精华内容
下载资源
问答
  • nat技术

    2020-08-24 20:05:38
    1 nat技术 网络地址转换,作用是将内部网络的私用地址转换成可用的公用地址,实现内部网络与外部网络的信息交互 2 nat技术的分类 静态nat: 每一个私网地址都有一个公网地址与之对应,是一对一的关系,nat地址表...

    1 nat技术

    网络地址转换,作用是将内部网络的私用地址转换成可用的公用地址,实现内部网络与外部网络的信息交互

    2 nat技术的分类

    静态nat:

    每一个私网地址都有一个公网地址与之对应,是一对一的关系,nat地址表 是一直不变,需要管理员手动配置,主要用于服务器

    动态nat

    将内部被授权的ip被映射成公网地址时,他们的地址是随机的,私用ip随机转换成公用ip,是一种多对多的关系。动态nat需要配置一个外网地址池,当需要与外部进行信息交互时,从外网地址池随机选取一个地址与内网地址形成映射关系,当通信结束时,释放nat关系表的地址映射关系,可以为其他内部网络使用。

    pat,napt ,nat重载

    网络地址端口转换技术

    可实现多对一的通信技术,在动态nat的技术上,将一个外网的ip地址按端口进行划分,也是现在用的最多的技术。

    展开全文
  • NAT技术

    2017-03-06 20:16:34
     NAT技术,又名为网络地址转换。该技术产生的原因:IPv4地址危机,在Internet上应用广泛的IPv4技术,由于其先天性不足,在九十年代初期时,已经预计到了IPv4地址不足,从而开始开发IPv6技术。但开发IPv6需要足够的...

    一、概述
         NAT技术,又名为网络地址转换。该技术产生的原因:IPv4地址危机,在Internet上应用广泛的IPv4技术,由于其先天性不足,在九十年代初期时,已经预计到了IPv4地址不足,从而开始开发IPv6技术。但开发IPv6需要足够的时间(需要换较多的网络设备),为了延长IPv4技术的使用时间,产生了NAT技术。
     
    二、工作原理
        修改IP数据包中的源IP地址,或目的IP地址。主要目的是把RFC1918所提议的私有地址转变成在Internet上可路由的公有合法地址。对于某些有限的应用(如DNS、FTP等),它也可以修改IP数据包有效载荷中的地址。由于应用的复杂性,NAT目前支持的应用有限,当然,如果需要,完全可以针对新的应用做相应的开发工作。
    从配置了NAT技术的一台路由器上,把整个网络分成两部分:内部网络和外部网络
    NAT技术中有四个术语
         内部本地地址----局域网内部主机的拥有的一个真实地址,一般来说是一个私有地址
         内部全局地址----对于外部网络来说,局域网内部主机所表现的IP地址。
         外部本地地址----外部网络主机的真实地址。
         外部全局地址----对于内部网络来说,外部网络主机所表现的IP地址。
    对于网络地址转换技术来讲,最重要的一点是,在配置NAT的路由器上形成了NAT转换表,这个转换表的形成是非常关键的。配置NAT后,能形成正确的转换表,那么我们的工作就算成功了。
     
    三、基本配置
    1、  静态转换
    Router(config)#ip nat inside source static 内部本地地址 内部全局地址
    2、  动态转换
    Router(config)#ip nat pool 地址池 起始地址 最后地址 netmask 子网掩码
    Router(config)#access-list 表号 permit 网络号 反掩码
    Router(config)#ip nat inside source list 表号 pool 地址池
    3、  PAT
    Router(config)#access-list 表号 permit 网络号 反掩码
    Router(config)#ip nat inside source list 表号 interface 外部接口


    小结

    1)拥有少量的公网地址IP G

    2)内部主机X 用本地地址IP X 和因特网上主机Y 通信所 发送的数据报必须经过NAT 路由器。

    „3)NAT 路由器将数据报的源地址IPX 转换成全球地址IP G ,但目的地址IP Y 保持不变,然后发送到因特网。

    „4)NAT 路由器收到主机Y 发回的数据报时,知道数据报中 的源地址是IP Y 而目的地址是IP G 。

    „5)根据NAT 转换表,NAT 路由器将目的地址IP G 转换为 IP X ,转发给最终的内部主机X



    具体详情环境配置可查看:http://blog.sina.com.cn/s/blog_5f5549cd0100d2vh.html

    展开全文
  • NAT技术专题NAT技术专题NAT技术专题NAT技术专题NAT技术专题NAT技术专题NAT技术专题NAT技术专题NAT技术专题NAT技术专题NAT技术专题
  • 防火墙NAT技术

    万次阅读 多人点赞 2019-03-14 11:12:14
    防火墙NAT技术简介 NAT(Network Address Translation)是一种地址转换技术,可以将IPv4报文头中的地址转换为另一个地址。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,可以实现位于私网的多个...

    防火墙NAT技术简介

    NAT(Network Address Translation)是一种地址转换技术,可以将IPv4报文头中的地址转换为另一个地址。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,可以实现位于私网的多个用户使用少量的公网地址同时访问Internet。因此,NAT技术常用来解决随着Internet规模的日益扩大而带来的IPv4公网地址短缺的问题。

    NAT类型:

    根据转化方式的不同,NAT可以分为三类:

    1. 源NAT,源地址转化的NAT。

      有:NO—PAT, NAPT, Easy_ip,Smart_nat, 三元组NAT

    2. 目的NAT:将目的地址做转化。

      有:NAT-Server, SLB

    3. 双向NAT:即做源地址转化,又做目的地址转化。

    在这里插入图片描述

    NAT基本概念:

    NAT地址池: 是指用NAT转换时用于分配公网的IP地址范围。进行转换时,设备会从该地址池中选择一个地址,用于替换报文的源IP地址。

    源NAT技术

    源NAT简介:

    源NAT是指对报文中的源地址进行转换。

    通过源NAT技术将私网IP地址转换成公网IP地址,使私网用户可以利用公网地址访问Internet。

    No-PAT:

    NAT No-PAT是一种NAT转换时只转换地址,不转换端口,实现私网地址到公网地址一对一的地址转换方式。适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景。

    此方式下,公网地址和私网地址属于一对一转换。如果地址池中的地址已经全部分配出去,则剩余内网主机访问外网时不会进行NAT转换,直到地址池中有空闲地址时才会进行NAT转换。

    no_pat可以产生Server-map,但需要流量的触发

    FW上生成的Server-map表中存放Host的私网IP地址与公网IP地址的映射关系。

    • 正向Server-map表项保证特定私网用户访问Internet时,快速转换地址,提高了FW处理效率。

      正向Server-map作用:地址转换映射,加速转发

    • 反向Server-map表项允许Internet上的用户主动访问私网用户,将报文进行地址转换。

      反向server-map作用:为外网用户主动访问内网用户,匹配映射。

    NAT NO-PAT有两种:

    • 本地(Local)NO-PAT

      本地NO-PAT生成的Server-Map表中包含安全区域参数,只有此安全区域的Server可以访问内网Host。

    • 全局(Global)NO-PAT

      全局NO-PAT生成的Server-Map表中不包含安全区域参数,一旦建立,所有安全区域的Server都可以访问内网Host。

    防火墙在选地址池中的地址时,根据轮询算法从NAT地址池中国选择一个空闲的地址。

    注意:源NAT策略放行转化之前的地址。因为先匹配安全策略。再匹配NAT策略。

    No-PAT配置思路:

    第一步: 配置地址池
     nat address-group no_pat
     section 0 202.100.1.100 202.100.1.101
     nat-mode no-pat   ----------------------默认是PAT
    
    第二步:配置NAT策略
    nat-policy
     rule name no_pat
      source-zone trust
      destination-zone untrust
      source-address 10.1.1.0 mask 255.255.255.0
      action nat address-group no_pat 
    
    第三步:配置黑洞路由
    
    第四步:放行安全策略
    security-policy
     rule name trust_untrust
      source-zone trust
      destination-zone untrust
      source-address 10.1.1.0 0.0.0.255 
      action permit
    
    注意: 源NAT策略放行转换之前的源地址,因为先匹配安全策略,再匹配NAT策略
    
    第五步:测试检查
    

    配置黑洞路由的原因:

    • 如果地址池地址和出接口不在同一段,会发现环路

      解决方案: 必须配置黑洞路由
      ip route-static 1.1.1.2 255.255.255.255 NULL0

    • 如果地址池地址和出接口在同一个网段,不会发生环路,但会多一个ARP请求

      解决方案:建议配置黑洞路由

    NAPT:

    NAPT是一种转换时同时转换地址和端口,实现多个私网地址共用一个或多个公网地址的地址转换方式。适用于公网地址数量少,需要上网的私网用户数量大的场景。

    FW根据源IP Hash算法从NAT地址池中选择一个公网IP地址,替换报文的源IP地址。一个源IP会固定使用那个地址。

    NAPT方式不会生成Server-map表,这一点也与NAT No-PAT方式不同。

    NAPT配置思路:

    第一步:配置地址池
     nat address-group NAPT
     section 0 202.100.1.20 202.100.1.200 
     nat-mode  pat -----------------------------已经默认了,不显示
    
    第二步:配置NAT策略
    nat-policy
     rule name NAPT
      source-zone trust
      destination-zone untrust
      source-address 10.1.1.0 mask 255.255.255.0
      action nat address-group NAPT
    
    第三步:放行安全策略
    
    第四步:测试检查
    

    Napt为什么不会产生Server-map?

    如果产生,需要大量表现,消耗资源,影响性能。

    natp需要配置黑洞路由不?

    两种情况:

    1. 第一种情况:地址池地址与出接口在不同网段,会形成环路

      解决方案:配置路由黑洞
      ip route-static 1.1.1.2 255.255.255.255 NULL0

    2. 第二种情况:地址池地址与出接口在同一个网段,不会形成环路,但会多一个ARP请求
      ip route-static 202.100.1.200 255.255.255.255 NULL0

    华为NAT复用技术:地址池,端口的选择

    地址池地址的选择是随机的吗?

    地址池中的地址选择不是随机的,而是按照一定的算法来选择。

    • X ---- 表示需要被转化的地址 10.0.0.1 - 10.10.10.10

    • Y-----地址池地址 202.100.1.1 - 202.100.1.5

    Y = 5 (地址池中地址的个数,外网地址个数)

    算法:X / Y 取余数:

    • 当余数为0的时候,对应地址池的第一个地址,202.100.1.1
    • ​ 1 202.100.1.2

    基于源IP地址做Hash,来选择一个地址池中的地址,一个源IP会固定使用那个选择的地址

    端口是不是随机的?

    端口的分配是随机的,但是可能会冲突。

    端口冲突检测技术:

    Z —代表端口值,利用(地址池地址 协议 目的地址 目的端口)参数进行某种数学算法,求出端口Z。

    例如:Z = 2000 ,与会话表的端口比较,如果相同端口执行Z++。 2049,继续检测。

    Easy IP:

    Easy IP是一种利用出接口的公网IP地址作为NAT转后的地址,同时转换地址和端口的地址转换方式。对于接口IP是动态获取的场景,Easy IP也一样支持。

    Easy ip配置思路:

    nat-policy
     rule name Easy_ip
      source-zone trust
      egress-interface GigabitEthernet0/0/3
      source-address 10.1.1.0 mask 255.255.255.0
      action nat easy-ip
    

    Easy ip不会产生Server-map

    不需要配置黑洞路由。

    Smart NAT:

    Smart_nat =no_pat+pat,自动预留一个IP地址做PAT

    Smart NAT是No-PAT方式的一种补充。Smart NAT是一种可以在No-PAT的NAT模式下,指定某个IP地址预留做NAPT方式的地址转换方式。适用于平时上网的用户数量少,公网IP地址数量与同时上网用户数基本相同,但个别时段上网用户数激增的场景。

    使用No-PAT方式时,进行地址池的一对一转换。随着内部用户数量的不断增加,地址池中的地址数可能不再能满足用户上网需求,部分用户将得不到转换地址而无法访问Internet。此时,用户可以利用预留的IP地址进行NAPT地址转换,然后访问Internet。

    Smart nat配置:

    1.配置nat地址池:
    [FW] nat address-group addressgroup1
    [FW-address-group-addressgroup1] mode no-pat local
    [FW-address-group-addressgroup1] section 0 1.1.1.10 1.1.1.14
    [FW-address-group-addressgroup1] smart-nopat 1.1.1.15
    [FW-address-group-addressgroup1] route enable
    [FW-address-group-addressgroup1] quit
    
    2.配置nat策略:
    [FW] nat-policy
    [FW-policy-nat] rule name policy_nat1
    [FW-policy-nat-rule-policy_nat1] source-zone trust
    [FW-policy-nat-rule-policy_nat1] destination-zone untrust
    [FW-policy-nat-rule-policy_nat1] source-address 10.1.1.0 24
    [FW-policy-nat-rule-policy_nat1] action source-nat address-group addressgroup1 
    [FW-policy-nat-rule-policy_nat1] quit
    [FW-policy-nat] quit
    3.配置安全策略
    
    4.配置默认路由
    

    三元组NAT:

    三元组:源IP,源端口,协议号。 为PAT产生server-map,老化时间内保持不变。

    支持外网主动访问,保障P2P应用。

    动态端口对外一致性。

    三元组NAT是一种转换时同时转换地址和端口,实现多个私网地址共用一个或多个公网地址的地址转换方式。它允许Internet上的用户主动访问私网用户,与基于P2P技术的文件共享、语音通信、视频传输等业务可以很好地共存。

    当内网PC访问Internet时,如果FW采用五元组NAT(NAPT)方式进行地址转换,外部设备无法通过转换后的地址和端口主动访问内部PC。

    三元组NAT方式可以很好的解决上述问题,因为三元组NAT方式在进行转换时有以下两个特点:

    1. 三元组NAT的端口不能复用,保证了内部PC对外呈现的端口的一致性,不会动态变化,但是公网地址利用率低。

    2. 支持外部设备通过转换后的地址和端口主动访问内部PC。FW即使没有配置相应的安全策略,也允许此类访问报文通过。

      通过生成Server-map来实现。

      FW上生成的Server-map表中存放Host的私网IP地址与公网IP地址的映射关系。

      • 正向Server-map表项保证内部PC转换后的地址和端口不变。
      • 反向Server-map表项允许外部设备可以主动访问内部PC。

    三元组NAT有两种:

    • 本地(Local)三元组NAT

      本地三元组NAT生成的Server-Map表中包含安全区域参数,只有此安全区域的Host可以访问内网Host。

    • 全局(Global)三元组NAT

      全局三元组NAT生成的Server-Map表中不包含安全区域参数,一旦建立,所有安全区域的Host都可以访问内网Host。

    FW支持Smart三元组NAT功能,可以根据报文的目的端口来选择分配端口的模式,在一定程度上提高公网地址的利用率。当报文的目的端口属于设置的端口范围之内,就采用NAPT模式来分配端口,如果报文的目的端口不属于设置的端口范围之内,则采用三元组NAT模式来分配端口。

    三元组nat配置:

    1.配置地址池
    [FW] nat address-group addressgroup1
    [FW-address-group-addressgroup1] mode full-cone global
    [FW-address-group-addressgroup1] route enable
    [FW-address-group-addressgroup1] section 0 1.1.1.10 1.1.1.15
    [FW-address-group-addressgroup1] quit
    
    2.配置nat策略
    [FW] nat-policy
    [FW-policy-nat] rule name policy_nat1
    [FW-policy-nat-rule-policy_nat1] source-zone trust
    [FW-policy-nat-rule-policy_nat1] destination-zone untrust
    [FW-policy-nat-rule-policy_nat1] source-address 10.1.1.0 24
    [FW-policy-nat-rule-policy_nat1] action source-nat address-group addressgroup1 
    [FW-policy-nat-rule-policy_nat1] quit
    [FW-policy-nat] quit
    
    3.开启端点无关过滤功能,缺省情况下,端点无关过滤功能为开启状态。如果没有开启该功能,还需要配置公网到私网的安全策略。
    [FW] firewall endpoint-independent filter enable
    

    端点无关过滤功能:

    firewall endpoint-independent filter enable

    该命令只对NAT三元组、NAT64三元组和PCP生效,对DS-Lite三元组不生效。

    开启端点无关过滤功能后,当Internet上的用户主动访问位于内部网络的用户时,将会匹配三元组的目的Server-map表或PCP映射表(Server-map表),FW根据目的Server-map表中的转换关系进行地址转换,然后不进行域间安全策略处理,直接转发报文。如果没有开启端点无关过滤功能,则还是会查找域间安全策略规则,由安全策略规则决定是否转发报文。

    管理员可以根据实际需要选择开启端点无关过滤功能,或者在安全域间配置安全策略规则。

    缺省情况下,端点无关过滤功能处于开启状态。

    源NAT技术对比:

    在这里插入图片描述

    NAT ALG

    作用:解决应用层信息的转换

    出现的原因:NAT只能IP和TCP/UDP,不能对应用层信息进行转换

    开启命令: firewall detect ftp

    NAT ALG 与ASPF相同与不同:

    相同点:

    • 一条命令开启两个功能

    不同点:

    • ASPF------产生临时的安全通道,识别协议

    • NAT ALG-------转换应用信息

    NAT ALG简介:

    通常情况下,NAT只对报文中IP头部的地址信息和TCP/UDP头部的端口信息进行转换,不关注报文载荷的信息。但是对于一些特殊的协议(如FTP协议),其报文载荷中也携带了地址或端口信息,而报文载荷中的地址或端口信息往往是由通信的双方动态协商生产的,管理员并不能为其提前配置好相应的NAT规则。如果提供NAT功能的设备不能识别并转换这些信息,将会影响到这些协议的正常使用。

    FW提供NAT ALG(Application Level Gateway)功能,可以对报文的载荷字段进行解析,识别并转换其中包含的重要信息,保证类似FTP的多通道协议可以顺利的进行地址转换而不影响其正常使用。

    下面以FTP(File Transfer Protocol)协议为例,简要描述其工作原理。

    FTP协议的NAT ALG处理:

    FTP协议是一个典型的多通道协议,在其工作过程中,FTP Client和FTP Server之间将会建立两条连接(也称为通道):控制连接和数据连接。控制连接用来传输FTP指令和参数,数据连接用来传输数据。

    FTP协议包括两种工作模式:主动模式和被动模式。主动模式中,FTP Server主动向FTP Client发起数据连接;被动模式中,FTP Server被动接收FTP Client发起的数据连接。无论是主动模式还是被动模式,在控制连接交互报文的载荷中,都包含用于建立数据连接的IP地址和端口号信息。

    如果在FTP Client和FTP Server之间部署了NAT设备,这就要求NAT设备必须能够识别出控制连接中包含的IP地址和端口号并进行处理,否则数据连接无法成功建立,FTP协议不能正常工作。

    下面以FTP协议工作在主动模式为例,介绍NAT ALG功能对FTP协议的处理过程。

    在这里插入图片描述

    图:NAT ALG工作原理示意图

    FTP Client位于私有网络,FTP Server位于公共网络。FW对FTP协议的报文处理过程如下:

    1. FTP Client通过源NAT地址转换后可以访问FTP Server,与FTP Server完成FTP控制连接的TCP三次握手,并交付用户名和密码信息。
    2. FW收到FTP Client发送的PORT命令报文后,将报文载荷字段中携带的私网地址和端口替换为公网地址和新的端口,然后发送至FTP Server。
    3. FW收到FTP Server请求建立数据连接的报文后,替换报文的目的地址和目的端口为原始的地址和端口,然后发送至FTP Client。由此保证数据连接可以成功建立,FTP协议正常工作。

    除FTP协议外,FW还支持对DNS、H.323、ICQ、ILS、MMS、MSN、NETBIOS、PPTP、QQ、RSH、RTSP、SCCP、SIP和SQLNET协议提供NAT ALG功能。

    NAT ALG与ASPF的关系:

    差异点:

    • 开启ASPF功能的目的是识别多通道协议,并自动为其开放相应的安全策略。
    • 开启NAT ALG功能的目的是识别多通道协议,并自动转换报文载荷中的IP地址和端口信息。

    共同点:二者使用相同的配置。开启其中一个功能,另一功能同时生效。

    开启命令:firewall detect protocol

    目的NAT技术

    目的nat简介:

    目的NAT是指对报文中的目的地址和端口进行转换。

    配置思路:

    配置思路
    第一步:ACL配置-----抓出需要被转换的地址
    acl number 3000
     rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 100.1.1.0 0.0.0.255 
    
    第二步: 配置目的NAT
    firewall zone trust
     destination-nat 3000 address 200.1.1.1
    
    第三步:放行安全策略
    security-policy
     rule name trust_isp2
      source-zone trust
      destination-zone isp2
      destination-address 200.1.1.1 32 --------------转换之后的地址
      action permit 
    

    Nat Server:

    NAT-Server-----服务器映射
    既可以转换目的地址,又可以转换目的端口

    语法:

    nat server  name   zone  untrust  protocol tcp    global 202.100.1.20  80        inside 192.168.1.1   80
                    名字       ZONE可选     协议(可选)         公网地址   
    

    注:只要配置NAT-Server,就会产生Server-map,不需要流量的触发。 默认一直存在,直到NAT-Server被删除,Server-map才会消失。

    配置思路:

    第一步:配置NAT -Server(全局配置)
     nat server NAT_Server zone untrust protocol tcp global 202.100.1.20 www inside 192.168.1.1 www
    
    第二步:放行安全
    security-policy
     rule name untrust_dmz
      source-zone untrust
      destination-zone dmz
      destination-address 192.168.1.1 mask 255.255.255.255
      action permit
    
    注: nat-server放行转换之后的目的地址
    

    nat server中产生Server-map的作用:

    • 正向作用: 只是做映射关系,加速转发
    • 反向作用:让服务器主动发起访问internet(前提是安全策略要放行)
    
    第三步:查看Server-map表
    [FW1]display  firewall server-map  
     server-map 2 item(s) 
     ------------------------------------------------------------------------------
     Nat Server, any -> 202.100.1.20:80[192.168.1.1:80], Zone: untrust
       Protocol: tcp(Appro: http), Left-Time: --:--:--, Addr-Pool: ---
       VPN: public -> public ------正向
    作用: 只是做映射关系,加速转发
    
     Nat Server Reverse, 192.168.1.1[202.100.1.20] -> any, Zone: untrust
       Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
       VPN: public -> public------反向
    
    作用:让服务器主动发起访问internet(前提是安全策略要放行)
    security-policy
     rule name dmz_untrust
      source-zone dmz
      destination-zone untrust
      action permit
    

    no-reverse:

    配置指定no-reverse参数的NAT Server来实现同一个内部服务器发布多个公网IP供外部网络访问的需求时,由于配置了no-reverse参数,内部服务器将无法主动访问外部网络。此时,如果内部服务器想要访问外部网络,需要在内部服务器所在区域和外部网络所在区域的域间配置源NAT策略,将服务器的私网地址转换为公网地址。源NAT策略中引用的地址池可以是global地址也可以是其他的公网地址。

    默认配置reverse,配置reverse的优缺点:

    • 优点:
      服务器上网的源NAT转换不需要配置了。节省配置

    • 缺点:
      只转换IP地址,不转换端口

    Server-map要不是reverse 32字真言:

    • 一去一返 ,来去自如

      正向作用:映射关系

      反向作用:提供服务器上网

    • 去反存正,自断其路

      场景:IPSEC VPN场景 +NAT-Server+源NAT

      在该场景下:因为nat-server产生的server-map,优先级大于源nat策略。此时,则不能触发IPSec VPN的感兴趣流。所以不能产生反向server-map。

      解决方案:
      不能产生反向Server-map ,加上参数no-reverse
      nat server NAT_Server zone untrust protocol tcp global 202.100.1.20 www inside 192.168.1.1 www no-reverse

      l另外:解决源转换问题-----配置NAT豁免(NAT旁路)

    • 一分为二,源进源出

      针对多出口的环境配置NAT-Server ,解决inside地址重复:

      • 方案一: 如果接口来自的不同的ZONE,NAT-Server配置不同的ZONE
        nat server AAA zone isp1 global 1.1.1.10 inside 10.1.1.2
        nat server BBB zone isp2 global 2.2.2.10 inside 10.1.1.2

      • 方案二接口来自相同的ZONE,配置no-reverse

        nat server AAA zone isp1 global 1.1.1.10 inside 10.1.1.2 no-reverse
        nat server BBB zone isp1 global 2.2.2.10 inside 10.1.1.2 no-reverse

      针对来回路径不一致的场景配置NAT-Server
      解决方案:配置源进源出(高于路由表,除了直连路由)

      USG6000序列
      int xxxx
      reverse-route nexthop X.X.X.X

      USG9000序列
      int xxxx
      redirect-reverse next-hop X.X.X.X

      USG6000V
      int xxxx
      redirect-reverse enable

      redirect-reverse命令用来开启报文从同一接口进入和发出功能。

    • 虚假变化,合二为一

      针对双机热备,配置NAT-Server会产生免费APR的冲突 (针对于USG2000/5000 V3R1)
      解决方案:
      nat server qyt global 202.100.1.100 inside 10.1.1.1 vrrp 2

      USG6000 9000不需要绑定。

    Nat-server需要配置黑洞路由吗?

    分情况:

    • 粗矿的NAT-Server:可以匹配会话表。
      nat server nat_server 0 global 1.1.1.1 inside 10.1.1.1 -------不需要黑洞路由

    • 精确的NAT-Server :只能匹配tcp:80端口。其他不能匹配。所以有环。
      nat server nat_server 0 protocol tcp global 1.1.1.1 80 inside 10.1.1.1 80 ------需要黑洞路由

    不同的网段(公网地址与出接口在不同的网段)一定要配置黑洞路由,相同的网段呢(公网地址与出接口在同一网段)建议配置黑洞路由
    解决方案:
    ip route-static 1.1.1.1 255.255.255.255 NULL0 (不同段的)

    ip route-static 202.100.1.200 255.255.255.255 NULL0(同一个段的)

    SLB 服务器负载均衡:

    只要创建SLB,就会产生SERVER-MAP

    算法:

    1. 轮询算法 ----------加权

    2. 最小连接------------加权

    3. 会话保持(源HASH算法)--------加权

    配置思路:

    第一步:启动SLB
    slb enable 
    
    第二步:配置真实服务器和流量分配方式
     slb 
      rserver 1 rip 192.168.1.1 weight 32 healthchk ---------默认权重为32, 健康检查开启
      rserver 2 rip 192.168.1.2 weight 32 healthchk
      group SLB
      metric roundrobin  ----------默认轮询方式,可以修改
      addrserver 1
      addrserver 2 
    
    第三步:配置虚拟服务器地址和端口
    slb 
     vserver SLB vip 202.100.1.20 group SLB tcp vport 80 rport 80
    
    第四步:放行安全策略
    
    security-policy
     rule name slb_helth------放行健康检查
      source-zone local
      destination-zone dmz
      source-address 192.168.1.10 mask 255.255.255.255
      destination-address 192.168.1.1 mask 255.255.255.255
      destination-address 192.168.1.2 mask 255.255.255.255
      service icmp
      action permit
     rule name untrust_dmz
      source-zone untrust
      destination-zone dmz
      action permit
    第五步:检查测试
    
    [FW1]display firewall session table
     Current Total Sessions : 6
      http  VPN:public --> public 11.1.1.10:49212-->202.100.1.20:80[192.168.1.2:80]
      http  VPN:public --> public 11.1.1.10:49213-->202.100.1.20:80[192.168.1.1:80]
    
    [FW1]display slb  rserver  
     Real Server Information(Total 2)
    ---------------------------------------------------------------
      Real Server ID        : 1
      Real Server IP        : 192.168.1.1
      Real Server Weight    : 32  -------------默认权重值
      Health Check Method   : healthchk
      Real Server Status    : active  ---------如果是inactive,要放行安全策略
      Applied Group Number  : 1
      Virtual IP            : 202.100.1.20
    
      Real Server ID        : 2
      Real Server IP        : 192.168.1.2
      Real Server Weight    : 32
      Health Check Method   : healthchk
      Real Server Status    : active
      Applied Group Number  : 1
      Virtual IP            : 202.100.1.20
    ---------------------------------------------------------------
    
    [FW1]display  slb vserver  
    Virtual Server Information(Total 1)
    ---------------------------------------------------------------
      Virtual Server Name        : SLB
      Virtual Server IP          : 202.100.1.20
      Group Name                 : SLB
      Protocol                   : tcp
      Virtual Server Port        : 80
      Real Server Port           : 80
    ---------------------------------------------------------------
    
    [FW1]display slb group  SLB 
    Group Information(Total 1)
    ---------------------------------------------------------------
      Group Name               : SLB
      Metric                   : weightrr
      Virtual Server Number    : 1
      Virtual IP               : 202.100.1.20
      Real Server Number       : 2
      Real Server List         : 1    2    
    ---------------------------------------------------------------
    
    [FW1]display firewall  server-map  
     server-map 3 item(s) 
     server-map 3 item(s) 
     ------------------------------------------------------------------------------
    SLB配置以后就会产生Server-map
     SLB, any -> 202.100.1.20:80[---], Zone: ---
       Protocol: tcp(Appro: http), Left-Time: --:--:--, Addr-Pool: ---
       VPN: public -> public  -----正向
    作用:虚拟服务器的功能
    
     SLB Reverse, 192.168.1.1[202.100.1.20] -> any, Zone: ---
       Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
       VPN: public -> public -----反向
    作用:解决服务器上网问题
    
    
     SLB Reverse, 192.168.1.2[202.100.1.20] -> any, Zone: ---
       Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---
       VPN: public -> public
    
    作用:解决服务器上网问题
    

    参考文档:华为HedEx 文档。

    双向NAT技术

    双向nat:

    针对同一数据流,如果需要同时改变报文的源地址和目的地址,就可以配置“源NAT + NAT Server”,称此类NAT技术为双向NAT。

    域间双向NAT:

    当外部网络中的用户访问内部服务器时,使用该双向NAT功能同时转换该报文的源和目的地址可以避免在内部服务器上设置网关,简化配置。

    如下图:untrust区域PC访问DMZ区域Server。源IP由11.1.1.20转化为192.168.1.20,目的IP由202.100.1.20转化为192.168.1.1.报文的源地址和目的地址同时进行了转化,完成了双向NAT。

    NAT Server + 源NAT配置的最大优势为,服务器可以不用设置网关。

    在这里插入图片描述

    配置思路:

    第一步:配置NAT-Server 
     nat server NAT_Server zone untrust global 202.100.1.100 inside 192.168.1.1
    
    第二步:配置源NAT
     nat address-group dmz20
     section 0 192.168.1.20 192.168.1.20
     
    nat-policy
     rule name untrust_dmz
      source-zone untrust
      destination-zone dmz
      action nat address-group dmz
    
    第三步:放行安全策略
    
    第四步:配置黑洞路由
    ip route-static 192.168.1.20 255.255.255.255 NULL0
     ip route-static 202.100.1.100 255.255.255.255 NULL0
    第五步:测试检查
    
    [FW1]display firewall session table
     Current Total Sessions : 3
      http  VPN:public --> public 11.1.1.10:49187[192.168.1.20:2048]-->202.100.1.100:80[192.168.1.1:80]
    

    域内双向NAT:

    私网用户与内部服务器在同一安全区域同一网段时,私网用户希望像外网用户一样,通过公网地址来访问内部服务器的场景。

    由于私网用户与死亡服务器被规划到同一个网络中,为了提高内部网络的安全性,使私网服务器的回应报文也经过防火墙,就需要配置域内NAT。

    在这里插入图片描述

    配置思路:

    配置思路: 
    第一步:配置NAT-Server
     nat server NAT_Server2 zone trust global 202.100.1.200 inside 10.1.1.2
    
    第二步:配置源NAT
     nat address-group insde1
     section 0 1.1.1.1 1.1.1.1
    
    nat-policy
     rule name trust_trust
      source-zone trust
      destination-zone trust
      source-address 10.1.1.0 mask 255.255.255.0
      destination-address 10.1.1.2 mask 255.255.255.255
      action nat address-group insde1
    
    第三步:配置黑洞路由
     ip route-static 1.1.1.1 255.255.255.255 NULL0
     ip route-static 202.100.1.200 255.255.255.255 NULL0
    
    
    第四步:检查测试
    [FW1]display firewall session table
      http  VPN:public --> public 10.1.1.1:61950[1.1.1.1:2064]-->202.100.1.200:80[10.1.1.2:80]
      http  VPN:public --> public 10.1.1.1:61949[1.1.1.1:2063]-->202.100.1.200:80[10.1.1.2:80]
    

    参考文档:华为HedEx防火墙文档

    展开全文
  • 文章目录出现原因基本概念NAT技术基本原理源NAT技术静态NAT动态NATNAPTEasy IPNAT ALGNAT服务器双向NAT技术域间双向NAT(NAT Server+源NAT)域内双向NAT 出现原因 由于互联网快速发展,以及IPv4地址规划不合理的问题...

    出现原因

    由于互联网快速发展,以及IPv4地址规划不合理的问题,导致了IPv4地址短缺。为了解决由于IPv4地址短缺问题,有以下几种解决方法:

    1. VLSM:可变长子网掩码
    2. NAT:网络地址转换技术
    3. IPv6(根本解决方法)

    但是由于从IPv4到IPv6技术的迁移,需要非常多的时间,以及IPv6技术相对于IPv4不成熟等问题,目前IPv6并没有得到广泛的应用。所以NAT这种临时解决方案显得尤为重要。

    基本概念

    NAT:

    Network Address Translation,网络地址转换技术。是将私网地址与公网地址进行转换,实现私网用户能在公网上通信。

    优点:

    1. 实现IP地址复用,节约宝贵的地址资源(私网地址对公网地址可以实现多对一)
    2. 对于内外网络用户,感觉不到IP地址转换的过程,整个过程对于用户来说是透明的
    3. 对内网用户提供隐私保护,外网用户不能直接获得内网用户的IP地址、服务等信息,具有一定的安全性。
    4. 通过配置多个相同的内部服务器的方式可以减小单个服务器在大流量时承担的压力,实现服务器负载均衡。

    缺点:

    1. 限制某些具体应用
      由于需要对数据报文进行IP地址的转换,涉及IP地址的数据报文的报头不能被加密。在应用协议中,如果报文中有地址或端口需要转换,则报文不能被加密。例如,不能使用加密的FTP连接,否则FTP的port命令不能被正确转换。

    2. 网络监控难度大
      网络监管变得更加困难。例如,如果一个黑客从内网攻击公网上的一台服务器,那么要想追踪这个攻击者很难。因为在报文经过NAT转换设备的时候,地址经过了转换,不能确定哪台才是黑客的主机。

    NAT一般配置在网络路由器或防火墙上。

    NAT技术基本原理

    源NAT技术

    静态NAT

    在这里插入图片描述
    静态NAT实现了私有地址和公有地址的一对一映射。如果希望一台主机优先使用某个关联地址,或者想要外部网络使用一个指定的公网地址访问内部服务器时,可以使用静态NAT。但是在大型网络中,这种一对一的IP地址映射无法缓解公用地址短缺的问题。、
    如上图,源地址为192.168.1.1的报文需要发往公网地址100.1.1.1。在网关RTA上配置了一个私网地址192.168.1.1到公网地址200.10.10.1的映射。当网关收到主机A发送的数据包后,会先将报文中的源地址192.168.1.1转换为200.10.10.1,然后转发报文到目的设备。目的设备回复的报文目的地址是200.10.10.1。当网关收到回复报文后,也会执行静态地址转换,将200.10.10.1转换成192.168.1.1,然后转发报文到主机A。和主机A在同一个网络中其他主机,如主机B,访问公网的过程也需要网关RTA做静态NAT转换。

    注意:

    • 静态NAT实现了私有地址和共有地址一对一的映射(一个私有地址对应一个共有地址),并没有做到缓解地址短缺的问题,只是做到了地址转换。
    • 一个公网地址只会分配给唯一且固定的内网地址(相当于上图主机A绑定了两个地址)

    动态NAT

    在这里插入图片描述
    动态NAT通过使用地址池来实现。

    如上图,当内部主机A和主机B需要与公网中的目的主机通信时,网关RTA会从配置的公网地址池中选择一个未使用的公网地址与之做映射。每台主机都会分配到地址池中的一个唯一地址。当不需要此连接时,对应的地址映射将会被删除,公网地址也会被恢复到地址池中待用。当网关收到回复报文后,会根据之前的映射再次进行转换之后转发给对应主机。

    注意:

    • 动态NAT实际上实现的还是私有地址和公有地址一对一的关系,但是共有地址不再绑定给特定的内网地址。实现了一定程度的缓解地址短缺问题。
    • 动态NAT地址池中的地址用尽以后,只能等待被占用的公用IP被释放后,其他主机才能使用它来访问公网。

    NAPT

    NAPT:Network Address Port Translation 网络端口地址转换技术
    在这里插入图片描述

    如上图,RTA收到一个私网主机发送的报文,源IP地址是192.168.1.1,源端口号是1025,目的IP地址是100.1.1.1,目的端口是80。RTA会从配置的公网地址池中选择一个空闲的公网IP地址和端口号,并建立相应的NAPT表项。这些NAPT表项指定了报文的私网IP地址和端口号与公网IP地址和端口号的映射关系。之后,RTA将报文的源IP地址和端口号转换成公网地址200.10.10.1和端口号2843,并转发报文到公网。当网关RTA收到回复报文后,会根据之前的映射表再次进行转换之后转发给主机A。主机B同理。

    注意:

    • NAPT技术允许多个内部地址映射到同一个公有地址的不同端口。
    • NAPT实现了私有地址对共有地址多对一

    Easy IP

    在这里插入图片描述

    • Easy IP本质上是NAPT(所以原理与NAPT大致相似)
    • 由于网关设备出接口IP地址为公网地址,所以可以利用该出接口地址来作为地址转换的公有地址。

    Easy IP适用于小规模局域网中的主机访问Internet的场景。小规模局域网通常部署在小型的网吧或者办公室中,这些地方内部主机不多,出接口可以通过拨号方式获取一个临时公网IP地址。Easy IP可以实现内部主机使用这个临时公网IP地址访问Internet。

    NAT ALG

    NAT ALG(Application Level Gateway,应用级网关)是特定的应用协议的转换代理,可以完成应用层数据中携带的地址及端口号信息的转换。

    在以太网数据帧结构中,IP首部包含32位的源IP地址和32位的目的IP地址,TCP首部包含16位的源端口号和16位的目的端口号。但是很多协议会通过IP报文的数据载荷进行新端口甚至新IP地址的协商。协商完成之后,通信双方会根据协商结果建立新的连接进行后续报文的传输。而这些协商出来的端口和IP地址往往是随机的,管理员并不能为其提前配置好相应的NAT规则,这些协议在NAT转换过程中就会出现问题。

    普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据载荷中的字段无能为力,在许多应用层协议中,比如多媒体协议(H.323、SIP等)、FTP、SQLNET等,TCP/UDP载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换,就可能导致问题。而NAT ALG(Application Level Gateway,应用层网关)技术能对多通道协议进行应用层报文信息的解析和地址转换,将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理,从而保证应用层通信的正确性。

    例如,FTP应用就由数据连接和控制连接共同完成,而且数据连接的建立动态地由控制连接中的载荷字段信息决定,这就需要ALG来完成载荷字段信息的转换,以保证后续数据连接的正确建立。
    为了实现应用层协议的转发策略而提出了ASPF功能。ASPF功能的主要目的是通过对应用层协议的报文分析,为其开放相应的包过滤规则,而NAT ALG的主要目的,是为其开放相应的NAT规则。由于两者通常都是结合使用的,所以使用同一条命令就可以将两者同时开启。

    在这里插入图片描述
    图中私网侧的主机要访问公网的FTP服务器。NAT设备上配置了私网地址192.168.1.2到公网地址8.8.8.11的映射,实现地址的NAT转换,以支持私网主机对公网的访问。组网中,若没有ALG对报文载荷的处理,私网主机发送的PORT报文到达服务器端后,服务器无法根据私网地址进行寻址,也就无法建立正确的数据连接。整个通信过程包括如下四个阶段:

    1. 私网主机和公网FTP服务器之间通过TCP三次握手成功建立控制连接。
    2. 控制连接建立后,私网主机向FTP服务器发送PORT报文,报文中携带私网主机指定的数据连接的目的地址和端口,用于通知服务器使用该地址和端口和自己进行数据连接。
    3. PORT报文在经过支持ALG特性的NAT设备时,报文载荷中的私网地址和端口会被转换成对应的公网地址和端口。即设备将收到的PORT报文载荷中的私网地址192.168.1.2转换成公网地址8.8.8.11,端口1084转换成12487。
    4. 公网的FTP服务器收到PORT报文后,解析其内容,并向私网主机发起数据连接,该数据连接的目的地址为8.8.8.11,目的端口为12487(注意:一般情况下,该报文源端口为20,但由于FTP协议没有严格规定,有的服务器发出的数据连接源端口为大于1024的随机端口,如本例采用的是wftpd服务器,采用的源端口为3004)。由于该目的地址是一个公网地址,因此后续的数据连接就能够成功建立,从而实现私网主机对公网服务器的访问。

    l

    NAT服务器

    使外网用户能够访问私网服务器

    一般采用静态映射(NAT Server):公网地址和私网地址一对一进行映射。外网用户想要访问内网用户只需要目的IP地址为设置好的公网地址。
    在这里插入图片描述
    为什么?:因为外网用户访问私网服务器,若不指定一个公网地址,则外网用户不能访问私网服务器;若不做静态映射,没有固定的公网地址,那么公网用户访问时需要每次都输入不同的地址。

    双向NAT技术

    双向NAT应用场景的通信双方访问对方的时候目的地址都不是真实的地址,而是NAT转换后的地址。

    一般来说,内网属于高优先级区域,外网属于低优先级区域。当低优先级安全区域的外网用户访问内部服务器的公网地址时,会将报文的目的地址转换为内部服务器的私网地址,但内部服务器需要配置到该公网地址的路由。

    l如果要避免配置到公网地址的路由,则可以配置从低优先级安全区域到高优先级安全区域方向的NAT。同一个安全区域内的访问需要作NAT,则需要配置域内NAT功能。

    域间双向NAT(NAT Server+源NAT)

    在这里插入图片描述
    当配置NAT Server时,服务器需要配置到公网地址的路由才可正常发送回应报文。如果要简化配置,避免配置到公网地址的路由,则可以对外网用户的源IP地址也进行转换,转换后的源IP地址与服务器的私网地址在同一网段。这样内部服务器会缺省将回应报文发给网关,即设备本身,由设备来转发回应报文。

    域内双向NAT

    在这里插入图片描述
    若需要地址转换的双方都在同一个安全域内,那么就涉及到了域内NAT的情况。当FTP服务器和用户均在Trust区域,用户访问FTP服务器的对外的公网IP地址,这样用户与FTP服务器之间所有的交互报文都要经过防火墙。这时需要同时配置内部服务器和域内NAT。

    域内NAT是指当内网用户和服务器部署在同一安全区域的情况下,仍然希望内网用户只能通过访问服务器的公网地址的场景。在实现域内NAT过程中,既要将访问内部服务器的报文的目的地址由公网地址转换为私网地址,又需要将源地址由私网地址转换为公网地址。

    展开全文
  • NAT技术详解

    千次阅读 2019-08-19 16:06:11
    这是一篇介绍NAT技术要点的精华文章,来自华3通信官方资料库,文中对NAT技术原理的介绍很全面也很权威,对网络应用的应用层开发人员而言有很高的参考价值。     学习交流 移动端即时通讯学习交流: ...
  • 防火墙nat技术

    2018-11-22 10:36:00
    NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网 事例1 通过nat转换池给内网ip分配可以上网的外网ip 防火墙接口以及区域配置 配置...
  • 33-NAT技术详解

    2019-11-20 23:39:51
    1. NAT技术原理 NAT(Network Address Translation,网络地址转换),是一种把内部私有地址转换成外部公有地址的技术,简单来理解,NAT技术在局域网是使用内部私有地址通信的,但是当局域网的主机想要和外部互联网...
  • NAT技术及应用

    千次阅读 2018-05-28 22:58:54
    我们再来了解一个技术:NAT技术(网络地址转换) 什么是NAT NAT技术是当前解决IP地址不够用的主要手段, 是路由器的一个重要功能。 NAT能够将私有IP对外通信时转为全局IP. 也就是就是一种将私有IP和全局IP相互...
  • Python Web 学习之 NAT 技术

    千次阅读 2018-10-09 23:44:51
    NAT 技术也叫网络地址转换技术,是一种私有地址转换成合法/公网 IP 地址的技术。下面我们一起来了解一下,什么是私有地址,什么是合法 IP 地址,以及为什么要引入 NAT 技术NAT 技术 私有地址和合法地址 如果...
  • DNS协议、NAT技术

    2020-02-23 13:38:11
    1.DNS协议(应用层) 域名解析过程示例 2.NAT技术 2.1NAT技术的应用 NAT_源IP转化成公网IP NAPT_公网IP还原成源IP 2.2NAT技术的缺陷是什么?
  • NAT技术也是缓解了IPV4地址不够用的问题,IPV6中没有NAT技术NAT技术还能有效防止外部的网络攻击。 分类: 1.静态NAT:一对一,将一个私网地址转换为一个公网地址 2.动态NAT:多对多,将多个私网地址转换为多个公网...
  • 华为,思科、华三3大厂商nat技术总结

    多人点赞 热门讨论 2021-05-26 15:24:04
    文章目录三大厂商的nat技术的实现华为 nat 技术配置CISCO nat技术配置H3C nat技术配置 三大厂商的nat技术的实现 华为 nat 技术配置 1.技术背景 NAT技术简介 1.网络地址转换NAT(Network Address Translation)是...
  • NAT技术的简要概述

    千次阅读 2017-07-06 17:40:56
    今天我们来分享一下NAT技术。  NAT又称网络地址转换,让在专用网内拥有本地IP(私有IP)的主机通过装有NAT软件的路由器连接到因特网上能和外界通信的技术。所有使用本地地址的主机在和外界通信时,在NAT路由器的...
  • 之前我一直困扰于有关华为NAT技术的区别,因为无论在配置命令,还是我所得到的结果来说,我一直认为华为静态NAT和NAT 服务器基本完全一样。 先说一下我之前的观点: 对比静态和NAT服务器在配置上的的区别 静态...
  • DNS技术和NAT技术详解

    千次阅读 2019-01-21 17:27:52
    DNS技术和NAT技术详解一.DNS(Domain Name System)1.什么是DNS2. 了解域名3.域名解析过程4.使用dig工具分析DNS过程5.浏览器输入URL后发生什么事?二.ICMP协议1.ICMP功能2.ICMP报文格式 一.DNS(Domain Name System) ...
  • NAT技术和代理服务器

    千次阅读 2017-07-20 20:00:55
    NAT技术: 产生的原因: (1)由于IPv4版本的IP地址数量现在已经比较紧缺,不能满足正常的使用,NAT技术可以让局域网中的中的主机拥有少量合法的公有IP,使用NAT将内部地址转换为合法的公有地址; (2)防止外部主机...
  • NAT技术白皮书

    千次阅读 2014-09-10 16:21:23
    NAT技术白皮书 关键词:NAT,NAPT,ALG,EASY IP,DNS mapping 摘 要:本文对NAT技术产生的背景、原理以及实现方式等进行了整体介绍,其中包括各种NAT转换方式的使用方法、适用范围和组网方案等。 缩略语: ...
  • NAT技术原理及配置

    2011-11-30 02:14:37
    NAT(Netwok Address Translation,网络地址转换)最早出现在Cisco IOS 11.2版本中,并且定义在RFC1631和RFC3022中。...文中介绍了常见NAT技术的基本原理和配置方法,是快速掌握NAT技术的较好读物。
  • 1、NAT技术简单了解 1.1、关于NAT 1.2、NAT的功能 1.3、NAT实现方式 1.4、NAT的分类 1.5、NAT技术的应用 1.6、NAT技术的弊端 1.7、NAT技术的局限性 2、代理服务器介绍 2.1、概念 2.2、代理服务器功能 2.3、代理...
  • 华为ensp NAT技术地址转换

    千次阅读 多人点赞 2020-06-08 17:10:36
    华为ensp NAT技术地址转换 NAT 网络地址转换(Network Address Translation),是一个互联网工程任务组的标准,它可以实现内部私有IP地址和公网IP地址的转换,能够起到节约公网IP地址的作用,以下将介绍NAT的三种方式,静态...
  • 前言一级目录二级目录三级目录 随着internet的发展和网络应用的增多,IPV4地址枯竭已经成为制约网络发展的瓶颈。...当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地
  • [华为NAT] NAT技术和配置

    万次阅读 2019-03-19 00:00:09
    0x0 NAT 技术的介绍 0x1 easy-IP 的介绍 1.easy-IP如何工作? 工作方式和NAPT一样,转换后的公网IP为路由器出口的公网IP。 2.easy-IP如何配置? 1.第一步定义私网地址池; 2.第二步进入公网接口关联私网地址池。 ...
  • NAT技术与代理服务器

    2017-07-12 09:34:02
    NAT技术在计算机网络中,网络地址转换(Network Address Translation,缩写为NAT),也叫做网络掩蔽或者IP掩蔽(IP masquerading),是一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。...
  • NAT技术小结及配置

    2020-04-27 18:48:56
    NAT技术1. NAT 技术背景2. 作用3. 优点4. 源NAT4.1 静态NAT(一对一)4.2 动态NAT(一对一,地址池)4.3 NAPT(多对二)4.4 EASY-IP(现网用的多,多对一)5. 目的NAT5.1 NAT-server 1. NAT 技术背景 IPv4地址枯竭...
  • 文章目录应用层协议DNSDNS背景NAT技术NAPT 应用层协议DNS 域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 54,036
精华内容 21,614
关键字:

nat技术