网络安全:网络地址翻译技术

腾科IT教育王老师 2023-07-28 14:53:21

一、网络地址翻译技术

 

如图,R1是公司的出口路由器,如果我们希望实现PC1可以访问Internet上的server1,通常是在R1和ISP设备上配置静态路由或者跑动态路由协议,但是运营商的路由器不可能给我们配置,另一个原因就是企业都是使用的是私网地址,运营商在路由器上写了去往所有的私网地址的黑洞路由,所以无法访问的。

二、补充

公网地址:由运营商分配给用户,不同的站点之间是不可以重复使用,公网地址可以用来上网,使用是付费的

私网地址:用户自己规划,不同的站点之间是可以重复使用的,不可以用来上网,使用是免费的要想实现访问server1必须在出口路由器配置NAT(网络地址转换)技术,方能访问NAT也分为几种

1. NO-PAT 2. NAPT 3.Easy-IP

(一)NO-PAT

第一种NAT叫做NO-PAT,地址池转换模。我们需要向运营商购买公网IP地址,也就是购买宽带,企业购买的宽带会比家庭用户的费用会高,因为企业的公网IP地址是静态的,家庭用户的是动态的。购买到的公网IP地址需要配置在NAT地址池中。

比如我们向中国电信购买了2个公网IP地址,202.1.1.100-202.1.1.101,那么我们需要把这两个IP地址配置到NAT地址池中

 

除此之外,还需要配置ACL,最后在出口(也就是连接ISP的接口调用)

 

那么这里为什么需要配置ACL呢?在实际环境当中,并不是所有的员工需要上网,因为我们需要通过ACL把不需要上网的流量给筛选掉。这样配置完就可以了上网了

但是有一个问题:no-pat是有多少个主机需要上网就需要用掉多少个公网IP地址,如果有100台主机需要上网,那么就需要申请100个公网IP地址,这肯定是不可能的。所以这种NAT现网中用的非常少

(二)NAPT

第二种NAT叫做NAPT,在转换IP地址的时候一起把传输层的端口号也一起转换了,这样可以实现,即使只有一个公网地址也可以让大量的主机同时上网,因为我们端口号范围是0-65535

在配置的时候只需要在后面去掉no-pat这个参数即可,其他配置方式和no-pat一模一样

(三)Easy-IP

第三种NAT是Easy-IP,上面两种方式有一个共同的特点,那就是需要配置NAT地址池,换言之,需要有额外的公网IP地址,而且还得是静态的,在一些场景下,可能满足不了这个条件。比如说家庭场景或者说小型门店,肯定不会去申请静态的公网IP地址,因为这样费用太高了

当这种情况就可以配置Easy-IP了,Easy-IP和NAPT一样,转换IP地址和端口号,适用于没有静态公网地址的场景,像我们的PPPoE就是这一种场景

Easy-IP的原理为:在转换地址的时候直接转换出接口的IP地址,因为出口地址也属于公网地址,配置也是很简单

 

当然,也需要和NAPT一样,需要先配置好ACL

综上所述三种NAT方式解决的问题是如何让内部主机访问Internet上的主机,反之,要是Internet上的用户想主动访问内部的主机,比如HTTP服务器,该如何实现呢?

 

 

 

...全文
123 回复 打赏 收藏 转发到动态 举报
写回复
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复

12,930

社区成员

发帖
与我相关
我的任务
社区描述
网络or网络安全领域学习交流~ 每日一个日站小技巧进红队~ 每日一个网络小技巧进军IE大师~
网络网络安全 个人社区 青海省·西宁市
社区管理员
  • 李白你好
  • by-Datacom
  • apt404
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告

网络/网络安全资料免费领 兄弟们先免费嫖一波资料~

试试用AI创作助手写篇文章吧