1:技術背景
• IPv4地址已經耗盡。
• 局域網用戶普遍使用私有IPv4地址(不可路由),如何訪問公網(都需要部署nat纔可以上公網)?
• 局域網中使用私有IPv4地址的服務器如何對公網提供服務?
• 若需要對外隱藏內網的IP,同時內網的特定服務器又需對外提供服務該如何實現?
2:公網IP地址及私有IP地址
公網地址:
• 公網地址是指可以在Internet上使用的地址。爲保證整個Internet內的IP地址的 唯一性,公網地址由IANA(Internet Assigned Number Authority)這個國際組 織負責分配。一臺網絡設備如果需要使用公網地址,就必須向ISP(Internet
Service Provider)或註冊中心申請。
私有地址:
• 爲了滿足一些實驗室、公司或其他組織的獨立於Internet之外的私有網絡的需求, RFCA(Requests For Comment)1918爲私有使用留出了三個IP地址段。私有 地址不能在Internet上被分配,因而可以不必申請就可以自由使用
3:NAT(network address translator)
NAT(Network Address Translator)的主要原理是通過解析IP報文頭部,自動替換報文頭中的源地址或目的地址,實現私網用戶通過私網IP訪問公網的目的。私網IP轉換爲 公網IP的過程對用戶來說是透明的。
4:NAT的優缺點:
| 優點 | 缺點 |
| 節省IP地址空間 | 增加轉發延遲(要進行NAT處理) |
| 解決IP地址重疊問題(不同的內網可以有相同的IP地址) | 喪失端到端的尋址能力(內網不能直接訪問公網) |
| 增加網絡的連入Internet的彈性 | 某些應用不支持NAT |
| 當網絡變更的時候減少更改ip重編址的麻煩 | 需要一定的內存空間支持動態存儲NAT表項 |
| 對外隱藏內部地址,增加網絡安全性 | 需要耗費一定的CPU資源進行NAT操作 |
5:NAT類型:
靜態(表示需要手動設置)一對一映射(靜態NAT不能節約公網地址,但可以起到隱藏內部網絡的作用)有兩種一種是IP對IP的映射,一種是IP+端口的映射。
基於地址池的一對一映射(no-pat表示不作端口轉換隻是IP轉換),是一種動態的映射。
基於地址池的多對一映射(PAT)就是IP和端口號都做轉換
這樣一來就可以實現多個私有IP映射到一個公有IP的功能,實際上這些私有IP是映射到一個公有IP地址的不同端口,用端口號來區分這些稀有IP。這樣就緩解了IPv4地址緊缺的問題。
net server:
• NAT Server是最常用的基於目的地址的NAT。當內網部署了一臺服務器,其真實IP 是私網地址,但是公網用戶只能通過一個公網地址來訪問該服務器,這時可以配置 NAT Server,使設備將公網用戶訪問該公網地址的報文自動轉發給內網服務器。
• NAT Server功能使得內部服務器可以供外部網絡訪問。外部網絡的用戶訪問內部服 務器時,NAT將請求報文的目的地址轉換成內部服務器的私有地址。對內部服務器 迴應報文而言,NAT還會自動將回應報文的源地址(私網地址)轉換成公網地址。
EasyIP
內外網及出口路由器OR的IP地址規劃如圖所示:
現在192.168.1.0/24網段的PC均需訪問外網,現在希望內網能夠使用路由器GE0/0/1口的公網IP,以Easy IP的方式訪問公網。就是使用它不同的端口號,進行不同的映射。
內部服務器映射(net server)
現在內網的server需要對外提供Web服務,申請到的公網地址是200.1.1.100,現在要將內網這臺server的TCP80端口映射到200.1.1.100的TCP 8080端口,使得外網能夠訪問;
配置方式
摘自:華爲教學視頻