NAT基础:NAT技术原理,静态NAT、动态NAT、NAPT、Easy IP、NAT Server的原理,以及各NAT的配置方法和转换示例。
目录
NAT 技术原理:
静态NAT原理:
静态NAT(土豪用法):
NAT转换示例:
静态NAT配置方法介绍:
1、方式一:
2、方式二:
静态NAT的配置实例:
动态NAT原理:
动态NAT转换示例(1):
动态NAT配置介绍:
NAPT原理:
NAPT的配置方法:
查看nat映射表:
Easy IP:
Easy IP配置方法:
NAT Server(静态PAT):
NAT Server转换示例:
NAT Server配置示例:
NAT 技术原理:
NAT:对IP数据报文中的IP地址进行转换,是一种在现网中被广泛部署的技术,一般部署在网络出口设备,例如路由器或防火墙上。
NAT的典型应用场景,在私有网络内部(园区、家庭)使用私有地址,出口设备部署NAT,对于“从内到外”的流量,网络设备通过NAT将数据包的源地址进行转换(转换成特定的公有地址),而对于“从外到内的”流量,则对数据包的目的地址进行转换。
通过私有地址的使用结合NAT技术,可以有效节约公网IPv4地址。
静态NAT原理:
静态NAT(土豪用法):
一个私有地址对应并固定一个公有地址,现在企业几乎不会使用(因为并不会节省公网IP地址,也并不安全,因为可以直接通过公网地址找到主机。)
每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址的关系是一对一的映射。
支持双向互访:
私有地址访问Internet经过出口设备NAT转换时,会被转换成对应的公有地址。同时,外部网络访问内部网络时,其报文中携带的公有地址(目的地址)也会被NAT设备转换成对应的私有地址。
NAT转换示例:
静态NAT配置方法介绍:
1、方式一:
接口视图下配置静态NAT,在连接外网的接口上配置:
给每个私有地址都配置一个公有地址,一对一转换(土豪用法)
nat static global +(gloval-address--公网地址) inside +(host-address--内网主机的私网地址)例:
nat static global 10.10.1.1 inside 192.168.1.1
2、方式二:
1、系统视图下配置静态NAT:
nat static global +(global-address) inside +(host-address)
配置命令相同,视图为系统视图,之后在具体的接口下开启静态NAT
2、进入需要开启NAT的接口,在接口下启用NAT static功能:
nat static enable
给多个主机配置静态NAT示例:
静态NAT的配置实例:
一个公网地址对应一个私网地址。
配完后需要在公网路由器配置回来的路由,回来时目标地址的私网地址改成公网地址即可。
动态NAT原理:
动态NAT:静态NAT严格地一对一进行地址映射,这就是导致即便内网主机长时间离线或者不发送数据时,与之对应的公有地址也处于使用状态,为了避免地址浪费,动态NAT提出了地址池的概念:所有可用的公有地址组成的地址池。
当内部主机访问外部网络时,临时分配一个地址池中未使用的地址,并将改地址标记为“In Use”。当该主机不在访问外部网络时回收分配的地址,重新标记为“Not Use”。
地址池中有多少个公网地址,就可以有多少个主机一起上网。例如有三个公网地址,那就有三个主机可以一起上网,第四个主机想要上网时会因为没有公网地址而访问不了外网。只能等待分配出去的公网地址被回收,才能被分配到公网地址上网。所以在现在的阶段,动态NAT也是使用的比较少的。
动态NAT转换示例(1):
首先把公网地址组成一个地址池,当内网主机要访问外网的时候,报文到达了路由器,路由器会根据地址池中没有被使用的地址,在没有使用的地址中给他分配一个,做地址转换,然后把这个分配过去的公网地址做上“In Use”的标记,表示正在使用。 然后将数据发送给外网。
这样就会产生一个临时的NAT表项,生成的是临时的NAT映射表。如果这个公网地址长时间没有与外网通信,这个临时的NAT表项里的地址会存在老化现象,老化就相当于被删掉了,最后会被回收到动态NAT地址池,等待重新分配。如果表项不断的转换地,老化时间就会不断刷新,如果没有转换地址,老化时间到了,改地址就会被回收。
注意:
动态的地址分配是看地址池中哪个地址空闲了,才做出的临时分配。例如上午获取的公网地址时122.1.2.2,中午出去吃饭空闲了,地址被回收了。下午再来时访问外网被分配的地址可能就是122.1.2.3了。
所以说动态NAT地址分配的公网地址不是固定的,而是会存在变化的。
而静态NAT配置好后,公网地址是固定不变的,内网主机会一直使用这个静态NAT分配的公网地址。
回包时也是根据映射表查看公网地址对应的私网地址,进行地址转换,发送到内网主机。
动态NAT配置介绍:
1、创建地址池:
nat address-group group-index start-address end-address 配置公有地址范围,其中group-index为地址池编号,start-address、end-address分别为地址池起始地址、结束地址。例:
nat address-group 1 122.1.2.1 122.1.2.3 --- 允许三个用户同时访问外网,因为地址池有三个外网地址。
第一步配置地址池范围,可以配置一个公网地址,也可以配置一个范围的公网地址。有多少个公网地址就有多少个主机可以同时访问外网,所以现在动态NAT用的也比较少。
2、配置地址转换ACL规则:
Acl number
Rule permit source source-address source-wildcard配置基础acl,匹配需要进行动态转换的源地址范围。例:acl 2000
Rule 5 permit source 192.168.1.0 0.0.0.255 --- 允许192.168.1.0这个网段的IP地址使用这个地址池。
配置第二步的作用是允许某网段IP地址通过,只对这个范围的IP地址进行NAT地址转换,限制其他网段或其他范围的IP地址进行NAT地址转换。
在有多个地址池时,用acl访问控制列表可以控制哪些内网地址用哪个地址池。
3、接口视图下配置带地址池的NAT Outbound:
Nat outbound acl-number address-group group-index [no-pat] ---动态nat末尾一定要加no-pat例:
进入外网出口:
nat outbound 2000 address-group 1 no-pat ---acl编号+地址池编号+no-pat 只有报文的源地址匹配访问控制列表的时候,才会允许使用这个地址池中的地址。
接口下关联ACL与地址池进行动态地址转换,no-pat参数指定不进行端口转换
注:第三步配置好后,要将对方路由器配置路由表,配置的回程路由目的地址是地址池中的地址,要让转换的地址有回来的路。
no-pat(No-Port Address Translation,非端口地址转换)
动态NAT选择地址池中的地址进行地址转换时不会转换端口号,即No-PAT
动态nat在华为ensp模拟器中不能够很好的实现,所以不推荐在模拟器上配置。
NAPT原理:
1、NAPT的NAT映射表比动态NAT的NAT映射表多了端口号,不同的私网地址会被分配到不同的端口号。同个公有地址也会被分到不同的端口号。
2、在做地址转换时,一个公有地址会被分配到不同的端口号,对应多个私有地址。
3、回包的时候也是依靠NAT映射表中的地址端口号,查找与之对应的地址进行回包。
4、相同的公网地址回包时,就是依靠端口号进行区分。然后找到该端口号对应的私有地址进行回包。
5、在做地址转换时,NAT映射表中公有地址端口号是不会重复的,除非老化后,该端口号被回收,该端口号才会被重新分配。详情可看产品手册。
6、使用NAPT技术的话,理论上一个公有地址可以被分配到65535+65535个端口号(TCP 1-65535 UDP 1-65535),也就是说一个公有地址可以分配给几万个个私有地址使用。
NAPT与动态NAT的区别:
1、动态NAT选择地址池中的地址转换时不会转换端口号,即no-pat,动态nat是非端口地址转换。公有地址与私有地址还是1:1的映射关系,无法提高公有地址利用率。
2、NAPT(Network address and port Translation,网络地址端口转换),NAPT是网络地址端口转换 :从地址池中选择地址进行地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:N映射(一个公有地址对应多个私有地址),可以有效提高公有地址的利用率。
NAPT的配置方法:
对比动态NAT的配置方法,NAPT只需要在动态NAT的基础上,把no-pat删掉即可。
查看nat映射表:
Dis nat session all
Easy IP:
Easy IP:实现原理和NAPT相同,同时转换IP地址、传输层端口,区别在于Easy IP没有地址池的概念,使用接口地址做为NAT转换公有地址。
Easy IP适用于不具有固定公网IP的场景:如通过DHCP、PPPoE拨号获取的私有网络出口,可以直接获取到的动态地址进行转换。
Easy IP适用于小型公司或者家庭网络,没必要让运营商分配公有地址的时候使用。这时候就可以直接利用出口路由器的外网接口的地址来做一个NAPT。
Easy IP配置方法:
- 直接创建ACL列表
- 配置访问规则,允许哪些内网用户进行地址转换
- 进入外网接口使用命令:nat outbound 2000 ---(首先接口要配置IP地址,才能转换)
将通过的数据IP地址转换成接口的IP地址
Easy IP配置示例:
只需要用ACL将内网主机的地址段规定好,然后在在外网接口上直接用就行了
NAT Server(静态PAT):
NAT Server和静态NAT类似。
静态NAT 是 地址的一对一转换,允许外部主机访问内网主机的所有端口,可以双向互访,不安全。
NAT Server 是地址和端口的 一对一转换,只能让外部主机访问内网服务器的特定端口,更加的安全,仅支持单项互访,及外网主动访问内网。一般用于提供外网主机访问内网服务器的场景。
NAT Server使用场景:
NAT Server:指定[公有地址:端口]与[私有地址:端口]的一对一映射关系,将内网服务器映射到公网,当私有网络中的服务器需要对公网提供服务时使用。
外网主机主动访问[公有地址:端口]实现对内网服务器的访问。
当希望外部设备访问公司内部服务的时候,就可以使用NAT Server技术,可以让外部设备访问设定好的服务,不能访问公司所有服务,只允许访问这些允许访问的服务。
NAT Server转换示例:
NAT Server配置示例:
在R1上配置NAT Server将内网服务器 192.168.1.10的80端口映射到公有地址122.1.2.1的8080端口。
配置方法:
1、进入连接外网接口:
2、进入接口后配置公有IP地址
3、配置nat server 转换,将Tcp协议访问202.10.10.1为目标地址的数据转换成192.168.1.10 8080端口。
nat sever protocol tcp global 202.10.10.1(运营商分配的公有地址) www inside 192.168.1.10 8080
NAT基础:NAT技术原理,静态NAT、动态NAT、NAPT、Easy IP、NAT Server的原理,以及各NAT的配置方法和转换示例。相关推荐
- NAT 网络地址转换技术(一)NAT原理介绍:静态NAT、动态NAT、NAPT、Easy IP、NAT ALG、NAT服务器、双向NAT技术
文章目录 出现原因 基本概念 NAT技术基本原理 源NAT技术 静态NAT 动态NAT NAPT Easy IP NAT ALG NAT服务器 双向NAT技术 域间双向NAT(NAT Server+源 ...
- eNSP配置(直连/静态/动态路由,DHCP,单臂路由,ACL,NAT,链路聚合,负载均衡,WLAN,备份路由)
目录 常见问题: 一.同/不同网段与网关之间通信 二.以太网基本VLAN 三.静态路由 四.动态路由 (1)OSPF(开放最短优先路径) 适用于大型网络结构 (补充DR BDR) 单区域 多区域 (2 ...
- 计算机网络基础(静态路由,动态路由,公网IP,私网IP,NAT技术)
文章目录 一:静态路由和动态路由 二:静态路由的配置路由信息的方式演示 三:默认路由 四:公网IP和私网IP和NAT技术的基本理解 一:静态路由和动态路由 在说静态路由和动态路由前,我们需要来了解一下 ...
- 【华为】华为模拟器模拟静态、动态NAT、PAT技术
实验拓扑: 实验目的:1.利用静态.动态NAT技术使C1.C2ping通AR2. 2.利用PAT技术ping通. 实验步骤:1.如图配置好C1.C2 IP地址.掩码.网关. 如实验拓扑所示接好线.配置 ...
- 操作篇 了解学习NAT实验(关于静态NAT、动态NAT、EasyIP、端口映射的配置方法))
文章目录 前言 NAT工作原理 NAT分类 一:实验环境 1.1:实验原理 1.2实验目的 1.3华为NAT实验拓扑图 二:实验过程 配置SW1 配置AR1: 配置AR2: 前言 随着Internet ...
- 静态NAT,动态NAT,NAPT,Easy IP
静态NAT:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对 一映射. • 支持双向互访:私有地址访问Internet经过出口设备NAT转换时,会被转换成对应的公有 ...
- esnp的静态和动态nat
网络地址转换技术NAT 静态 NAT 对外发布网站 1.项目背景 Jan16公司搭建了网站服务器,用于对外发布公司官网.为了保障内部网络的安全和解决私有地址在公网的信息,需在出口路由中配置NAT,使内 ...
- 华为NAT配置(静态、动态、PAT)三种模式
华为NAT 配置 NAT(Network Address Translation,网络地址转换) NAT的实现方式有三种,即静态转换Static Nat.动态转换Dynamic Nat和端口多路复用O ...
- NAT--静态、动态、NAPT、Easy-ip、NAT server
静态NAT 静态 NAT ( Static NAT )( 一对一 ).将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一直不变的. 实验拓扑: PC配置 AR1 <Huawe ...
最新文章
- 微信小程序拍照视频上传php,微信小程序-拍照或选择图片并上传文件
- android access 腾讯地图,Android 腾讯地图 选点定位,仿微信发送位置
- SQL老司机,在SQL中计算 array map json数据
- Moocryption
- 如何研究Maven build时发生了哪些事情
- 渲染器跑分_这一次会挤牙膏吗?9400F/10400跑分对比
- reStructuredText(.rst)语法规则快速入门
- Adobe illustrator 批量变换同时选中的单个对象 - 连载 12
- python中字符串输出乱码怎么解决_Python字符串的encode与decode研究心得乱码问题解决方法(转)...
- Python开发最常犯错误总结10种
- hadoop2.X如何将namenode与SecondaryNameNode分开配置
- 大明龙权登录服务器信息解析失败,Steam第三方授权登录异常 《绝地求生》国服绑定中招...
- 海康sdk远程门禁_海康SDK-javademo实现
- 易语言静态连接器提取_vc98linker修复静态|易语言vc98linker静态连接器迷你版_最火软件站...
- EndNote参考文献管理软件
- 计算机与经济学之关联刍议,西方五大经济学期刊发展趋势刍议
- 正则判断手机号地区_判断手机号正则表达式
- java mqc系统开源代码_android PDF阅读器(开源) 暴强哦
- 电子计算机的产品情况,广东省市场监督管理局关于2020年度广东省电子计算机配套产品及耗材产品质量监督抽查情况的通告...
- 揭秘国漫《武动乾坤》制作幕后 动作戏竟然真人演
热门文章
- 无线路由器关掉dhcp服务器,无线路由器关闭dhcp会怎么样?
- mysql mediumint 长度_mysql字段类型tinyint、smallint、mediumint、int、bigint详解
- Java基础_day01_JDK和JRE+环境变量配置
- matlab dtw(),dtw matlab
- 绝缘子泄漏电流在线监测装置
- “”21天好习惯”第一期-2
- opencv 图像添加畸变
- 地质灾害监测系统 地质灾害监测解决方案
- Java+spring 基于ssm的医院设备管理系统#毕业设计
- Animator视图方法缩小