NAT英文全稱是“NetworkAddress Translation”,中文意思是“網絡地址轉換”,是一個IETF(InternetEngineering Task Force, Internet工程任務組)標準,允許一個整體機構以一個公用IP(InternetProtocol)地址出現在Internet上。顧名思義,是一種把內部私有網絡地址(IP地址)翻譯成合法外網IP地址的技術。網絡規定了三段專有的地址,作為私有的內部組網使用,這三塊私有地址本身是可路由的,只是公網上的路由器不會轉發這三塊私有地址的流量,只能在內網之間通信。
A類:10.0.0.0—10.255.255.255 10.0.0.0/8
B類:172.16.0.0—172.31.255.255 172.16.0.0/12
C類:192.168.0.0—192.168.255.255 192.168.0.0/16
SNAT:
源NAT(SourceNAT,SNAT):修改數據包的源地址。源NAT改變第一個數據包的來源地址,它永遠會在數據包發送到網絡之前完成。
DNAT
目的NAT(DestinationNAT,DNAT):修改數據包的目的地址。DNAT剛好與SNAT相反,它是改變第一個數據包的目的地地址。
當外部網絡對內部主機進行應答時,數據包被送到NAT路由器上,路由器接收到目的地址為外網地址的數據包后,它將用該外網地址通過NAT映射表查找出內網地址,然后將數據包的目的地址替換成內部局部地址,并將數據包轉發到內網主機
。
NAT工作原理示例圖
目前某公司各省分公司均采用nat方式來實現分省公司與集團總部業務之間通信以及分省公司與外網之間的通信,以下將以某省分公司為例對nat配置進行詳細解析,nat均配置在該省華為出口防火墻(兩臺為主備關系)上,該省分公司拓撲如下圖所示:
針對此需求首先查看防火墻安全區域劃分,從配置上可以看出主要分為local、trust、untrust、dmz四個安全區域,安全級別最高為local,最低為untrust,同樣可以從配置上看出各安全域所包含的接口,配置如下圖所示:
查看172.17.0.11/12/13路由表,確認所屬域,通過接口可以看出三臺主機均屬于trust域,配置如下圖所示:
同理通過配置可以看出三條運營商鏈路接口均屬于untrust域,也是就是說所有的外網地址都屬于untrust域,配置如下圖所示:
建立外網IP池,使主機內網ip可以轉換成對應外網ip來訪問外網,標注部分第一個IP表示起始IP,第二個IP表示終止IP,兩個IP一樣則表示地址池只有一個IP,此配置類型為NAPT中的SNAT,即172.17.0.11/12/13通過x.x.x.x不同端口與外網進行通信,配置如下圖所示:
輸入nat-policy,進入nat規則配置視圖進行配置,源域為trust,目的域為untrust,源地址為172.17.0.11/12/13,目的地址為所有(默認為所有),action為轉換為address-group1,也就是x.x.x.x,也就是說將trust域的源地址172.17.0.11/12/13轉換成x.x.x.x用于訪問untrust域的所有地址(所有外網IP),配置如下圖所示:
至此NAT配置已經完成,接下來建立安全策略,輸入security-policy進入安全策略配置界面,允許源地址172.17.0.0/24訪問所有外網IP,具體配置如下圖所示:
所有配置完成后測試發現主機仍然不能訪問外網,接下來需要進行故障排查,從主機長ping外網ip地址在防火墻會話表可以看到會話信息,證明NAT配置已經生效,并且進行路由追蹤可以到達防火墻,故障點定位在防火墻,防火墻會話表配置如下圖所示:
經排查發現防火墻存在三條優先級相同的默認路由,導致路由沖突,主機無法選路,故無法訪問外網,默認路由配置如下:
針對此問題進行策略路由配置,配置源地址172.17.0.11/12/13,目的地址為所有,下一跳地址為x.x.x.x,也就是說使172.17.0.11/12/13三臺主機通過電信鏈路訪問外網(x.x.x.x為電信IP),至此主機可成功訪問外網,配置完成,策略路由配置如下圖所示:
需求二:172.17.0.11的443端口映射到外網,將172.17.0.13主機IP映射到外網
首先進行172.17.0.11主機的nat配置,此配置為端口映射,地址轉換協議為tcp協議,映射的外網IP為:x.x.x.x,配置如下圖所示:
然后進行172.17.0.13主機NAT配置,此配置為IP映射,也就是說將內網IP:172.17.0.13徹底轉換為外網IP:x.x.x.x,no-reverse表示內網IP可以進行復用,可繼續映射成其他外網IP,配置如下圖所示:
配置安全策略,原理同需求一一樣,配置如下圖所示:
需求三:使172.17.0.11/12/13可訪問x.x.x.x(172.17.0.13映射后的外網IP)、x.x.x.x:x(172.17.0.11:443映射后的外網IP端口)
由于需求三源地址與目的地址同屬于trust域,而需求一源地址為trust域,目的地址為untrust域,所以需求一的配置對需求三無效,即便需求三已經映射到外網也無法訪問,需求三需要在需求一配置基礎上增加nat規則配置,配置如下圖所示:
以上是今天NAT講解及案例配置介紹,我們下次再見。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/130190.html
摘要:在這篇文章中,我們來看是如何部署應用程序到,以及如何將它作為一個公共服務的。在中的是跟應用程序通信的入口。每個除了運行在部署的主要應用程序上的也為終端運行。部署是高級別的抽象。 Travix總部位于荷蘭,是一家在線旅游商務網站,業務輻射全球28個國家,成立于2011年,旗下有五個網站:CheapTickets,BudgetAir,Vliegwinkel和Flugladen。公司通過這五...
摘要:云硬盤容量是由統一存儲的從存儲集群容量中分配的,所有云硬盤共享整個分布式存儲池的容量及性能。支持云硬盤創建掛載卸載磁盤擴容刪除等生命周期管理,單塊云硬盤同時僅能掛載一臺虛擬機。云硬盤最小支持的容量,步長為,可自定義控制單塊云硬盤的最大容量。云硬盤是一種基于分布式存儲系統為虛擬機提供持久化存儲空間的塊設備。具有獨立的生命周期,支持隨意綁定/解綁至多個虛擬機使用,并能夠在存儲空間不足時對云硬盤進...
摘要:負載均衡器又分為四層和七層負載均衡器,顧名思義,四層的工作在協議棧上,通過修改請求報文的源目的地址和源目的端口來轉發,比如,一個主機對應一個域名,適用于每秒超過一萬的業務。每一次變更都是一次發布,每一次發布都是一個獨立的鏡像啟動 showImg(https://segmentfault.com/img/bVbvtgW?w=1080&h=720); 以一個經典問題拋磚引玉,當用戶在瀏覽器...
摘要:常用的負載均衡開源軟件有,商業的硬件負載均衡設備。使用可以達到的技術目標是通過達到的負載均衡技術和操作系統實現一個高性能高可用的服務器集群,它具有良好的可靠性可擴展性和可操作性。指的是前端負載均衡器節點。。 博文參考 http://www.jianshu.com/p/8a61de3f8be9 http://itnihao.blog.51cto.com/1741976/752472 負載...
閱讀 1346·2023-01-11 13:20
閱讀 1684·2023-01-11 13:20
閱讀 1132·2023-01-11 13:20
閱讀 1858·2023-01-11 13:20
閱讀 4100·2023-01-11 13:20
閱讀 2704·2023-01-11 13:20
閱讀 1385·2023-01-11 13:20
閱讀 3597·2023-01-11 13:20