NAT技术原理、使用场景
最新推荐文章于 2023-05-18 17:00:44 发布
阅读量3.8k
收藏
12
点赞数
2
随着Internet的发展和网络应用的增多,有限的IPv4公有地址已经成为制约网络发展的瓶颈。为解决这个问题,NAT(Network Address Translation,网络地址转换)技术应需而生。
NAT技术主要用于实现内部网络的主机访问外部网络。一方面NAT缓解了IPv4地址短缺的问题,另一方面NAT技术让外网无法直接与使用私有地址的内网进行通信,提升了内网的安全性。
我们将了解NAT的技术背景, 学习不同类型NAT的技术原理、使用场景。
私网IP地址
公有地址:由专门的机构管理、分配,可以在Internet上直接通信的IP地址。
私有地址:组织和个人可以任意使用,无法在Internet上直接通信,只能在内网使用的IP地址。
A、B、C类地址中各预留了一些地址专门作为私有IP地址:
A类:10.0.0.0 ~ 10.255.255.255
B类:172.16.0.0 ~ 172.31.255.255
C类:192.168.0.0 ~ 192.168.255.255
NAT技术原理
NAT:对IP数据报文中的IP地址进行转换,是一种在现网中被广泛部署的技术,一般部署在网络出口设备,例如路由器或防火墙上。
NAT的典型应用场景:在私有网络内部(园区、家庭)使用私有地址,出口设备部署NAT,对于“从内到外”的流量,网络设备通过NAT将数据包的源地址进行转换(转换成特定的公有地址),而对于“从外到内的”流量,则对数据包的目的地址进行转换。
通过私有地址的使用结合NAT技术,可以有效节约公网IPv4地址。
静态NAT原理
静态NAT:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射。
支持双向互访:私有地址访问Internet经过出口设备NAT转换时,会被转换成对应的公有地址。同时,外部网络访问内部网络时,其报文中携带的公有地址(目的地址)也会被NAT设备转换成对应的私有地址。
静态NAT转换示例
静态NAT配置介绍
1.方式一:接口视图下配置静态NAT
[Huawei-GigabitEthernet0/0/0] nat static global { global-address} inside {host-address }
2.方式二:系统视图下配置静态NAT
[Huawei] nat static global { global-address} inside {host-address }
配置命令相同,视图为系统视图,之后在具体的接口下开启静态NAT。
[Huawei-GigabitEthernet0/0/0] nat static enable
在接口下使能nat static功能。
静态NAT配置示例
动态NAT原理
动态NAT:静态NAT严格地一对一进行地址映射,这就导致即便内网主机长时间离线或者不发送数据时,与之对应的公有地址也处于使用状态。为了避免地址浪费,动态NAT提出了地址池的概念:所有可用的公有地址组成地址池。
当内部主机访问外部网络时临时分配一个地址池中未使用的地址,并将该地址标记为“In Use”。当该主机不再访问外部网络时回收分配的地址,重新标记为“Not Use”。
动态NAT转换示例 (1)
动态NAT转换示例 (2)
动态NAT配置介绍
1.创建地址池
[Huawei] nat address-group group-index start-address end-address
配置公有地址范围,其中group-index为地址池编号,start-address、end-address分别为地址池起始地址、结束地址。
2.配置地址转换的ACL规则
Huawei] acl number
[Huawei-acl-basic-number ] rule permit source source-address source-wildcard
配置基础ACL,匹配需要进行动态转换的源地址范围。
3.接口视图下配置带地址池的NAT Outbound
[Huawei-GigabitEthernet0/0/0] nat outbound acl-number address-group group-index [ no-pat ]
接口下关联ACL与地址池进行动态地址转换,no-pat参数指定不进行端口转换。
动态NAT配置示例
NAPT原理
动态NAT选择地址池中的地址进行地址转换时不会转换端口号,即No-PAT(No-Port Address Translation,非端口地址转换),公有地址与私有地址还是1:1的映射关系,无法提高公有地址利用率。
NAPT(Network Address and Port Translation,网络地址端口转换):从地址池中选择地址进行地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:n映射,可以有效提高公有地址利用率。
NAPT转换示例 (1)
NAPT转换示例 (2)
NAPT配置示例
Easy IP
Easy IP:实现原理和NAPT相同,同时转换IP地址、传输层端口,区别在于Easy IP没有地址池的概念,使用接口地址作为NAT转换的公有地址。
Easy IP适用于不具备固定公网IP地址的场景:如通过DHCP、PPPoE拨号获取地址的私有网络出口,可以直接使用获取到的动态地址进行转换。
NAT Server使用场景
NAT Server:指定[公有地址:端口]与[私有地址:端口]的一对一映射关系,将内网服务器映射到公网,当私有网络中的服务器需要对公网提供服务时使用。
外网主机主动访问[公有地址:端口]实现对内网服务器的访问。
NAT Server转换示例
NAT Server配置示例
在私有网络内使用私有地址,并在网络出口使用NAT技术,可以有效减少网络所需的IPv4公有地址数目,NAT技术有效地缓解了IPv4公有地址短缺的问题。
动态NAT、NAPT、Easy IP为私网主机访问公网提供源地址转换。
NAT Server实现了内网主机对公网提供服务。
静态NAT提供了一对一映射,支持双向互访。
8454
网络领域新星创作者
到【灌水乐园】发言
XYZ橙子: ping不通啊
全栈小5: 博主的文章总是深入浅出,让我不再觉得学习新知识困难。博主的付出和分享令人钦佩。谢谢你,继续前行!支持【抓包工具Wireshark怎么使用,博主这篇文章,值得一看】
优质网络系统领域创作者: 欢迎收藏
坚强的松紧带: 这篇文章的开头部分对我的思路有了很大的启发,感谢
简单400: [FW-security-policy-ip-1-toInternet]source-ip-subnet 172.16.10.1 24 这条命令在高版本才有,如果是低版本可以执行哪些命令达到同样想过呢?