常安全)
實驗拓撲:
NAT服務器的配置句法:
nat server protocol {tcp | udp} global global-address global-port inside host-address [host-port] int gi 0/0/1nat server protocol tcp global 12.1.1.4 www inside 192.168.31.254 www總結
以上是生活随笔為你收集整理的ensp-网络地址转换的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: YALMIP的简单说明
- 下一篇: 国庆回家计划满满最后却摆烂这件事(解决?