另一方面,随着背景互联网的发展和网络APP应用的增加,IPv4地址的枯竭成为制约网络发展的瓶颈。 IPv6可以从根本上解决IPv4地址空间不足的问题,但目前很多网络设备和网络APP应用都基于IPv4,因此在IPv6广泛应用之前,使用一些迁移技术是解决这一问题的主要技术手段。
二、NAT原理和类别网络地址转换技术NAT (网络地址转换)主要用于实现位于内部网络的主机接入外部网络的功能。 局域网中的主机需要接入外部网络时,NAT技术可以将其专用网络地址转换为公用地址,多个专用网络用户可以使用一个公用地址
NAT的实现方式各种各样,适合不同的场景。
2.1静态NAT静态NAT实现了私有地址与公共地址的一对一映射。 公共IP仅分配给唯一和固定的内部网主机。 静态NAT实现了私有地址和公共地址的一对一映射。 如果主机希望优先使用相关地址,或者外部网络希望使用指定的公共地址访问内部服务器,请使用静态NAT。 但是,在大型网络中,这种一对一的IP地址映射并不能缓解公共地址不足的问题。
在本例中,源地址为192.168.1.1的消息必须发送到公用地址100.1.1.1。 已在网关RTA上配置了私有地址192.168.1.1到公用地址200.10.10.1的映射。 网关在接收到主机a发送的分组时,将消息的源地址192.168.1.1转换为200.10.10.1,然后将该消息转发到目的地设备。 目标设备返回的消息的目标为200.10.10.1。 网关收到回复消息后,将执行静态地址转换,将200.10.10.1转换为192.168.1.1,并将消息转发到主机a。 与主机a在同一网络上的其他主机,例如主机b,在接入公共网络的过程中也需要借助网关RTA进行静态NAT转换。
2.2动态NAT动态NAT基于地址池实现私有地址和公共地址的转换。
在此示例中,如果内部主机a和主机b需要与公共网络中的目标主机进行通信,则网关RTA从配置的公共网络地址池中选择并映射未使用的公共网络地址。 每个主机被分配给地址池中的唯一地址。 不再需要此连接时,相应的地址映射将被删除,公用地址也将恢复到地址池中使用。 网关收到回复消息后,根据以前的映射再次进行转换后,转发给对应的主机。 如果动态NAT地址池中的地址丢失,则在释放正在使用的公共IP之前,其他主机无法使用它访问公共网络。
2.3网络地址端口转换NAPT网络地址端口转换NAPT允许您将多个内部地址映射到同一公用地址的不同端口。
网络地址端口转换网络地址端口转换(napt )允许多少
内部地址映射到同一公共地址的不同端口。
在此示例中,RTA从专用网络的主机接收消息。 源IP地址为192.168.1.1,源端口号为1025,目标IP地址为100.1.1.1,目标端口为80。 RTA从配置的公共IP地址池中选择可用的公共IP地址和端口号,并创建相应的NAPT表项。 这些NAPT条目指定消息的专用网络IP地址、端口号以及公共网络IP地址和端口号之间的映射关系。 接着,RTA将消息的发送方IP地址和端口号转换为公用地址200.10.10.1和端口号2843,并将消息转发给公用网络。 网关RTA接收到回复消息后,根据以前的映射表再次进行转换,然后转发给主机a。 主机b也一样。 2.4 Easy IP Easy IP允许将多个内部地址映射到网关输出接口地址上的不同端口。
Easy IP适用于小型局域网中的主机访问互联网的场景。 小型局域网通常位于小型网吧或办公室。 这些位置的内部主机很少,并且可以通过拨号从主叫方获取临时公共网络IP地址。 Easy IP允许内部主机使用此临时公共网络IP地址访问互联网。
此示例说明了Easy IP的实现过程。 RTA从主机a接收用于访问公共网络的请求消息,消息的源IP地址为192.168.1.1,源端口号为1025。 RTA创建Easy IP表项。 此条目指定源IP地址和端口号与输出接口的公共IP地址和端口号之间的映射关系。 然后根据匹配的Easy IP表条目,将消息的发送方IP地址和端口号转换为接口的IP地址和端口号,并将消息转发给公用网络。 的源IP地址转换为200.10.10.10/24,对应的端口号为2843。
路由器接收到回复消息后,根据消息的目标IP地址和端口号查询Easy IP表项。 路由器根据匹配的Easy IP表项,将消息的目标IP地址和端口号转换为互连局域网主机的IP地址和端口号,并将消息转发到主机。
2.5 NAT服务器通过配置NAT服务器,允许外联网用户访问内联网服务器。
NAT在引导内部网用户访问公共网络的同时,屏蔽了公共网络用户访问专用网络主机的需求。 如果专用网络需要为公共网络用户提供Web服务和FTP服务,则专用网络的服务器必须随时可供公共网络用户访问。 NAT服务器可以满足这一要求,但必须将服务器的专用IP地址和端口号设置为转换为公共IP地址和端口号并发布。 路由器收到公共网主机的请求消息后,根据消息的目标IP地址和端口号查询地址转换表条目。 路由器根据匹配的地址转换表条目,将消息的目标IP地址和端口号转换为私网IP地址和端口号,并将消息转发给私网内的服务器。 在本例中,主机c需要访问因特网服务器,发送消息的目的地IP地址是200.10。
10.1,目的端口号是80。RTA收到此报文后会查找地址转换表项,并将目的IP地址转换成192.168.1.1,目的端口号保持不变。服务器收到报文后会进行响应,RTA收到私网服务器发来的响应报文后,根据报文的源IP地址192.168.1.1和端口号80查询地址转换表项。然后,路由器根据匹配的地址转换表项,将报文的源IP地址和端口号转换成公网IP地址200.10.10.1和端口号80,并转发报文到目的公网主机。 三、配置实验 3.1 静态NAT实验拓扑:
AR1:
AR2:
<Huawei>system-view[Huawei]interface LoopBack 0[Huawei-LoopBack0]ip address 8.8.8.8 32[Huawei-LoopBack0]quit[Huawei]interface GigabitEthernet 0/0/0[Huawei-GigabitEthernet0/0/0]ip address 10.1.1.1 255.255.255.248PC:
实验结果:
在AR1的G0/0/0口抓包:
AR1:
AR2:
<Huawei>system-view [Huawei]nat address-group 1 10.1.1.3 10.1.1.100[Huawei]acl 2000[Huawei-acl-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255[Huawei]interface GigabitEthernet 0/0/0[Huawei-GigabitEthernet0/0/0]ip address 10.1.1.2 25[Huawei-GigabitEthernet0/0/0] nat outbound 2000 address-group 1 no-pat[Huawei-GigabitEthernet0/0/0]quit[Huawei]interface GigabitEthernet 0/0/1[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.1 255.255.255.0 [Huawei-GigabitEthernet0/0/1]quit[Huawei]ip route-static 8.8.8.8 32 10.1.1.1PC:
实验结果:
nat outbound命令用来将一个访问控制列表ACL和一个地址池关联起来,表示ACL中规定的地址可以使用地址池进行地址转换。ACL用于指定一个规则,用来过滤特定流量。后续将会介绍有关ACL的详细信息。
nat address-group命令用来配置NAT地址池。 本示例中使用nat outbound命令将ACL 2000与待转换的192.168.1.0/24网段的流量关联起来,并使用地址池1(address-group 1)中的地址进行地址转换。no-pat表示只转换数据报文的地址而不转换端口信息。
实验拓扑:
AR1:
AR2:
<Huawei>system-view [Huawei]acl 2000[Huawei-acl-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255[Huawei]interface GigabitEthernet 0/0/0[Huawei-GigabitEthernet0/0/0]ip address 10.1.1.2 25[Huawei-GigabitEthernet0/0/0] nat outbound 2000[Huawei-GigabitEthernet0/0/0]quit[Huawei]interface GigabitEthernet 0/0/1[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.1 255.255.255.0 [Huawei-GigabitEthernet0/0/1]quit[Huawei]ip route-static 8.8.8.8 32 10.1.1.1PC:
实验结果:
nat outbound acl-number命令用来配置Easy-IP地址转换。Easy IP的配置与动态NAT的配置类似,需要定义ACL和nat outbound命令,主要区别是Easy IP不需要配置地址池,所以nat outbound命令中不需要配置参数address-group。命令nat outbound 2000表示对ACL 2000定义的地址段进行地址转换,并且直接使用GigabitEthernet0/0/0接口的IP地址作为NAT转换后的地址。
实验拓扑:
AR1:
AR2:
<Huawei>system-view[Huawei]interface GigabitEthernet 0/0/0[Huawei-GigabitEthernet0/0/0]ip address 10.1.1.1 255.255.255.248[Huawei-GigabitEthernet0/0/0]quit[Huawei]interface GigabitEthernet 0/0/1[Huawei-GigabitEthernet0/0/1]ip address 10.1.2.1 255.255.255.252[Huawei-GigabitEthernet0/0/1]quitHTTP-Service:
HTTP-Client:
实验结果:
AR1: <Huawei>system-view[Huawei]interface LoopBack 0[Huawei-LoopBack0]ip address 8.8.8.8 32[Huawei-LoopBack0]quit[Huawei]interface GigabitEthernet 0/0/0[Huawei-GigabitEthernet0/0/0]ip address 10.1.1.1 25
AR2:
<Huawei>system-view [Huawei]nat address-group 1 10.1.1.3 10.1.1.3[Huawei]acl 2000[Huawei-acl-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255[Huawei]interface GigabitEthernet 0/0/0[Huawei-GigabitEthernet0/0/0]ip address 10.1.1.2 25[Huawei-GigabitEthernet0/0/0] nat outbound 2000 address-group 1[Huawei-GigabitEthernet0/0/0]quit[Huawei]interface GigabitEthernet 0/0/1[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.1 255.255.255.0 [Huawei-GigabitEthernet0/0/1]quit[Huawei]ip route-static 8.8.8.8 32 10.1.1.1PC:
实验结果:
PC1可以ping通8.8.8.8,抓包信息为: