NAT英文全称是“NetworkAddress Translation”,中文意思是“网络地址转换”,是一个IETF(InternetEngineering Task Force, Internet工程任务组)标准,允许一个整体机构以一个公用IP(InternetProtocol)地址出现在Internet上。顾名思义,是一种把内部私有网络地址(IP地址)翻译成合法外网IP地址的技术。网络规定了三段专有的地址,作为私有的内部组网使用,这三块私有地址本身是可路由的,只是公网上的路由器不会转发这三块私有地址的流量,只能在内网之间通信。
A类:10.0.0.0—10.255.255.255 10.0.0.0/8
B类:172.16.0.0—172.31.255.255 172.16.0.0/12
C类:192.168.0.0—192.168.255.255 192.168.0.0/16
SNAT:
源NAT(SourceNAT,SNAT):修改数据包的源地址。源NAT改变第一个数据包的来源地址,它永远会在数据包发送到网络之前完成。
DNAT
目的NAT(DestinationNAT,DNAT):修改数据包的目的地址。DNAT刚好与SNAT相反,它是改变第一个数据包的目的地地址。
当外部网络对内部主机进行应答时,数据包被送到NAT路由器上,路由器接收到目的地址为外网地址的数据包后,它将用该外网地址通过NAT映射表查找出内网地址,然后将数据包的目的地址替换成内部局部地址,并将数据包转发到内网主机
。
NAT工作原理示例图
目前某公司各省分公司均采用nat方式来实现分省公司与集团总部业务之间通信以及分省公司与外网之间的通信,以下将以某省分公司为例对nat配置进行详细解析,nat均配置在该省华为出口防火墙(两台为主备关系)上,该省分公司拓扑如下图所示:
针对此需求首先查看防火墙安全区域划分,从配置上可以看出主要分为local、trust、untrust、dmz四个安全区域,安全级别最高为local,最低为untrust,同样可以从配置上看出各安全域所包含的接口,配置如下图所示:
查看172.17.0.11/12/13路由表,确认所属域,通过接口可以看出三台主机均属于trust域,配置如下图所示:
同理通过配置可以看出三条运营商链路接口均属于untrust域,也是就是说所有的外网地址都属于untrust域,配置如下图所示:
建立外网IP池,使主机内网ip可以转换成对应外网ip来访问外网,标注部分第一个IP表示起始IP,第二个IP表示终止IP,两个IP一样则表示地址池只有一个IP,此配置类型为NAPT中的SNAT,即172.17.0.11/12/13通过x.x.x.x不同端口与外网进行通信,配置如下图所示:
输入nat-policy,进入nat规则配置视图进行配置,源域为trust,目的域为untrust,源地址为172.17.0.11/12/13,目的地址为所有(默认为所有),action为转换为address-group1,也就是x.x.x.x,也就是说将trust域的源地址172.17.0.11/12/13转换成x.x.x.x用于访问untrust域的所有地址(所有外网IP),配置如下图所示:
至此NAT配置已经完成,接下来建立安全策略,输入security-policy进入安全策略配置界面,允许源地址172.17.0.0/24访问所有外网IP,具体配置如下图所示:
所有配置完成后测试发现主机仍然不能访问外网,接下来需要进行故障排查,从主机长ping外网ip地址在防火墙会话表可以看到会话信息,证明NAT配置已经生效,并且进行路由追踪可以到达防火墙,故障点定位在防火墙,防火墙会话表配置如下图所示:
经排查发现防火墙存在三条优先级相同的默认路由,导致路由冲突,主机无法选路,故无法访问外网,默认路由配置如下:
针对此问题进行策略路由配置,配置源地址172.17.0.11/12/13,目的地址为所有,下一跳地址为x.x.x.x,也就是说使172.17.0.11/12/13三台主机通过电信链路访问外网(x.x.x.x为电信IP),至此主机可成功访问外网,配置完成,策略路由配置如下图所示:
需求二:172.17.0.11的443端口映射到外网,将172.17.0.13主机IP映射到外网
首先进行172.17.0.11主机的nat配置,此配置为端口映射,地址转换协议为tcp协议,映射的外网IP为:x.x.x.x,配置如下图所示:
然后进行172.17.0.13主机NAT配置,此配置为IP映射,也就是说将内网IP:172.17.0.13彻底转换为外网IP:x.x.x.x,no-reverse表示内网IP可以进行复用,可继续映射成其他外网IP,配置如下图所示:
配置安全策略,原理同需求一一样,配置如下图所示:
需求三:使172.17.0.11/12/13可访问x.x.x.x(172.17.0.13映射后的外网IP)、x.x.x.x:x(172.17.0.11:443映射后的外网IP端口)
由于需求三源地址与目的地址同属于trust域,而需求一源地址为trust域,目的地址为untrust域,所以需求一的配置对需求三无效,即便需求三已经映射到外网也无法访问,需求三需要在需求一配置基础上增加nat规则配置,配置如下图所示:
以上是今天NAT讲解及案例配置介绍,我们下次再见。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/130190.html
摘要:在这篇文章中,我们来看是如何部署应用程序到,以及如何将它作为一个公共服务的。在中的是跟应用程序通信的入口。每个除了运行在部署的主要应用程序上的也为终端运行。部署是高级别的抽象。 Travix总部位于荷兰,是一家在线旅游商务网站,业务辐射全球28个国家,成立于2011年,旗下有五个网站:CheapTickets,BudgetAir,Vliegwinkel和Flugladen。公司通过这五...
摘要:云硬盘容量是由统一存储的从存储集群容量中分配的,所有云硬盘共享整个分布式存储池的容量及性能。支持云硬盘创建挂载卸载磁盘扩容删除等生命周期管理,单块云硬盘同时仅能挂载一台虚拟机。云硬盘最小支持的容量,步长为,可自定义控制单块云硬盘的最大容量。云硬盘是一种基于分布式存储系统为虚拟机提供持久化存储空间的块设备。具有独立的生命周期,支持随意绑定/解绑至多个虚拟机使用,并能够在存储空间不足时对云硬盘进...
摘要:负载均衡器又分为四层和七层负载均衡器,顾名思义,四层的工作在协议栈上,通过修改请求报文的源目的地址和源目的端口来转发,比如,一个主机对应一个域名,适用于每秒超过一万的业务。每一次变更都是一次发布,每一次发布都是一个独立的镜像启动 showImg(https://segmentfault.com/img/bVbvtgW?w=1080&h=720); 以一个经典问题抛砖引玉,当用户在浏览器...
摘要:常用的负载均衡开源软件有,商业的硬件负载均衡设备。使用可以达到的技术目标是通过达到的负载均衡技术和操作系统实现一个高性能高可用的服务器集群,它具有良好的可靠性可扩展性和可操作性。指的是前端负载均衡器节点。。 博文参考 http://www.jianshu.com/p/8a61de3f8be9 http://itnihao.blog.51cto.com/1741976/752472 负载...
阅读 1356·2023-01-11 13:20
阅读 1707·2023-01-11 13:20
阅读 1215·2023-01-11 13:20
阅读 1906·2023-01-11 13:20
阅读 4165·2023-01-11 13:20
阅读 2757·2023-01-11 13:20
阅读 1402·2023-01-11 13:20
阅读 3671·2023-01-11 13:20
