另一方面,NAT——网络地址转换技术1,http://www.Sina.com /局域网中的主机需要接入外部网络时,通过NAT技术公开其专用网络地址因为多个私有网络用户可以共享一个公用地址,所以可以保证网络的互操作性,并且可以节约公用地址。
网络地址转换技术NAT——主要用于实现位于内部网络的主机访问外部网络的功能
2,http://www.Sina.com /
(1)企业或家庭使用的网络为专用网络,使用专用地址的运营商维护的网络为公用网络,使用的是公用地址。 私有地址无法在公共网络上路由。
)2)NAT是将IP数据报文头部中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能。如果接收到的消息的源地址是互联网地址,而目的地地址是公用地址,则NAT可以将源互联网地址转换为一个公用地址这样,公用网络的目的地就可以接收并响应消息。
(3)此外,应用场景:
NAT一般部署在连接内网和外网的网关设备上。
过程分析:源地址为192.168.1.1的消息必须发送到公用地址100.1.1.1。 已在网关RTA上配置了私有地址192.168.1.1到公用地址200.10.10.1的映射。 网关在接收到主机a发送的分组时,将消息的源地址192.168.1.1转换为200.10.10.1,然后将该消息转发到目的地设备。 目标设备返回的消息的目标为200.10.10.1。 网关收到回复消息后,将执行静态地址转换,将200.10.10.1转换为192.168.1.1,并将消息转发到主机a。
使用环境:网关上还会创建一个NAT映射表,以便判断从公网收到的报文应该发往的私网目的地址。
缺点:一个公共IP只能分配给唯一且固定的内部网主机。 不节约IP地址。
3、静态NAT:实现了私有地址和公有地址的一对一映射。
流程分析:如果内部主机a和主机b需要与公共网络中的目标主机通信,请访问希望一台主机优先使用某个关联地址,或者想要外部网络使用一个指定的公网地址访问内部服务器时,可以使用静态NAT。
缺点:如果动态NAT地址池中的地址丢失,则在释放使用的公共IP之前,其他主机无法使用它访问公共网络。
4、动态NAT:基于地址池来实现私有地址和公有地址的转换。
过程分析: RTA收到互联主机的消息,源IP地址为192.168.1.1,源端口号为1025,目标IP地址为100.1.1.1,目标端口为80。 在网关RTA会从配置的公网地址池中选择一个未使用的公网地址与之做映射。每台主机都会分配到地址池中的一个唯一地址。当不需要此连接时,对应的地址映射将会被删除,公网地址也会被恢复到地址池中待用。当网关收到回复报文后,会根据之前的映射再次进行转换之后转发给对应主机。 之后,RTA将消息的发送方IP地址和端口号转换为公用地址200.10.10.1和端口号2843,并将消息转发给公用网络。 网关RTA接收到回复消息后,根据以前的映射表再次进行转换,然后转发给主机a。 主机b也一样。
5、NAPT——网络地址端口转换:允许多个内部地址映射到同一个公有地址的不同端口。
使用环境Easy IP适用于小型局域网中的主机访问互联网的场景。 外部接口可以通过拨号方式获取临时公共网的IP地址。RTA会从配置的公网地址池中选择一个空闲的公网IP地址和端口号,并建立相应的NAPT表项。这些NAPT表项指定了报文的私网IP地址和端口号与公网IP地址和端口号的映射关系。
过程分析: RTA收到主机a发出的接入公共网络请求消息,消息源IP地址为192.168.1.1,源端口号为1025。6、Easy IP:可以映射到网关出接口的不同端口号上。消息的源IP地址转换为200.10.10.10/24,相应的端口号为2843。
Easy IP可以实现内部主机使用这个临时公网IP地址访问Internet。
地址和端口号,查询Easy IP表项。路由器根据匹配的Easy IP表项,将报文的目的IP地址和端口号转换成私网主机的IP地址和端口号,并转发报文到主机。7、NAT Server-NAT 服务器技术:通过配置NAT服务器,可以使外网用户访问内网服务器。
NAT在使内网用户访问公网的同时,也屏蔽了公网用户访问私网主机的需求。当一个私网需要向公网用户提供Web和SFTP服务时,私网中的服务器必须随时可供公网用户访问。
需要配置服务器私网IP地址和端口号转换为公网IP地址和端口号并发布出去。路由器在收到一个公网主机的请求报文后,根据报文的目的IP地址和端口号查询地址转换表项。路由器根据匹配的地址转换表项,将报文的目的IP地址和端口号转换成私网IP地址和端口号,并转发报文到私网中的服务器。
过程分析:主机C需要访问私网服务器,发送报文的目的IP地址是200.10.10.1,目的端口号是80。RTA收到此报文后会查找地址转换表项,并将目的IP地址转换成192.168.1.1,目的端口号保持不变。服务器收到报文后会进行响应,RTA收到私网服务器发来的响应报文后,根据报文的源IP地址192.168.1.1和端口号80查询地址转换表项。然后,路由器根据匹配的地址转换表项,将报文的源IP地址和端口号转换成公网IP地址200.10.10.1和端口号80,并转发报文到目的公网主机。
8、相关配置命令总结:
(1)静态NAT配置:
*** nat static global +公网地址 inside +私网地址 命令——用于创建静态NAT。
global参数——用于配置外部公网地址。 inside参数——用于配置内部私有地址。
*** display nat static 命令——用于查看静态NAT的配置。
(2)动态NAT配置:
*** nat outbound 命令——用来将一个访问控制列表ACL和一个地址池关联起来,表示ACL中规定的地址可以使用地址池进行地址转换。 ACL用于指定一个规则,用来过滤特定流量。
*** nat address-group 命令——用来配置NAT地址池。
*** no-pat 命令——表示只转换数据报文的地址而不转换端口信息。
*** display nat address-group 命令——用来查看NAT地址池配置信息。
*** display nat outbound——用来查看动态NAT配置信息。 可以用这两条命令验证动态NAT的详细配置。
*** ping命令过后可以使用display nat session all 命令查看NAT 会话信息;
(3)Easy IP配置:
*** nat outbound acl-number 命令——用来配置Easy-IP地址转换。 Easy IP的配置与动态NAT的配置类似,需要定义ACL和nat outbound命令,主要区别是Easy IP不需要配置地址池,所以nat outbound命令中不需要配置参数address-group。
(4)NAT Server配置:
*** nat server protocol xxx global +公网地址 inside +私网地址 vpn-instance VPN实例名 acl ACL数 description 命令——用来定义一个内部服务器的映射表,外部用户可以通过公网地址和端口来访问内部服务器。
参数protocol——指定一个需要地址转换的协议; 参数global-address——指定需要转换的公网地址; 参数inside——指定内网服务器的地址。
*** display nat server 命令——用于查看详细的NAT服务器配置结果。 可以通过此命令验证地址转换的接口、全局和内部IP地址以及关联的端口号。