网络IP映射,配置ip映射

ip设置与防火墙外网映射
ip

网络之间互连的协议也就是为计算机网络相互连接进行通信而设计的协议。在因特网中，它是能使连接到网上的所有计算机网络实现相互通信的一套规则，规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统，只要遵守IP协议就可以与因特网互连互通。IP地址具有唯一性，根据用户性质的不同，可以分为5类。另外，IP还有进入防护，知识产权，指针寄存器等含义。

地址分配

根据用途和安全性级别的不同，IP地址还可以大致分为两类：公共地址和私有地址。公用地址在Internet中使用，可以在Internet中随意访问。私有地址只能在内部网络中使用，只有通过代理服务器才能与Internet通信。
这就是我们俗称的外网和内网

外网

根据上面所说，简单来说就是可以在互联网中任意访问（当然…也别瞎访问…）的ip称为外网，外网就不经路由器或交换机就可以上网的网络，可以直接被外界所访问到。无需经如何设备，直接连接电脑，其中联通，电信，移动等都已经超过局域网的覆盖范围，应该都算是外网。

内网

内网IP包括：内网的IP也就是所谓的局域网内的IP，内网IP多半为，网吧内的局域网，校园网，小区网，打开ADSL路由功能后形成的局域网，局域网应该也是内网（不知道我的理解对不对），局域网是指在某一区域内由多台计算机互联成的计算机组，局域网内可以实现文件管理，软件共享等之类的日程安排，电子邮件和传真通信等功能，局域网是封闭性的。局域网由网络硬件和网络传输介质，以及网络软件组成。

外网与内网的区别

判断外网与内网关键看它是不是与广阔的外界互联。我们说的www的概念就是这样，world wide web。它是世界范围内的互联。不管你用什么宽带，只要你连接了internet，可与外界（世界范围，法律规定除外）进行互通，就是外网。外网与内网不同，外网可以是数百万台计算机，而内网基本上不会超过5000台计算机
说句最通俗也最容易理解的话。外网是可以上互联网的，内网基本是办公的局域网内互相访问，不能连接互联网。

Adsl

adsl比较特殊，它有两种工作方式。第一种，adsl的modem打开代理功能，这时候，modem实际上就可以看作一台电脑，它是internet（外网）的一个节点，同时，它与你的电脑连接成为局域网，也就是内网，内网网关就是modem。第二种，通过电脑进行拨号上网，这种情况下，modem就是电脑的一个外部设备，而你的电脑通过电话线直接连接在internet上，不存在其它网络，因此也就无所谓内网外网。

ip的设置方法

上面已经解释了各个网络的区别，下面我来操作各个系统如何设置ip，现在很多人也许知道ip这个东西，但从来也不关心这个问题，因为现在技术大部分都是属于自动获取，你无须操心你的ip设置，反正能上网就行。

但是不同的是，如果是在工作环境中，你的ip就尤为重要了，打个比方来说，这就属于你网络的一个身份证号，一个识别的编号一样，在工作中有很多情况需要知道你的ip是多少，从小说个人网络上不了可能是ip问题，但是从大说ip问题可能影响到整个公司网络部署，因为ip是会冲突的。

winodws的ip设置

其实我对于ip也并不是非常了解，但是对于现在基础来说，应该是够用，但是如果有更需要的东西，当然还是要去学习，只要对你有所用处肯定就要去学的，这就是进步。

windows的ip设置： windows的ip设置应该是最简单的了，也是用的最多的。

1.首先打开网络，然后打开网络发现与共享。

2.然后打开网络适配器
3.这里你会看到好几个网络，我这里有几个虚拟机的网卡，暂时不用管，还要wifi网卡，还有以太网，这些不用管它，你就当字面意思理解就好，只用打开你正在使用或者需要使用的网卡。
4.点击反键 –> 属性 –> Internet 协议版本 4 （TCP/IPv4） –> 属性 这里你就可以看到ip的设置项，你想要手动设置，你就需要一个网络段，根据你自己的网络段来手动设置你的静态ip就行了。

Linux的ip设置:

Linux设置ip的方法真的是特别多，临时生效，当前生效，永久生效，命令设置ip，修改配置文件，ip的命令也是各式各样，在这里我就不一一去解释，去实验。我直接修改ip的配置文件，方便直接，也是永久生效。在Linux修改配置文件，基本就是永久生效的。

1.进入设置ip的文件目录

cd /etc/sysconfig/network-scripts/进入ip的文件目录ls查看当前文件，选择你要设置的网卡（ifcfg-ethX，这个名称在各个机器上有不同的名称，你可以输入ip a查看一下你的网卡名称）,X代表编号，我这里有2个网卡，一般都只有一个网卡，我是虚拟机ip a查看当前ip

打开配置文件进行修改

vi /ifcfg-xxx1进入配置文件，修改一般来说都是DHCP，这是自动获取的意思静态ip配置：ONBOOT=yes 开机自启BOOTPROTO=static 设置静态DNS1=8.8.8.8 DNS设置IPADDR=你的ip网段 ip地址NETMASK=255.255.255.xxx 子网掩码GATEWAY=xxx.xxx.xxx.x 网关

ps:静态
ps:自动获取

重启网卡

service network restart重启网卡（因为我这里之前设置好ip了，重启用的xshell，所以中途掉线）备注(还有一种命令)：systemctl start xxxxx 启动systemctl restart xxxxxx 重启systemctl stop xxxxxxx 停止systemctl enable xxxx 开机自启systemctl disable xxxx 开机不启动systemctl status xxxx 查看服务状态systemctl list -units --type=sevice 查看已启动的服务

4.检查

ip a查看ip设置ping xxx.xxx.xxx.xx 测试网络是否联通使用xshell连接是否正常

其 实就像我之前说的，ip这个问题可qkdxy小，但是这相当于属于基础，必须要会；根据上面来说，设置一个简单的动态或者静态ip真的是很简单，但是还有很多设置ip的方法，包括我下面要说的防火墙的外网映射，还有等等之类的，其实我都不是很了解，防火墙外网映射也是近期才了解这个，才知道原来还有这种设置方法。所以在IT这个环节里，无论你职位是什么，你总会有学不完的东西，IT在进步，你也需要进步，不然你迟早会被淘汰。

防火墙的外网映射 NAT

NAT（Network Address Translation，网络地址转换）是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。
这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址。这样，所有使用本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特网连接。
另外，这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于减缓可用的IP地址空间的枯竭。

NAT功能

NAT是网络地址转换，它实现内网的ip地址与公网的地址之间的互相转换，将大量的内网ip地址转换为一个或少量公网ip地址，减少对公网ip地址的占用。
例如：在一个局域网内，只需要一台计算机连接上lnternet，就可以利用NAT共享lnternet连接，使局域网内其他计算机也可以上网。使用NAT协议，局域网内的计算机可以访问lnternet上的计算机，但lnternet上的计算机无法访问局域网内的计算机。

NAT不仅能解决ip地址的不足问题，还能够有效的避免来自网络外部的攻击，隐藏并保护网络内部的计算机宽带分享：这是NAT主机的最大功能安全防护：NAT之内的PC联机到lnternet上面时，显示的ip是NAT主机的公共ip，所以当客户端的PC当然就具有一定程度的安全性，外界在进行portscan 端口扫描时，就侦测不到源客户端的PC了。 端口映射原理

将入内网的一台电脑要上因特网，就需要端口映射，端口映射分为动态和静态。

1.动态端口映射

动态端口映射：假如内网中的一台电脑要访问互联网，会向NAT网关发送数据包，包头就包括对方的ip，端口和本机ip，端口，NAT网关会把本机的ip、端口替换成自己的公网ip，一个未使用的端口，并且记录这个映射关系，为以后转发数据包使用。然后再把数据发送给互联网，互联网这边收到数据后做出回应，发送数据到NAT网关的未使用端口，然后NAT网关将数据转发给内网中的那台电脑，实现内网和公网的通讯，当连接关闭时，NAT网关会释放分配给这条连接的端口，以便以后的的连接可以继续使用。动态端口映射就是NAT网关的工作方式。

2.静态端口映射

在NAT网关上开放一个固定的端口，然后设定此端口收到的数据要转发给内网的哪个ip和端口，不管有没有连接，这个映射关系都会一直存在。就可以让公网主动访问内网的一个电脑。NAT网关可以是交换机、路由器或者电脑。

3.Juniper防火墙的网络地址映射

Juniper防火墙作为网络的一道关卡，除了控制内网用户访问外网之外还可以控制外网对内网的访问，如果用户内网的服务器需要对外网发布服务的话就需要使用Juniper防火墙的网络映射功能
这个防火墙我也不是很了解，我只是讲解一下，也是给我自己工作做个笔记，公司业务防火墙外网映射该如何去做

1.首先上跳板机打开需要设置的服务器。

2.然后使用xshell登入防火墙

3.输入命令进入路由表

edit security nat static进去之后可以直接输入命令，则无需在添加rule-set

4.创建一个路由表

set rule-set 2017-12-19 from zone untrust在防火墙创建一个2017-12-19的表格

5.查看一下表格

1. show2. 查看表3. 第一个表示之前创建的，忽略不管4. 第二个就是我们刚刚创建的表格2017-12-19

6.进入表格，查看当前位置

edit rule-set 2017-12-19进入2017-12-19表格show查看当前位置

7.添加外网

set rule 19 match destination-address 202.66.43.200给19这个表里添加一个外网ip

8.添加内网ip，做相互转换

set rule 19 then static-nat prefix 192.168.10.20给19表里添加内网ip，做网络转换

9.提交（测试情况下请回滚）

commit confirmed 5回滚，发现错误。commit confirmed 5这个命令是说5分钟后回滚，在测试环境下使用，5分钟后，外网ip失效，回到初始值。

10.检查错误

show查看表exit退出show查看整体表结构commit confirmed 5错误提示，发现问题：2017-12-19和2017-12-16的规则具有相同的背景，配置检测失败

11.解决问题

delete rule-set 2017-12-19删除19这个表show查看一下

12.继续添加

edit rule-set 2017-12-16进入16这个表。ps：这个表示之前给客户创建的表格，注意这个表里的名称是rule1

13.新建代码

set rule rule2 match destination-address 202.66.43.200在16这个表里添加第二行代码，赋值外网ipset rule rule2 then static-nat prefix 192.168.10.20在16这个表里，赋值内网ipshow查看一下

14.提交

commit confirmed 5提交并回滚。ps:因为这里是做实验测试，所以选择回滚，如果正常映射，直接输入commit提交即可。现在正常了。

15.测试

开启xshell 输入ip进入服务器，查看外网，ping ip。测试完毕即可。

总结

上面这套流程即是我在工作中需要给服务器做外网映射的流程。其实对于juniper SRX、NAT 来说我都不是很了解，包括配置使用都还不完善。下面我会给出学习资料，可以在闲余时间可以适当学习，加强自己的技能水平。
在刚刚那套外网映射流程中，遇到的问题也询问过飞哥，在防火墙里这个路由表是由限制的，需要配置，所以在我新创一个路由表的时候，第一次安装失败，后来在前一章表里，加一行代码则成功。
其实从上班到现在发现自己真的很多东西都不懂，不管是运维技术也好，语言也好，网络基础也好，Linux系统，windows系统，都有无数需要你去学习去了解的地方，IT更新换代快，软件的使用也更新换代的快，基础为王，把基础打好，了解软件，这样在新出一款比较好用的软件后，你可以迅速上手，多努力加油。
不忘初心