静的 NAT と動的 NAT

開発 2023-06-22 01:51:57 訪問数: null

序文

  • インターネットの発展とネットワーク アプリケーションの増加に伴い、限られた IPv4 パブリック アドレスがネットワークの発展を制限するボトルネックになっています。この問題を解決するために、NAT(Network Address Translation、ネットワークアドレス変換)技術が必要に応じて登場します。
  • NAT テクノロジーは主に、内部ネットワーク上のホストが外部ネットワークにアクセスできるようにするために使用されます。NAT は、IPv4 アドレスの不足を軽減する一方で、外部ネットワークがプライベート アドレスを使用して内部ネットワークと直接通信することを防ぎ、内部ネットワークのセキュリティを向上させます。

NAT テクノロジーの原理

  • NAT: IP データグラム内の IP アドレスの変換は、ライブ ネットワークで広く導入されているテクノロジであり、通常はルーターやファイアウォールなどのネットワーク出口デバイスに導入されます。
  • NAT の一般的なアプリケーション シナリオ: プライベート アドレスはプライベート ネットワーク (キャンパス、自宅) 内で使用され、NAT は出力デバイスに展開されます。パブリック アドレス)、「外部から内部へ」トラフィックの場合は、パケットの宛先アドレス翻訳されています。
  • プライベート アドレスと NAT テクノロジーを組み合わせて使用​​すると、パブリック ネットワークの IPv4 アドレスを効果的に節約できます。

静的 NAT

静的 NAT の原則:

  • 静的 NAT: 各プライベート アドレスには、対応する固定パブリック アドレスがあります。つまり、プライベート アドレスとパブリック アドレスの関係は 1 対 1 のマッピングです。
  • 双方向の相互アクセスをサポートします。プライベート アドレスがインターネットにアクセスすると、出力デバイス NAT によって変換されるときに、対応するパブリック アドレスに変換されます。同時に、外部ネットワークが内部ネットワークにアクセスすると、メッセージに含まれるパブリック アドレス (宛先アドレス) も NAT デバイスによって対応するプライベート アドレスに変換されます。

実験構成

PC1:

IP地址:192.168.1.1
子网掩码:255.255.255.0
网关:192.168.1.254

PC2:

IP地址:192.168.2.1
子网掩码:255.255.255.0
网关:192.168.2.254

PC3:

IP地址:192.168.3.1
子网掩码:255.255.255.0
网关:192.168.3.254

サーバー1:

IP地址:200.200.200.1
子网掩码:255.255.255.252
网关:200.200.200.2

AR1:

<Huawei>sys
[Huawei]un in en
[Huawei]sys AR1
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[AR1-GigabitEthernet0/0/1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip add 192.168.3.254 24
在AR1上配置静态NAT将内网主机的私有地址一对一映射到公有地址。
[AR1-GigabitEthernet0/0/2]int g4/0/0
[AR1-GigabitEthernet4/0/0]ip add 100.100.100.1 24
global参数用于配置外部公有地址,inside参数用于内部私有地址。
[AR1-GigabitEthernet4/0/0]nat static global 100.100.100.3 inside 192.168.1.1 netmask 255.255.255.255
[AR1-GigabitEthernet4/0/0]nat static global 100.100.100.4 inside 192.168.2.1 netmask 255.255.255.255
[AR1-GigabitEthernet4/0/0]nat static global 100.100.100.5 inside 192.168.3.1 netmask 255.255.255.255
[AR1-GigabitEthernet4/0/0]quit
[AR1]ip route-static 0.0.0.0 0 100.100.100.2
[AR1]quit
<AR1>save

AR2:

<Huawei>sys
[Huawei]un in en
[Huawei]sys R2
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 100.100.100.2 24
[R2-GigabitEthernet0/0/1]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 200.200.200.2 30
[R2-GigabitEthernet0/0/0]quit
[R2]quit
<R2>save

PC1、PC2、および PC3 を使用して、それぞれ 200.200.200.1 に ping を実行できます。ping を実行する前に、まず AR1 のポート g4/0/0 でのパケット キャプチャを有効にします。

パケットをキャプチャして、送信元 IP アドレスがパブリック ネットワーク IP に変換されているかどうかを分析します。

ダイナミックNAT

動的 NAT の原則:

  • 動的 NAT: 静的 NAT は 1 対 1 のアドレス マッピングを厳密に実行します。これにより、イントラネット ホストが長期間オフラインである場合やデータを送信しない場合でも、対応するパブリック アドレスが引き続き使用されます。アドレスの無駄を避けるために、ダイナミック NAT はアドレス プールの概念を提案します。つまり、使用可能なすべてのパブリック アドレスがアドレス プールを形成します。
  • 内部ホストが外部ネットワークにアクセスすると、アドレス プール内の未使用のアドレスが一時的に割り当てられ、そのアドレスは「使用中」としてマークされます。ホストが外部ネットワークにアクセスしなくなると、割り当てられたアドレスは再利用され、「未使用」としてマークされます。

実験構成

PC1:

IP地址:192.168.1.1
子网掩码:255.255.255.0
网关:192.168.1.254

PC2:

IP地址:192.168.2.1
子网掩码:255.255.255.0
网关:192.168.2.254

PC3:

IP地址:192.168.3.1
子网掩码:255.255.255.0
网关:192.168.3.254

サーバー1:

IP地址:200.200.200.1
子网掩码:255.255.255.252
网关:200.200.200.2

AR1:

<Huawei>sys
[Huawei]un in en
[Huawei]sys AR1
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[AR1-GigabitEthernet0/0/1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip add 192.168.3.254 24
[AR1-GigabitEthernet0/0/2]int g4/0/0
[AR1-GigabitEthernet4/0/0]ip add 100.100.100.1 24
[AR1-GigabitEthernet4/0/0]quit
在AR1上配置动态NAT将内网主机的私有地址动态映射到公有地址。
1、创建地址池
配置公有地址范围,其中group-index为地址池编号,start-address、end-address分别为地址池起始地址、结束地址。
[AR1]ip route-static 0.0.0.0 0 100.100.100.2
[AR1]nat address-group 1 100.100.100.3 100.100.100.254  
2、配置地址转换的ACL规则
配置基础ACL,匹配需要进行动态转换的源地址范围。
[AR1]acl 2000
[AR1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[AR1-acl-basic-2000]rule 10 permit source 192.168.2.0 0.0.0.255
[AR1-acl-basic-2000]rule 15 permit source 192.168.3.0 0.0.0.255
[AR1-acl-basic-2000]quit
3、接口试图下配置带地址池的NAT Outbound
接口下关联ACL与地址池进行动态地址转换,no-pat参数指定不进行端口转换。no-pat:禁止端口复用
[AR1]int g4/0/0
[AR1-GigabitEthernet4/0/0]nat outbound 2000 address-group 1 no-pat 
[AR1-GigabitEthernet4/0/0]quit
[AR1]quit
<AR1>save

AR2:

<Huawei>sys
[Huawei]un in en
[Huawei]sys AR2
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 100.100.100.2 24
[AR2-GigabitEthernet0/0/1]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 200.200.200.2 30
[AR2-GigabitEthernet0/0/0]quit
[AR2]quit
<AR2>save

パケットをキャプチャして、送信元 IP アドレスがパブリック ネットワーク IP に変換されているかどうかを分析します。

おすすめ

転載: blog.csdn.net/zhao__b/article/details/122115457
NAT
おすすめ
大規模な言語モデルに基づくオープンソースのナレッジベースの質問と回答システムである MaxKB GitHub Star の数が 5,000 を超えました。
ランキング
短线选股的一种方法
Javaクライアントでのユーバーのリズムワークフローで睡眠時間をキャンセルし、再スケジュール
CALIPSOデータバッチダウンロード方式
LeetCode アルゴリズム再帰クラス - ソードはオファー 26 を参照します。 ツリーの部分構造
HTMLのインポート外部CSS、JavaScriptの論文
PostgreSQL 13.1、12.5、11.10、10.15、9.6.20、および9.5.24がリリースされました
アップルは、エラーメッセージがポテトに接続されていた実行する方法ポテトポテトショーをダウンロードすることができません
あなたは空腹で突然電話を切っていますか?これはテクノロジーの裏側ですか、それともテスト用の銃ですか?
VIMエディタのヒント
動的計画法の最長共通部分列(LCS)
アーカイブ
もっと
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)

コードワールド

© 2018 codetd.com