前文我們了解了包過濾工具ACL相關話題,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/15156308.html;今天我們來聊一聊地址轉換技術NAT相關話題;
NAT技術背景
我們知道互聯網上能夠路由的地址都是公網地址,但隨著互聯網的發展和應用的增多,ipv4地址已經枯竭;盡管ipv6可以從根本上解決IPv4地址空間不足的問題,但目前眾多的網路設備和網路應用仍是基于ipv4的,因此在ipv6廣泛應用之前,一些過度技術的使用是解決這個問題的主要技術手段;NAT(network address translation)網路地址轉換,主要用于實作位于內部網路的主機訪問外部網路的功能,當局域網內的主機需要訪問外部網路時,通過NAT技術可以將其私網地址轉換為公網地址,并且多個私網地址用戶可以共用一個公網地址,這樣既可保證網路互通,同時也節省了公網地址;簡單講NAT主要作用就是用于把內網地址轉換為公網地址,使得內網主機能夠正常和外部主機通信;從轉換地址的方向來講,我們把轉換源地址叫做SNAT(source network address translation),把轉換目標地址叫做DNAT(destination network address translation);
NAT應用場景
提示:現在用nat最多的場景就是上述通過轉換源ip地址,使得內網主機能夠正常上外網;像這種SNAT一般我們也叫作正向代理;一般部署在連接內網和外網的網關設備上,如上圖RTA;主機A要上外網,它首先把資料包發送給網關RTA,當RTA收到主機A發送的訪問外部網路的請求時,首先它會把對應主機A的源地址轉換為對應的公網地址(可以是某個介面上的公網地址,也可以是某個地址池中的公網地址),然后RTA就把對應轉換的資訊記錄在一個NAT表中;然后把主機A的資料包再次封裝后,發送出去;當對應公網主機回復的包到達RTA時,首先RTA會查詢NAT表,看看對應的記錄,然后根據記錄把對應目標地址為公網地址再次轉換為私網地址,然后把對應的資料包重新封裝以后,發送給對應的私網地址主機(主機A);
提示:上圖為NAT的另一種應用場景,主要用于外部主機訪問內部某臺服務器(或某些服務等);這個時候需要做DNAT;把對應目標地址為公網地址轉換為對應的私網地址;通常我們叫這種DNAT技術為埠映射,或者叫反向代理;這里說明一點,在SNAT中是內網主機主動訪問外部主機,在外部主機回復報文中對應目標地址轉換為私網地址,這個是根據對應nat表中的記錄轉換的,是對應路由器自動維護的;我們這里說的DNAT是外部主機主動訪問內部主機,此時在對應的路由器上是沒有對應的轉換資訊的,所以需要我們管理手動去配置;
NAT型別
1、靜態NAT
提示:靜態NAT實作了私網地址和公網地址的一對一轉換;一個公網ip只會分配給唯一且固定的內網主機;通常這種靜態NAT一般用于一臺優先使用某個關聯地址,或者想要外部網路使用一個指定的公網地址訪問內部服務器時;在大型網路中,這種一對一的ip地址轉換是無法緩解公網地址短缺的問題,所以這種不適用大型網路環境中;
實驗:如下拓撲圖,在R1上手動配置靜態NAT,實作內部pc1能夠正常訪問pc3
分析:要想實作pc1能夠正常和pc3通信,首先對應鏈路上的路由必須得通;從上面的拓撲我們可以看到pc1和pc3首先不在同一個網段內,所以pc1和pc3通信首先得找網關;其次pc1發包,pc3能能正常收到,pc3回包,pc1能夠收到;在不配置任何NAT的情況下,pc發包,對應經過R1時,會將資料包轉發出去,因為r1有默認路由;R2有對應pc3所在網段的直連路由,但是pc3回包,源地址是pc3,目標地址是pc1,在資料包到達R2時,因為r2沒有對應pc1的路由,所以pc3回包,pc1收不到;但是R2有到達R1的直連路由,而R1又有對應pc1所在網路的直連路由,所以我們只需要將對應pc1發送出來的包在R1上修改對應源地址,對應pc3的回包就能正常到達pc1;
驗證:按照上圖先配置好R1,R2和各pc地址,抓包看看對應通信程序
配置R1
sys sys R1 int g0/0/0 ip add 192.168.10.254 24 int g0/0/1 ip add 2.0.0.1 24 q ip route-s 0.0.0.0 0 2.0.0.2View Code
提示:對于R1來說,我們一定要寫一條默認路由(或者靜態路由),這樣能夠匹配對應內網的所有流量;否則pc1的流量到達R1時,會被R1丟棄(因為沒有路由);
配置R2
sys sys R2 int g0/0/1 ip add 12.0.0.254 24 int g0/0/0 ip add 2.0.0.2 24View Code
提示:我們這里模擬運營商的網路,所以在R2上我們只需要在對應的介面配置上對應的ip地址即可;
現在用pc1ping pc3,并在pc3上抓包,看看對應pc1的包是否能夠正常到達pc3?
提示:可以看到在pc3上抓包能夠看到pc1請求pc3,pc3回應pc1,但是對應pc1并沒有收到pc3的回復包,所以pc1顯示請求超時;
驗證:在R2的g0/0/0上抓包,看看對應pc3的回包是否被丟棄?
提示:在R2的g0/0/0介面上抓包,我們只看到對應pc1請求pc3的包,并沒有pc3回復pc1的包;說明R2丟棄了pc3回復pc1的包;其原因是R2上沒有對應去往pc1的路由;
在R2的g0/0/1口配置靜態nat,看看對應pc1是否可以正常和pc3通信呢?
int g0/0/1 nat static en nat static global 2.0.0.5 inside 192.168.10.1View Code
提示:在配置靜態NAT時,必須在對應的介面下開啟靜態nat功能;上述命令表示,把內網192.168.10.1的源地址修改為外網地址2.0.0.5;
驗證:現在pc1pingpc3在R2上的g0/0/0上抓包,看看對應通信程序
提示:可以看到現在pc1能夠正常ping通pc3;在R2的g0/0/0口抓包也能看到現在pc1的資料包從R1發送出來對應源地址被修改成2.0.0.5,此時pc3回復pc1的包,對應目標地址就變成了2.0.0.5;而對應R2上有到達2.0.0.0/24網路的路由,所以最終pc3的回復報文能夠正常從R2路由出去到達R1;而對應R1收到到達2.0.0.5的資料包,首先它會查看自己的NAT表,看看有沒有對應的轉換資訊,如果有,則再把對應的資料包的目標ip地址修改成對應的私網地址;然后再從R1的g0/0/0口發送出去;對應pc1就能收到pc3的回復報文,所以pc1能夠正常ping通pc3;這里需要注意,pc1能夠正常ping通pc3,不代表pc3就能正常ping通pc1哦,要想實作互通,還需要在R2上配置對應路由才行;
此時pc2是否能夠ping通pc3呢?
提示:pc2無法ping通pc3的原因是,pc3的回復包在R2上沒有路由,被丟棄了;對應在R1上并沒有對應pc2的靜態nat資訊,所以pc2此時通過R1時,并不會修改源ip;所以pc3的回復包其目標地址還是pc2,而對應回復包在R2上沒有路由,所以會被R2丟棄;
查看靜態nat表
2、動態NAT ,不轉換埠地址(no-pat)
提示:動態NAT的作業原理是借助地址池來實作將內網地址轉換為地址池公網地址,從而實作內網訪問外網;這種型別的NAT有一個缺點是地址池中的地址用盡以后,只能等待被占用的公網地址被釋放后,其他主機才能使用它來訪問公網,
實驗:還是上述拓撲,我們洗掉R1上的靜態nat,然后創建一個地址池,里面放2.0.0.5-2.0.0.6這兩個地址,看看對應pc1和pc2是否能夠正常訪問pc3呢?
洗掉上面配置的靜態nat,并創建地址池
創建ACL,匹配pc1和pc2的流量
提示:上述acl表示允許任意流量;不管是pc1還是pc2的流量都會被該條acl所捕獲;
在R1的g0/0/1介面下,將acl和地址池關聯起來
提示:上述命令表示把acl 2000所捕獲的流量做snat其轉換的地址在對應1號編號的地址池里,并且不做埠地址轉換;
驗證:pc1ping pc3看看是否能正常ping通呢?
提示:可以看到pc1能夠ping通pc3,但是丟包很嚴重;這里的原因是地址池里的地址個數太少了;導致地址不夠用,所以有些包可以正常被轉換,有些包不能被轉換;
驗證:用pc2pingpc3是否能夠ping通呢?
提示:可以看到現在用pc2也能正常ping通pc3,但最多只能有兩個包通,其原因是pc2每發送一次icmp的請求,都去地址池中拿一個地址進行轉換;而地址池中的地址只有兩個,后續的包沒有地址可以轉換,所以丟包了;
驗證:查看動態nat會話表
提示:這個表需要邊ping邊看;從上面的資訊可以看到,對應每一次icmp請求都會被從地址池中拿一個地址進行轉換;從上面的實驗可以看到,這種動態NAT也可實作轉換源ip地址,從而實作內網地址可以訪問外網;這種型別不轉換埠的動態SNAT,首先需要有一個地址池,其次地址池中的地址如果少了,會影響通訊質量;所以這種方式也不是我們常用的上網方式;
3、動態NAT,轉換埠地址(pat)
提示:NAPT(Network Address Port Translation),也稱為NAT-PT或PAT,網路地址埠轉換,允許多個私網地址映射到同一個公網地址的不同埠,pat和no-pat兩種模式的區別是,一個轉換了源埠,一個沒有轉換源埠;其作業原理都是一樣的,都是從地址池中拿地址進行轉換;
實驗:把上述no-pat模式修改為pat模式
提示:pat是默認的模式,我們不需要在后面接pat;
驗證:現在pc1pingpc3看看還會上上面的丟包情況嗎?
提示:現在可以看到pc1pingpc3沒有再丟包,并且都是用的2.0.0.5這個地址;其原因是現在是埠轉換模式,每次pc1發包都會用掉一個源埠,對應會被R1轉換成另一個源埠;我們知道埠有很多,一個ip地址有65535個埠;所以對應一個ip地址來說,它可以轉換源埠65535個包;
查看動態nat會話表
提示:可以看到現在的nat會話表中就有對應被轉換后端源埠;通過上述實驗,我們可以看到埠轉換的方式能夠很大程度的節省公網ip地址;但這種方式也不是我們最常用的上網方式;其原因是這種方式依賴地址池,對應公網ip都是固定的,而我們現在上網絕大部分都是通過撥號上網,對應的公網ip地址并不是固定的;公網地址不是固定的我們該怎么配置動態NAT呢?
4、Easy IP
提示:Easy IP適用于小規模局域網中的主機訪問Internet的場景,小規模局域網通常部署在小型的網吧或者辦公室中,這些地方內部主機不多,出介面可以通過撥號方式獲取一個臨時公網IP地址,Easy IP可以實作內部主機使用這個臨時公網IP地址訪問Internet,easy ip本質上和napt作業原理是一樣的,唯一的不同是easy ip是轉換成對應介面上的ip地址,而napt是轉換成地址池中的地址;使用介面地址的好處是,如果對應介面上的ip地址變換了,對應NAT的配置不用更改,它會隨著介面地址的變化而變化;
實驗:將上述napt模式更改為easy ip模式
提示:Easy IP的配置與動態NAT的配置類似,主要區別是Easy IP不需要配置地址池;
驗證:用pc1pingpc3看看對應源地址是否轉換成對應R1的g0/0/1的介面地址呢?
提示:可以看到現在pc1pingpc3,對應pc1的地址被轉換成R1的g0/0/1的ip地址;
驗證:查看動態NAT配置資訊,
提示:可以看到現在的NAT配置資訊中并沒有使用地址池編號,對應是介面的ip地址,且型別為easyip ;
驗證:查看nat會話表
提示:nat會話表和napt型別沒有什么不同,都是將源地址和源埠進行了轉換;
上述4中方式都是通過轉換源ip地址和源埠來實作內網主機訪問外網,都是SNAT;下面來說說另一種nat,埠映射也叫DNAT或nat服務器;
5、NAT服務器(DNAT或埠映射)
提示:NAT在使私網用戶訪問公網的同時,也屏蔽了公網用戶訪問私網主機的需求,所以當一個私網需要向公網用戶提供各種網路服務時,私網中的服務器必須隨時可供公網用戶訪問,NAT服務器可以實作這個需求,但是需要配置服務器私網地址和埠號轉換為公網地址和埠號并發布出去,簡單講就是將對應私網的ip地址和埠和公網的ip地址和埠進行一一對應,使得公網用戶訪問對應公網的埠,就能訪問到對應私網主機上的服務;
實驗:如下拓撲,實作公網用戶能夠訪問到局域網內部的服務器
配置服務器1
配置R1
sys sys R1 int g0/0/0 ip add 192.168.10.254 24 int g0/0/1 ip add 2.0.0.1 24 nat server protocol tcp global 2.0.0.5 8080 inside 192.168.10.80 80 q ip route-s 0.0.0.0 0 2.0.0.2View Code
提示:上述命令表示把內網主機192.168.10.80的80埠映射到公網ip的2.0.0.5的8080埠上;
配置R2
sys sys R2 int g0/0/1 ip add 12.0.0.254 24 int g0/0/0 ip add 2.0.0.2 24View Code
配置客戶端
驗證:用客戶端訪問2.0.0.5的8080埠,看看是否能夠訪問到對應的http服務呢?
提示:可以看到現在訪問公網地址的2.0.0.5的8080埠能夠正常訪問到內部192.168.10.80的80服務;
更改公網地址為對應介面地址
驗證:查看埠埠映射表
提示:可以看到對應映射表中全域公網ip地址和埠對應的內網ip地址和埠;
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/295060.html
標籤:其他