假装网络工程师8——NAT使用场景介绍

一、背景介绍

NAT地址转换是生产环境中用的最多的一种技术,除了能缓解ipv4地址不够外,还能有效保护内网真实服务器的地址,nat从流向的角度可以分为snat和dnat,本章对以下几种情况分别进行说明,拓扑如下图所示:

二、SNAT使用地址池方式

此种方式是定义一个地址池,内网地址访问外网时在网关接口进行源地址转换,转换后的源地址为地址池中的地址,同时可以通过no-pat选项决定是否开启端口复用

  1. 先进行基础配置

    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]ip add 12.0.0.1 24
    [R2]int g0/0/0
    [R2-GigabitEthernet0/0/0]ip add 12.0.0.2 24
    [R2-GigabitEthernet0/0/0]int g0/0/1
    [R2-GigabitEthernet0/0/1]ip add 23.0.0.1 24
    [R3]int g0/0/1
    [R3-GigabitEthernet0/0/1]ip add 23.0.0.2 24
  2. 此时R1没有去往R3的路由所有要在R1上添加去往R3的静态路由
    [R1]ip route-static 23.0.0.0 24 12.0.0.02
  3. 设置一个地址池,内网访问外网时会转化为地址池中的地址,此时再定义一个acl允许R1所在网段12.0.0.0/24流量通过
    [R2]nat address-group 1 23.0.0.10 23.0.0.20
    [R2]acl 2000
    [R2-acl-basic-2000]rule 5 permit source 12.0.0.0 0.0.0.255 
  4. 在R2的外网接口上调用nat地址转换及acl,no-pat则是不进行基于端口的转发
    [R2]int g0/0/1
    [R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat 
  5. 此时在到R2的外网接口抓包,能看到内网12.0.0.0/24地址已经转换为外网的23.0.0.0/24网段地址

    三、SNAT使用easy ip方式

    尽管上面2种方法都可以进行地址转换,但还是需要浪费至少一个额外的公网IP地址,现实场景下,大多数小企业结构拓扑更像如下:

    上图中只有一个公网IP地址,内网所有的访问在经过边界路由时都转化成23.0.0.2/24这个外网地址,华为产品管此场景成为easy ip,他的前4步配置与上面示例完全一样,只有在第5步端口调用时使用不同的命令

    [R2]int g0/0/1
    [R2-GigabitEthernet0/0/1]nat outbound 2000  

    此时源地址就会转换为R2上g0/0/1口的地址,通过outbound表能查看

    四、DNAT一对一方式

  6. 基础配置
    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]ip add 192.168.0.100 24
    [R1-GigabitEthernet0/0/0]q
    [R1]ip route-static 23.0.0.0 24 192.168.0.1 
    [R2]int g0/0/0
    [R2-GigabitEthernet0/0/0]ip add 192.168.0.1 24
    [R2-GigabitEthernet0/0/0]int g0/0/1
    [R2-GigabitEthernet0/0/1]ip add 23.0.0.2 24
    [R3]int g0/0/1
    [R3-GigabitEthernet0/0/1]ip add 23.0.0.3 24
  7. 为R1开通虚拟终端,模拟telnet服务器
    [R1]user-interface vty 0 4
    [R1-ui-vty0-4]set authentication password cipher huawei
    [R1-ui-vty0-4]user privilege level 15
  8. R2上配置映射地址,此时要注意对外提供telnet服务的地址不能和外口地址冲突
    [R2-GigabitEthernet0/0/1]nat static global 23.0.0.10 inside 192.168.0.100   

    可以通过映射命令查看静态转换地址表

  9. 在R3的用户模式下进行telnet登录测试
    <R3>telnet 23.0.0.10 23 

    五、DNAT一对多方式

    上面介绍了DNAT场景下通过static命令进行全地址映射,如果指向映射某个特定的端口,在边界路由的外口上使用以下命令:

    [R2-GigabitEthernet0/0/1]nat server protocol tcp global 23.0.0.10 2323 inside 192.168.0.100 23 

    六、总结

  10. 外网口SNAT场景下使用outbound命令,使用使用端口复用技术取决于参数no-pat(默认启用复用)
  11. 外网口static命令用于一对一的DNAT转换,server命令用于一对多的DNAT转换
  12. static属于全地址映射,实际中不常用;server是特定端口进行映射,常用

原文地址:https://blog.51cto.com/arkling/2466529

时间: 2024-11-02 10:18:53

假装网络工程师8——NAT使用场景介绍的相关文章

假装网络工程师6——vrrp使用场景介绍

一.背景介绍 vrrp作为一种常见的虚拟路由冗余协议,工作在应用层,协议号为112,该协议普遍用于各种生产环境中,其工作原理是隐藏多个实际提供服务的网元地址,取而代之使用一个虚拟的地址进行反向代理,所有终端指向反向代理地址,这样即使一台或多台网元故障,反向代理地址依然生效,网元之间通过一个特定的组播地址进行通信 本章就以2个网元对外提供统一网关地址为例,介绍vrrp的使用. 二.实验拓扑 PC1和PC2属于vlan和vlan20,SW3为接入层交换机,SW1和SW2是三层交换机与二层交换机SW3

假装网络工程师3——ospf的邻居建立条件与虚连接

一.背景说明 ospf作为IGP两大协议之一,有很多值得深挖的地方,仅通过一篇文章远远不够,后续还将通过多章篇幅进行说明. 二.ospf建立邻居的条件 尽管ospf作为一种链路状态协议,每一台路由器是通过lsa报文(其中包含其他路由器直连网段)在本地计算后形成以自己为根的路由表,但出于安全或其他方面的考虑ospf不是会和任意一台路由器建立邻居关系,ospf建立邻居有下面几个前提条件: 1. 直连路由的接口要宣告进同一个区域中(area) 2. 认证类型和认证密码要一致,查看命令 [R1]disp

假装网络工程师9——ospf中的1,2,3类lsa详解

一.前期回顾 之前讲过运行ospf的路由器之间是通过lsa进行消息传递,且建立邻接关系时,两端接口的网络类型必须一致,如果在MA类型网络中接口的掩码也要一致,p2p网络掩码可以不一致,只有MA网络中才有DR与BDR角色等约束条件,之所以有这些要求,从另一个维度讲都是因为lsa需要满足这些条件,本章就来详细介绍下ospf中的lsa种类及作用. 二.拓扑介绍 area1是一个MA网络类型,area0是p2p网络类型,R1,R2,R3处于一个广播域,交换机上未作任何设备,只当一个纯二层设备,R3的g0

假装网络工程师1——TCP/IP上下层接口与静态路由

一.背景介绍 总所周知,公有云最难理解的部分在于网络,从事了公有云之后才发现自己的网络差的还很远,干脆从头回炉修炼,既然是从头修炼就从最基础的开始,当然也只是补充以前理解不透彻的地方,闲言少叙,言归正传. 二.TCP/IP模型 所有关于TCP/IP模型的书上都会提到下层为上层服务,此处重点介绍上下层之间的接口.以ip地址为例,网络层如何知道物理层传递过来的究竟是ipv4还是ipv6,此时就需要用到网络层与物理层之间的类型进行区分,0X0800表示需要网络层处理的地址为ipv4,0X86DD则表示

假装网络工程师5——STP二层防环机制详解

[toc] 一.背景介绍 在网络架构设计中,防环是一个很重要的因素,环路的潜在隐患不再赘述,所以无论是三层还是二层都非常注意防环的机制,在三层中无论是ttl值还是ospf这种倒状树结构其目的都是为了避免环路,在二层中防环的机制则为生成树协议(spanning tree protocol),以及优化后的rstp和mstp,本章重点介绍stp生成树协议. 二.STP协议的端口状态 stp协议是通过计算后在实际产生环路的物理链路上逻辑的阻塞一个端口,只有当链路发生变化时被阻塞的端口才有可能从新参与计算

假装网络工程师12——ospf中的特殊区域及6,7类lsa详解

一.背景介绍 假设有一个大型企业,各省市都有分公司,总路由与运营网络之间跑bgp,总路由与各省路由器在area 0,每个省的不同地市处在不同的area, 其网络拓扑如下所示,: 以area 1中的R5为例,当配置完ospf之后,R5上除了本区域的1,2类lsa外,还会通过3类lsa学习到area 2的路由,然后还会通过4,5类lsa学习到外部网络的路由及asbr条目,这样R5的路由表就会变得异常庞大,而路由表是存放在路由器的内存中,大量的lsa除了会造成带宽浪费,也会造成本地设备性能下降,基于此

假装网络工程师11——ospf路径选取详解

一.背景介绍 提到路由,就一定会涉及选路,ospf与其他路由协议一样,同样存在选路,除了对比cost(metric)值,ospf协议还会对比表项,并且表项的优先级高于cost值,本文详细说明ospf协议的路径选取原则. 二.实验拓扑 本次实验拓扑如上图所示,R2,R3环回接口模拟外部网络,通过import-route导入,每条路径的cost如标注所示 三.ospf选路详解 1.cost值比较 此时将基础配置按照上图配置好,外部路由直接使用import-route direct导入,未设置接口co

假装网络工程师4——多VLAN间通信

一.背景介绍 交换是疏通领域另一个知识块,与路由一样有着举足轻重的地方,本片就通过不同vlan间通信的三个实现方式来讲解交换的通信过程. 二.不同vlan间通信实现方法 1.使用二层设备实现 如下图所示,两个交换机之间使用端口绑定的方式以trunk连接,下联2台同网段的pc,但不属于同一个vlan,大部分的案例都是不同的vlan属于不同网段通过子接口进行通信,本示例则以纯二层网络设备进行通信,顺便说明通信的过程. (1)创建vlan2,并将连接pc的端口加入vlan2 [SW1]vlan 2 [

中级网络工程师面试题60例分析

中级网络工程师面试题60例分析 一.网络通信原理 TCP和UDP都可以实现客户端/服务端通信,这两个协议有何区别?答案:TCP协议面向连接.可靠性高.适合传输大量数据:但是需要三次握手.数据补发等过程,耗时长.通信延迟大.UDP协议面向非连接.可靠性低.适合传输少量数据:但是连接速度快.耗时短.延迟小. 网络通信中的MAC地址指的是什么,其作用和地址构成是怎样的?答案:MAC即Media Access Control(介质访问控制),主要用来标记网络接口卡的物理地址.MAC地址由6个字节组成,长