仿做网站要多少钱,汕头网站推广系统,网络游戏排行榜2022,微分销商城系统【华为】NAT的分类和实验配置 NAT产生的技术背景IP地址分类NAT技术原理NAT分类静态NAT动态NATNAPTEasy IP#xff08;PAT#xff09;NAT Server 配置拓扑静态NAT测试抓包 动态NAT测试抓包 NAPT测试抓包 PAT测试抓包 NAT Server检测抓包 PC1PC2服务器 NAT产生的技术背景
随着… 【华为】NAT的分类和实验配置 NAT产生的技术背景IP地址分类NAT技术原理NAT分类静态NAT动态NATNAPTEasy IPPATNAT Server 配置拓扑静态NAT测试抓包 动态NAT测试抓包 NAPT测试抓包 PAT测试抓包 NAT Server检测抓包 PC1PC2服务器 NAT产生的技术背景
随着互联网用户的增多IPv4的公有地址资源显得越发短缺。 同时IPV4公有地址资源存在地址分配不均的问题这导致部分地区的IPv4可用公有地址严重不足。 一方面NAT缓解IPv4地址短缺的问题另一方面NAT技术让外网无法直接与使用私有地址的内网进行通信提升了内网的安全性。
IP地址分类
公有地址 公有地址是互联网上全局唯一且可访问的地址就是可以直接上网由Internet NICInternet Network Information Center因特网信息中心负责分配和管理。 私有地址 私有地址则是一类特殊的IPv4地址主要用于内部网络如企业局域网、家庭网络等之间的通信。这些地址在公共互联网上不被识别和使用因此不能直接从互联网上进行访问。
A、B、C类地址中格预留一些地址专门作为私有地址 A类10.0.0.0 - 10.255.255.255 B类172.16.0.0 - 172.31.255.255 C类192.168.0.0 - 192.168.255.255
NAT技术原理
NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程主要用于实现内部网络私有IP地址访问外部网络公有IP地址的功能。
NAT的典型应用场景:在私有网络内部(园区、家庭)使用私有地址出口设备部署NAT对于“从内到外”的流量网络设备通过NAT将数据包的源地址进行转换(转换成特定的公有地址)而对于“从外到内的”流量则对数据包的目的地址进行转换。
通过私有地址的使用结合NAT技术可以有效节约公网IPv4地址。
NAT分类
静态NAT
静态NAT通过建立一对一的地址映射关系来实现内外网之间的通信。 内部主机的私有IP地址被手动配置映射到一个公有IP地址。当内部主机发送数据包时NAT设备会检查数据包的源IP地址并在静态NAT转换表中查找与源IP地址匹配的映射规则。 将内接口192.168.10.1 转换成 全局接口IP公有IP地址 202.101.1.100
动态NAT
动态NAT使用地址池中的公有IP地址来动态地为内部网络的主机分配地址。 当内部主机需要访问外部网络时NAT设备会从地址池中选取一个未使用的公有IP地址并将其与内部主机的私有IP地址建立映射关系。 现网中几乎没有用当作了解即可
NAPT
NAPTNetwork Address Port Translation网络地址端口转换 NAPT是NAT的一种扩展形式它允许多个内部主机共享一个公有IP地址NAPT不仅转换IP地址还转换TCP或UDP端口号。
当内部主机向外部网络发送数据包时NAPT设备会将源IP地址和源端口号替换为公有IP地址和一个不冲突的端口号并在转换表中记录这个映射关系。
Easy IPPAT
实现原理和NAPT相同同时转换IP地址、传输层端口区别在于EasyIP没有地址池的概念,直接用出接口IP地址作为NAT转换的公有地址。
Easy IP适用于不具备固定公网IP地址的场景: 如通过DHCP、PPPoE拨号获取地址的私有网络出口可以直接使用获取到的动态地址进行转换。
NAT Server
NAT Server是一种在NAT设备上实现的特定服务它允许内部网络中的特定服务器通过公有IP地址暴露给外部网络。
指定[公有地址:端口]与[私有地址:端口]的一对一映射关系将内网服务器映射到公网 当私有网络中的服务器需要对公网提供服务时使用。 外网主机主动访问[公有地址:端口]实现对内网服务器的访问。
外部网络的客户端可以通过这些公有IP地址访问内部服务器而NAT设备会负责将外部请求转发给内部服务器并将内部服务器的响应返回给外部客户端。 就是能够从公网访问到我内部服务器
配置
拓扑 静态NAT
Huaweisystem-view
Enter system view, return user view with CtrlZ.
[Huawei]sysname AR1[AR1]undo info-center enable
Info: Information center is disabled.##配置IP地址
[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.101.1.2 255.255.255.0
[AR1-GigabitEthernet0/0/0]quit ## 1、全局下开启需要在接口下调用
[AR1]nat static global 202.101.1.100 inside 192.168.10.1[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0] nat static enable## 2、直接在接口下调用
[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0]nat static global 202.101.1.100 inside 192.168.10.1测试 抓包
转换成功
动态NAT
配置步骤 ① 先创建一个地址池 ② 配置地址转换的ACL规则感兴趣流量 ③ 接口视图下部署带地址池的NAT outboundno-pat
Huaweisystem-view
Enter system view, return user view with CtrlZ.
[Huawei]sysname AR1[AR1]undo info-center enable
Info: Information center is disabled.[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.101.1.2 255.255.255.0
[AR1-GigabitEthernet0/0/0]quit ## 创建NAT地址池 1
[AR1]nat address-group 1 202.101.1.10 202.101.1.12## 创建ACL规则匹配哪些流量可以进行地址转换
[AR1]acl 2000
[AR1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255
[AR1-acl-basic-2000]quit ## 进入接口视图下部署带地址池的NAT outbound并关联ACL 2000
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat
[AR1-GigabitEthernet0/0/0]quit
## no-pat参数指定不进行端口转换[AR1]ip route-static 0.0.0.0 0.0.0.0 202.101.1.1测试
通信虽然成功了但因为我们NAT地址池中只有三个公有地址会导致ping包不够用这个就是动态NAT的缺陷 我们在现网当中常用的是NAPT和Easy IP所以这个动态NAT当作一个了解就好
抓包
在抓到的数据包中会更明显
NAPT
配置步骤 ① 先创建一个地址池 ② 配置地址转换的ACL规则感兴趣流量 ③ 接口视图下部署带地址池的NAT outbound
Huaweisystem-view
Enter system view, return user view with CtrlZ.
[Huawei]sysname AR1[AR1]undo info-center enable
Info: Information center is disabled.[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.101.1.2 255.255.255.0
[AR1-GigabitEthernet0/0/0]quit ## 创建NAT地址池 1
[AR1]nat address-group 1 202.101.1.10 202.101.1.12## 创建ACL规则匹配哪些流量可以进行地址转换
[AR1]acl 2000
[AR1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255
[AR1-acl-basic-2000]quit ## 进入接口视图下部署带地址池的NAT outbound并关联ACL 2000
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 ## 默认是端口转换
[AR1-GigabitEthernet0/0/0]quit[AR1]ip route-static 0.0.0.0 0.0.0.0 202.101.1.1测试
这个就已经是5个报文全通了和上面的动态NAT有区别了 NAPT是用一个公有IP地址的端口来进行转换而伪端口又有很多个所以完全够用
抓包 PAT
配置步骤 ① 配置地址转换的ACL规则感兴趣流量 ② 接口视图下部署NAT outbound
Huaweisystem-view
Enter system view, return user view with CtrlZ.
[Huawei]sysname AR1[AR1]undo info-center enable
Info: Information center is disabled.[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.101.1.2 255.255.255.0
[AR1-GigabitEthernet0/0/0]quit ## 创建ACL规则匹配哪些流量可以进行地址转换
[AR1]acl 2000
[AR1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255
[AR1-acl-basic-2000]quit ## 进入出接口部署 NAT outbound并关联ACL 2000
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000
[AR1-GigabitEthernet0/0/0]quit[AR1]ip route-static 0.0.0.0 0.0.0.0 202.101.1.1测试 抓包
直接将出接口IP地址202.101.1.2 拿来做端口转换
NAT Server
Huaweisystem-view
Enter system view, return user view with CtrlZ.
[Huawei]sysname AR1[AR1]undo info-center enable
Info: Information center is disabled.## 将192.168.10.100 端服务器地址端口8080 映射给 公网地址202.101.1.200 的 80 端口上
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.101.1.2 255.255.255.0
[AR1-GigabitEthernet0/0/0]nat server protocol tcp global 202.101.1.200 www insid
e 192.168.10.100 8080 检测 抓包
能看到我的202.101.1.1 去ping 202.101.1.200 80 端口就说明这个配置没有问题只是模拟器的服务器不支持Telnet登入所以才会导致失败命令是没有问题的
PC1 PC2 服务器
