NAT初步了解
NAT初步了解
- 一、公有地址耗盡
- 二、NAT
- 1、工作原理
- 2、NAT功能
- 3、優(yōu)點(diǎn)和缺點(diǎn)
- 4、NAT分類
- 三、靜態(tài)NAT
- 1、實(shí)現(xiàn)方式
- 2、原理
- 3、命令
- 四、動(dòng)態(tài)NAT
- 1、實(shí)現(xiàn)方式
- 2、原理
- 3、命令
- 五、PAT端口多路復(fù)用
- 1、原理
- 2、PAT的作用
- 3、PAT類型
- 4、NAPT
- 5、Easy IP
- 6、NAT server端口映射
- 六、總結(jié)
一、公有地址耗盡
公有網(wǎng)絡(luò)地址是指互聯(lián)網(wǎng)上全球唯一的IP地址。
2019年11月26日,是人類互聯(lián)網(wǎng)時(shí)代值得紀(jì)念的一天,全球近43億IPv4地址已正式耗盡。
二、NAT
NAT(Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換),是用于實(shí)現(xiàn)私有地址和公有地址間的互訪。
當(dāng)在專用網(wǎng)內(nèi)部的一些主機(jī)本來已經(jīng)分配到了本地IP地址(即僅在本專用網(wǎng)內(nèi)使用的專用地址),但現(xiàn)在又想和因特網(wǎng)上的主機(jī)通信時(shí),可使用NAT方法。
1、工作原理
2、NAT功能
NAT不僅能解決IP地址不足的問題,而且還能有效的避免來自網(wǎng)絡(luò)外部的入侵,隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)
- 帶寬分享:這是NAT主機(jī)的最大功能
- 安全防護(hù):NAT之間的PC聯(lián)機(jī)到Internet上時(shí),他所顯示的IP是NAT主機(jī)的公網(wǎng)IP,所以clinet端的PC就具有一定程度的安全了,外界在進(jìn)行portscan(端口掃描)的時(shí)候,就偵測(cè)不到源clinet端的PC。
3、優(yōu)點(diǎn)和缺點(diǎn)
- 優(yōu)點(diǎn):節(jié)省公有合法IP地址、處理地址質(zhì)量、增大靈活性、安全性
- 缺點(diǎn):延遲增大、配置和維護(hù)的復(fù)雜性、不支持某些應(yīng)用(比如VPN)
4、NAT分類
- 靜態(tài)NAT
- 動(dòng)態(tài)NAT
- PAT:又分為動(dòng)態(tài)PAT(包含NAPT和EasyIP)和靜態(tài)PAT(NAT server)。
三、靜態(tài)NAT
1、實(shí)現(xiàn)方式
靜態(tài)NAT實(shí)現(xiàn)私網(wǎng)地址和公網(wǎng)地址的一對(duì)一轉(zhuǎn)換,有多少個(gè)私網(wǎng)地址就需要配置多少個(gè)公網(wǎng)地址,靜態(tài)NAT不能節(jié)約公網(wǎng)地址,但可以起到隱藏內(nèi)部網(wǎng)絡(luò)的作用。
2、原理
- 內(nèi)網(wǎng)向外網(wǎng)發(fā)送報(bào)文時(shí),靜態(tài)NAT將報(bào)文的源IP得知替換為對(duì)應(yīng)的公網(wǎng)地址。
- 外網(wǎng)向內(nèi)網(wǎng)發(fā)送響應(yīng)報(bào)文時(shí),靜態(tài)NAT將報(bào)文的目的地址替換為相應(yīng)的私網(wǎng)地址。
3、命令
分為兩種模式,一種全局模式,第二種是直接在接口發(fā)表聲明
- 全局模式
- 接口模式
四、動(dòng)態(tài)NAT
1、實(shí)現(xiàn)方式
多個(gè)私網(wǎng)IP地址對(duì)應(yīng)多個(gè)公網(wǎng)IP地址,基于地址池一對(duì)一映射。
2、原理
- 配置外部網(wǎng)口和內(nèi)部網(wǎng)口的IP地址。
- 定義合法IP地址池。
- 定義訪問控制列表。
- 在外網(wǎng)口上設(shè)置動(dòng)態(tài)IP地址轉(zhuǎn)換
3、命令
[Huawei]nat address-group 1 212.0.0.100 212.0.0.200 #新建一個(gè)名為1的nat地址池 [Huawei]acl 2000 #創(chuàng)建ACL,允許源地址為192.168.20.0/24網(wǎng)段和11.0.0.0/24的數(shù)據(jù)通過 [Huawei-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255 [Huawei-acl-basic-2000]rule permit source 11.0.0.0 0.0.0.255 [Huawei-acl-basic-2000]int g0/0/1 #外網(wǎng)口 [Huawei-GigabitEthernet0/0/1]nat outbound 2000 adress-ground 1 no-pat#將ACL2000匹配的數(shù)據(jù)轉(zhuǎn)換為改接口的IP地址作為源地址(no-pat不做端口轉(zhuǎn)換,只做IP地址轉(zhuǎn)換,默認(rèn)pat)五、PAT端口多路復(fù)用
端口多路復(fù)用(Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換,即端口地址轉(zhuǎn)換(PAT,Port Address Translation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問,從而可以最大限度地節(jié)約IP地址資源。同時(shí),又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī),有效避免來自internet的攻擊。因此,目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。
1、原理
他實(shí)現(xiàn)一個(gè)公網(wǎng)地址和多個(gè)私網(wǎng)地址之間的映射。因此可以節(jié)約公網(wǎng)地址。PAT的基本原理是將不同私網(wǎng)地址的報(bào)文的源地址轉(zhuǎn)換為同一公網(wǎng)地址,但他們轉(zhuǎn)換為該地址的不同端口號(hào),因此能共享一個(gè)地址。
2、PAT的作用
- 改變數(shù)據(jù)包的IP地址和端口號(hào)
- 大量節(jié)約公網(wǎng)的P地址
3、PAT類型
動(dòng)態(tài)PAT:包含NAPT和Easy IP
靜態(tài)PAT:包含 NAT server
4、NAPT
多個(gè)私網(wǎng)IP地址對(duì)應(yīng)固定外網(wǎng)IP地址,配置方法與動(dòng)態(tài)NAT類似。
[Huawei]nat address-group 1 8.8.8.8 8.8.8.8
5、Easy IP
多個(gè)私網(wǎng)IP對(duì)應(yīng)外網(wǎng)口公網(wǎng)IP地址
- 配置內(nèi)網(wǎng)、外網(wǎng)IP
- 定義IP地址池
- 訪問控制列表
- 外網(wǎng)口設(shè)IP地址轉(zhuǎn)換
6、NAT server端口映射
將私有地址作為公網(wǎng)地址映射
[Huawei]int g0/0/1 #外網(wǎng)口 [Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 9.9.9.9 www inside 192.168.10.10 www#在連接公網(wǎng)的接口上將私網(wǎng)服務(wù)器地址和公網(wǎng)地址做一對(duì)NAT映射綁定 [Huawei]int g0/0/1 #外網(wǎng)口 [Huawei-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8 080 inside 10.1.1.1 80#在連接公網(wǎng)的接口上將私網(wǎng)服務(wù)器地址和外網(wǎng)接口作NAT映射綁定六、總結(jié)
這種通過使用少量的全球IP地址(公網(wǎng)IP地址)代表較多的私有IP地址的方式,將有助于減緩可用的IP地址空間的枯竭。
總結(jié)
- 上一篇: DDR3 vs DDR4内存:性能对决,
- 下一篇: ACL简单配置