国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

NAT配置案例解析

IT那活兒 / 928人閱讀
NAT配置案例解析


概         述


NAT英文全稱是“NetworkAddress Translation”,中文意思是“網絡地址轉換”,是一個IETF(InternetEngineering Task Force, Internet工程任務組)標準,允許一個整體機構以一個公用IP(InternetProtocol)地址出現在Internet上。顧名思義,是一種把內部私有網絡地址(IP地址)翻譯成合法外網IP地址的技術。網絡規定了三段專有的地址,作為私有的內部組網使用,這三塊私有地址本身是可路由的,只是公網上的路由器不會轉發這三塊私有地址的流量,只能在內網之間通信。

A類:10.0.0.0—10.255.255.255   10.0.0.0/8
B類:172.16.0.0—172.31.255.255   172.16.0.0/12
C類:192.168.0.0—192.168.255.255   192.168.0.0/16




NAT三種類型





靜態NAT(StaticNAT)(一對一):

將內網私有IP地址轉換為公有IP地址,IP地址對是一對一的,并且保持不變,由于該方式對外網ip資源嚴重浪費,在日常運維中使用較少,只要在某些特殊需求下才會使用。


動態地址NAT(PooledNAT)(多對多):
將內部網絡的私有IP地址轉換為公用IP地址時,IP地址是不確定,隨機的。所有被授權訪問Internet的私有IP地址可隨機轉換為任何指定合法的IP地址。動態NAT是在路由器上配置一個外網IP地址池,當內部有計算機需要和外部通信時,就從地址池里動態的取出一個外網IP,并將他們的對應關系綁定到NAT表中,通信結束后,這個外網IP才被釋放,可供其他內部IP地址轉換使用。

網絡地址端口轉換NAPT(NetworkAddress Port Translation)(Port-LevelNAT)(多對一):
改變外出數據包的源端口并進行端口轉換,采用端口多路復用方式。內部網絡的所有主機均可共享一個合法外部IP地址實現對Internet的訪問,可以最大限度地節約IP地址資源。同時,也可以隱藏網絡內部的所有主機,有效避免來自Internet的攻擊。因此,目前網絡中應用最多的就是PAT規則。


這是最常用的NAT技術,也是IPv4能夠維持到今天的最重要的原因之一,它提供了一種多對一的方式,對多個內網IP地址,邊界路由可以給他們分配一個外網IP,利用這個外網IP的不同端口和外部進行通信。NAPT與動態NAT不同,它將內部連接映射到外部網絡中的一個多帶帶的IP地址上,同時在該地址上加上一個由NAT設備選定的端口號。


NAPT是使用最普遍的一種轉換方式,是主要的使用方式。它又包含兩種轉換方式:SNAT和DNAT


SNAT:

源NAT(SourceNAT,SNAT):修改數據包的源地址。源NAT改變第一個數據包的來源地址,它永遠會在數據包發送到網絡之前完成。


DNAT

目的NAT(DestinationNAT,DNAT):修改數據包的目的地址。DNAT剛好與SNAT相反,它是改變第一個數據包的目的地地址。




工作原理



當內部網絡中的一臺主機想傳輸數據到外部網絡時,它先將數據包傳輸到NAT路由器上,路由器檢查數據包的報頭,獲取該數據包的源IP信息,并從它的NAT映射表中找出與該IP匹配的轉換條目,用所選用的外網IP來替換內部局部地址,并轉發數據包。


當外部網絡對內部主機進行應答時,數據包被送到NAT路由器上,路由器接收到目的地址為外網地址的數據包后,它將用該外網地址通過NAT映射表查找出內網地址,然后將數據包的目的地址替換成內部局部地址,并將數據包轉發到內網主機

       NAT工作原理示例圖



配置案例解析



目前某公司各省分公司均采用nat方式來實現分省公司與集團總部業務之間通信以及分省公司與外網之間的通信,以下將以某省分公司為例對nat配置進行詳細解析,nat均配置在該省華為出口防火墻(兩臺為主備關系)上,該省分公司拓撲如下圖所示:


需求一:該省172.17.0.11/12/13三臺主機開通訪問外網權限

針對此需求首先查看防火墻安全區域劃分,從配置上可以看出主要分為local、trust、untrust、dmz四個安全區域,安全級別最高為local,最低為untrust,同樣可以從配置上看出各安全域所包含的接口,配置如下圖所示:


查看172.17.0.11/12/13路由表,確認所屬域,通過接口可以看出三臺主機均屬于trust域,配置如下圖所示:


同理通過配置可以看出三條運營商鏈路接口均屬于untrust域,也是就是說所有的外網地址都屬于untrust域,配置如下圖所示:


建立外網IP池,使主機內網ip可以轉換成對應外網ip來訪問外網,標注部分第一個IP表示起始IP,第二個IP表示終止IP,兩個IP一樣則表示地址池只有一個IP,此配置類型為NAPT中的SNAT,即172.17.0.11/12/13通過x.x.x.x不同端口與外網進行通信,配置如下圖所示:

   


輸入nat-policy,進入nat規則配置視圖進行配置,源域為trust,目的域為untrust,源地址為172.17.0.11/12/13,目的地址為所有(默認為所有),action為轉換為address-group1,也就是x.x.x.x,也就是說將trust域的源地址172.17.0.11/12/13轉換成x.x.x.x用于訪問untrust域的所有地址(所有外網IP),配置如下圖所示:


至此NAT配置已經完成,接下來建立安全策略,輸入security-policy進入安全策略配置界面,允許源地址172.17.0.0/24訪問所有外網IP,具體配置如下圖所示:


所有配置完成后測試發現主機仍然不能訪問外網,接下來需要進行故障排查,從主機長ping外網ip地址在防火墻會話表可以看到會話信息,證明NAT配置已經生效,并且進行路由追蹤可以到達防火墻,故障點定位在防火墻,防火墻會話表配置如下圖所示:


經排查發現防火墻存在三條優先級相同的默認路由,導致路由沖突,主機無法選路,故無法訪問外網,默認路由配置如下:


針對此問題進行策略路由配置,配置源地址172.17.0.11/12/13,目的地址為所有,下一跳地址為x.x.x.x,也就是說使172.17.0.11/12/13三臺主機通過電信鏈路訪問外網(x.x.x.x為電信IP),至此主機可成功訪問外網,配置完成,策略路由配置如下圖所示:


需求二:172.17.0.11的443端口映射到外網,將172.17.0.13主機IP映射到外網

首先進行172.17.0.11主機的nat配置,此配置為端口映射,地址轉換協議為tcp協議,映射的外網IP為:x.x.x.x,配置如下圖所示:


然后進行172.17.0.13主機NAT配置,此配置為IP映射,也就是說將內網IP:172.17.0.13徹底轉換為外網IP:x.x.x.x,no-reverse表示內網IP可以進行復用,可繼續映射成其他外網IP,配置如下圖所示:

配置安全策略,原理同需求一一樣,配置如下圖所示:


需求三:使172.17.0.11/12/13可訪問x.x.x.x(172.17.0.13映射后的外網IP)、x.x.x.x:x(172.17.0.11:443映射后的外網IP端口)

由于需求三源地址與目的地址同屬于trust域,而需求一源地址為trust域,目的地址為untrust域,所以需求一的配置對需求三無效,即便需求三已經映射到外網也無法訪問,需求三需要在需求一配置基礎上增加nat規則配置,配置如下圖所示:


以上是今天NAT講解及案例配置介紹,我們下次再見。

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/130190.html

相關文章

  • Travix是如何部署應用程序到Kubernetes上的

    摘要:在這篇文章中,我們來看是如何部署應用程序到,以及如何將它作為一個公共服務的。在中的是跟應用程序通信的入口。每個除了運行在部署的主要應用程序上的也為終端運行。部署是高級別的抽象。 Travix總部位于荷蘭,是一家在線旅游商務網站,業務輻射全球28個國家,成立于2011年,旗下有五個網站:CheapTickets,BudgetAir,Vliegwinkel和Flugladen。公司通過這五...

    miqt 評論0 收藏0
  • 云硬盤是什么-云硬盤功能特性

    摘要:云硬盤容量是由統一存儲的從存儲集群容量中分配的,所有云硬盤共享整個分布式存儲池的容量及性能。支持云硬盤創建掛載卸載磁盤擴容刪除等生命周期管理,單塊云硬盤同時僅能掛載一臺虛擬機。云硬盤最小支持的容量,步長為,可自定義控制單塊云硬盤的最大容量。云硬盤是一種基于分布式存儲系統為虛擬機提供持久化存儲空間的塊設備。具有獨立的生命周期,支持隨意綁定/解綁至多個虛擬機使用,并能夠在存儲空間不足時對云硬盤進...

    ernest.wang 評論0 收藏0
  • 程序員都應該了解的運維知識經驗

    摘要:負載均衡器又分為四層和七層負載均衡器,顧名思義,四層的工作在協議棧上,通過修改請求報文的源目的地址和源目的端口來轉發,比如,一個主機對應一個域名,適用于每秒超過一萬的業務。每一次變更都是一次發布,每一次發布都是一個獨立的鏡像啟動 showImg(https://segmentfault.com/img/bVbvtgW?w=1080&h=720); 以一個經典問題拋磚引玉,當用戶在瀏覽器...

    reclay 評論0 收藏0
  • LVS負載均衡(一)

    摘要:常用的負載均衡開源軟件有,商業的硬件負載均衡設備。使用可以達到的技術目標是通過達到的負載均衡技術和操作系統實現一個高性能高可用的服務器集群,它具有良好的可靠性可擴展性和可操作性。指的是前端負載均衡器節點。。 博文參考 http://www.jianshu.com/p/8a61de3f8be9 http://itnihao.blog.51cto.com/1741976/752472 負載...

    caohaoyu 評論0 收藏0

發表評論

0條評論

IT那活兒

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<