失眠网,内容丰富有趣,生活中的好帮手!
失眠网XML网站地图
全站
首页 失眠 养生 抑郁症 自闭症 抗癌 肿瘤 糖尿病 肾病 乙肝 精神分裂 减肥 育儿
推荐专题:
失眠网 > 03-网络地址转换技术

03-网络地址转换技术

时间:2022-12-18 18:05:58

相关推荐

03-网络地址转换技术

IP地址分类

私网地址:

A类地址:10.0.0.0~10.255.255.255

B类地址:172.16.0.0~172.31.255.255

C类地址:192.168.0.0~192.168.255.255

NAT(网络地址转换技术)

NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网

优点:

实现IP地址复用,节约宝贵的地址资源。

地址转换过程对用户透明。

对内网用户提供隐私保护。

可实现对内部服务器的负载均衡。

缺点:

网络监控难度加大。

限制某些具体应用。

NAT分类

源NAT:用来使多个私网用户能够同时访问Internet。

地址池方式:采用地址池中的公网地址为私网用户进行地址转换,适合大量的私网用户访问Internet的场景。

静态NAT(No-PAT):

#1.配置接口IP地址和安全区域,完成网络基本参数配置。firewall zone trustadd int g1/0/1qfirewall zone untrustadd int g1/0/2q#2.配置安全策略,允许私网指定网段与Internet进行报文交互。security-policy rule name policy1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 #使用NAT之前的地址,允许10.1.1.0网段通过action permit #3.配置NAT地址池,不开启端口转换。nat address-group addressgroup1 0mode no-pat global#只做地址转换,global全局,local本地section 0 1.1.1.10 1.1.1.15#地址池为1.1.1.10----1.1.1.15 #4.配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。nat-policy rule name policy_nat1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action source-nat address-group addressgroup1 #匹配到10.1.1.0网段,则进行地址转换#5.在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 #6.在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW。#7.在Router上配置静态路由,使从Internet返回的流量可以被正常转发至FW。R2:ip route-static 0.0.0.0 0 1.1.1.1

No-PAT会由流量触发产生反向server-map表项 反向的server-map表项允许外网主机通过访问内网主机转换后的公网地址,主动的对内网主机发起访问,在安全策略放行的情况下,存在安全风险。正向的server-map表项是为了加快防火墙转发效率

动态NAT(NAPT):

#1.配置接口IP地址和安全区域,完成网络基本参数配置。firewall zone trustadd int g1/0/1qfirewall zone untrustadd int g1/0/2q#2.配置安全策略,允许私网指定网段与Internet进行报文交互。security-policy rule name policy1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 #使用NAT之前的地址,允许10.1.1.0网段通过action permit #3.配置NAT地址池,不开启端口转换。nat address-group addressgroup1 0mode pat#动态NATsection 0 1.1.1.10 1.1.1.15#地址池为1.1.1.10----1.1.1.15 #4.配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。nat-policy rule name policy_nat1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action source-nat address-group addressgroup1 #匹配到10.1.1.0网段,则进行地址转换#5.在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 #6.在私网主机上配置缺省网关,使私网主机访问Internet时,将流量发往FW。#7.在Router上配置静态路由,使从Internet返回的流量可以被正常转发至FW。R2:ip route-static 0.0.0.0 0 1.1.1.1

NAPT不会产生server-map,仅允许内网主机访问外网

出接口地址方式(Easy IP):内网主机直接借用公网接口的IP地址访问Internet,特别适用于公网接口IP地址是动态获取的情况。

#1.配置接口IP地址和安全区域,完成网络基本参数配置。firewall zone trustadd int g1/0/1qfirewall zone untrustadd int g1/0/2q#2.配置安全策略,允许私网指定网段与Internet进行报文交互。security-policy rule name policy1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 #使用NAT之前的地址,允许10.1.1.0网段通过action permit #3.在FW上配置缺省路由,使私网流量可以正常转发至ISP的路由器。ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 #4.配置出接口地址方式的源NAT策略,使用私网用户直接借用FW的公网IP地址来访问Internet。nat-policy rule name policy_nat1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 action source-nat easy-ip

把路由器配置成FTP服务器

ftp server enableaaalocal-user ftp password cipher ftplocal-user ftp privilege level 3local-user ftp ftp-directory flash:/local-user ftp service-type ftp

NATALG(ApplicationLevel Gateway,应用层网关)技术能对多通道协议进行应用层报文信息的解析和地址转换,将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理,从而保证应用层通信的正确性。

服务器映射:内网主机直接借用公网接口的IP地址访问Internet,特别适用于公网接口IP地址是动态获取的情况。

静态映射(NAT server):公网地址和私网地址一对一进行映射,用在公网用户访问私网内部服务器的场景。

#1.配置接口IP地址和安全区域,完成网络基本参数配置。firewall zone dmzadd int g1/0/0firewall zone untrustadd int g1/0/1#2.配置安全策略,允许外部网络用户访问内部服务器。security-policyrule name policy1action permit#3.配置NAT Server,分别映射内网Web服务器和FTP服务器。nat server global 1.1.1.10 inside 10.1.1.1 #将10.1.1.1的所有服务器都通过1.1.1.10对外发布,在安全策略允许下,允许双向主动发起访问#4.配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。ip route-static 0.0.0.0 0.0.0.0 1.1.1.2#5.在Router上配置到服务器映射的公网地址(1.1.1.10)的静态路由,下一跳为1.1.1.1,使得去服务器的流量能够送往FW。 #通常需要联系ISP的网络管理员来配置此静态路由。ip route-static 1.1.1.10 32 1.1.1.1#6.在Linux上配置静态路由,让回包找到回来的路ip route-static 1.1.1.0 24 10.1.1.254

NAT Server配置

SNAT 先安全策略的检测,再做SNATnat server 先NAT转换,再做安全策略的检测

nat server protocol tcp global 1.1.1.10 telent inside 10.1.1.1 telent#将10.1.1.1的23号端口通过1.1.1.10的23端口发布nat server protocol icmp global 1.1.1.10 inside 10.1.1.1#将10.1.1.1的ICMP协议通过1.1.1.10发布

由于默认产生正反server-map表项:

在安全策略允许时,正向的用于匹配地址和端口的流量进行nat-server.

反向的用于服务器主动利用nat-server公网地址访问外网

nat server 0 global 1.1.1.10 inside 10.1.1.1 no-reversesecurity-policyrule name untrust_trustsource-zone untrustdestination-zone trustdestination-address 10.1.1.1 mask 255.255.255.255action permitrule name trust_untrustsource-zone trustdestination-zone untrustsource-address 10.1.1.1 mask 255.255.255.255action permit虽然安全策略放行了流量,但是没有生成反向的server-map表项,没有作NAT转换,服务器主动访问外网的流量使用内网地址,可以出去,但是回不来。

no-reverse不生成反向的server-map,不做回包的地址转换,(功能:不让服务器主动访问外网)

在相同的安全区域中使用不同的地址访问内网服务器

#10.1.1.1是内网服务器,有两条通信线路nat server zone untrust protocol tcp global 1.1.1.10 ftp inside 10.1.1.1 ftp no-reverse#只要是来自untrust区域的都进行地址转换nat server zone untrust protocol tcp global 1.1.2.10 ftp inside 10.1.1.1 ftp no-reverse#在这个场景下,两条线路都在同一个安全区域内,所以一定要使用no-reverse,不去生成反向的server-map表项

在不同的安全区域中使用不同的地址访问内网服务器

nat server zone user1 protocol tcp global 1.1.1.10 ftp inside 10.1.1.1 ftp [no-reverse]#只要是来自untrust区域的都进行地址转换nat server zone user2 protocol tcp global 1.1.2.10 ftp inside 10.1.1.1 ftp [no-reverse]#在这个场景下,两条链路不在同一个安全区域内,所以no-reverse可以有也可以没有

使用相同的公网地址访问不同的服务

nat server zone untrust protocol tcp global 1.1.1.10 ftp inside 10.1.1.1 ftp [no-reverse]nat server zone untrust protocol tcp global 1.1.1.10 smtp inside 10.1.1.1 smtp [no-reverse]

使用不同的公网地址访问同一台服务器的不同的服务

nat server zone untrust protocol tcp global 1.1.1.10 ftp inside 10.1.1.1 ftp [no-reverse]nat server zone untrust protocol tcp global 1.1.2.10 smtp inside 10.1.1.1 smtp [no-reverse]

双向NAT技术

1.SNAT+NAT Server 用于服务器没有配置网关的时候用

场景:

内网用户和外网用户都可以访问server(内网的),但是server只能设一个网关,如1.254,那么没有2.254 的网关,就使用SNAT+NAT Server

配置:

1.配置接口IP地址和安全区域,完成网络基本参数配置。int g1/0/1ip add 10.1.1.254 24qint g1/0/2ip add 1.1.1.1 24qfirewall zone untrustadd int g1/0/2qfirewall zone dmz add int g1/0/1q#外网用户访问2.配置安全策略,允许外部网络用户访问内部服务器。security-policyrule name waiwang_serversource-zone untrustdestination-zone dmzdestination-address 10.1.1.1 mask 255.255.255.255action permit3.配置NAT Server功能,用于外网访问内部服务器nat server zone untrust global 1.1.1.10 inside 10.1.1.1 no-reverse4.配置源NAT策略,将公网访问内部服务器报文的源地址转换为NAT地址池中地址。nat address-group addressgroup1mode patsection 10.1.1.10 10.1.1.15qnat-policy rule name policy_nat1source-zone untrustdestination-zone dmzdestination-address 10.1.1.10 mask 255.255.255.0action source-nat address-group addressgroup1qq5.在FW上配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。 ip route-static 0.0.0.0 0 1.1.1.26.在"外网“上配置到服务器映射的公网地址的静态路由。ip route-static 1.1.1.10 32 1.1.1.1

域内NAT

要求:内网用户和外网用户都可以通过域名访问内网的web服务器

1.配置接口IP地址和安全区域,完成网络基本参数配置。int g1/0/1ip add 10.1.1.254 24qint g1/0/2ip add 1.1.1.1 24qfirewall zone untrustadd int g1/0/2qfirewall zone dmz add int g1/0/1q#外网用户访问2.配置安全策略,允许外部网络用户访问内部服务器。security-policyrule name waiwang_serversource-zone untrustdestination-zone dmzdestination-address 10.1.1.10 mask 255.255.255.255action permit3.配置NAT Server功能,用于外网访问内部服务器nat server zone untrust global 1.1.1.10 inside 10.1.1.10 no-reverse#内网用户访问4.配置源NAT策略,将公网访问内部服务器报文的源地址转换为NAT地址池中地址。nat address-group addressgroup1mode patsection 1.1.1.10 1.1.1.15qnat-policy rule name policy_nat1source-address 10.1.1.0 mask 255.255.255.0destination-address 1.1.1.0 mask 255.255.255.0action source-nat address-group addressgroup1qq#允许内网用户去访问域名服务器security-policyrule name neiwang_DNSsource-zone dmzdestination-zone untrustsource-address 10.1.1.0 mask 255.255.255.0destination-address 1.1.1.0 mask 255.255.255.0action permit#域内NAT,由于地址解析获取目的地址为1.1.1.10,源地址为:10.1.1.5,#域内NAT的作用是将这个源地址换成其他地址(192.168.1.1),将目的地址换成服务器地址10.1.1.10nat address-group yunei_nat 2mode patsection 0 192.168.1.10 192.168.1.15nat-policyrule name yunei_snatsource-zone dmzdestination-zone dmzsource-address 10.1.1.0 mask 255.255.255.0destination-address 10.1.1.10 mask 255.255.255.255action source-nat address-group yunei_natnat server 1 zone dmz global 1.1.1.10 inside 10.1.1.10 no-reverse

私网用户使用公网地址访问内部服务器(域内NAT)

私网用户使用公网地址访问内部服务器(域内NAT)

#1.配置接口IP地址和安全区域,完成网络基本参数配置。int g1/0/1ip add 10.1.1.254 24qint g1/0/2ip add 1.1.1.1 24qfirewall zone untrustadd int g1/0/2qfirewall zone dmz add int g1/0/1q2.配置安全策略,允许外部网络用户访问内部服务器。security-policyrule name waiwang_serversource-zone untrustdestination-zone dmzdestination-address 10.1.1.1 mask 255.255.255.255action permit3.配置NAT Server功能,nat server zone untrust global 1.1.1.10 inside 10.1.1.1 no-reverse4.配置源NAT策略,将公网访问内部服务器报文的源地址转换为NAT地址池中地址。nat address-group addressgroup1mode patsection 10.1.1.10 10.1.1.15qnat-policy rule name policy_nat1source-zone untrustdestination-zone dmzdestination-address 10.1.1.1 mask 255.255.255.0action source-nat address-group addressgroup1qq

如果觉得《03-网络地址转换技术》对你有帮助,请点赞、收藏,并留下你的观点哦!

本内容不代表本网观点和政治立场,如有侵犯你的权益请联系我们处理。
网友评论
网友评论仅供其表达个人看法,并不表明网站立场。
相关阅读
网络地址转换(NAT)技术

网络地址转换(NAT)技术

2020-06-12

NAT技术---网络地址转换

NAT技术---网络地址转换

2023-03-01

网络安全技术——网络地址转换(NAT)

网络安全技术——网络地址转换(NAT)

2019-12-16

NAT技术详解(网络地址转换)

NAT技术详解(网络地址转换)

2020-10-15

最近发布
探寻失眠症的中医治疗之道:写作心得与防治书籍推荐

探寻失眠症的中医治疗之道:写作心得与防治书籍推荐

2024-08-25

如何正确诊断更年期失眠

如何正确诊断更年期失眠

2024-08-25

深度剖析失眠症易发原因——专家解密

深度剖析失眠症易发原因——专家解密

2024-08-24

压力大导致失眠 该怎么办?不能随便吃安眠药

压力大导致失眠 该怎么办?不能随便吃安眠药

2024-08-25

专家教你失眠专克:5种方法让你一招见效 不再走弯路

专家教你失眠专克:5种方法让你一招见效 不再走弯路

2024-08-24

失眠的根源:探究导致失眠的各种因素

失眠的根源:探究导致失眠的各种因素

2024-08-24

深度探讨10种失眠药:揭秘茯苓+茯神的功效与使用方法

深度探讨10种失眠药:揭秘茯苓+茯神的功效与使用方法

2024-08-24

调整心理 迎接睡眠的恢复:失眠的生活状态与治愈之路

调整心理 迎接睡眠的恢复:失眠的生活状态与治愈之路

2024-08-24

四招应对失眠:有效护理措施解决您的睡眠困扰

四招应对失眠:有效护理措施解决您的睡眠困扰

2024-08-24

警惕失眠带来的危害

警惕失眠带来的危害

2024-08-24

推荐专题
失眠晾衣服 经济失眠 女孩经期失眠 武汉中医院可以看失眠吗 听书多了会失眠嘛 奥氮平治不治失眠 半夏 失眠 中医 什么时候喝茶容易失眠多梦 失眠夜排档 紫薇失眠弹琴 失眠 证型 疏肝健脾丸可以治失眠吗 愁词失眠文案 正骨可以治失眠吗视频 失眠焦虑腿疼
猜你喜欢:
换个环境失眠就会好 失眠音乐治疗失眠雨声 共济失调失眠 游戏失眠成就 失眠吃中药七天还是失眠 肠道菌群与失眠 儿童经常失眠该怎么办呢 喜梦失眠 失眠听金刚经睡觉 遗精之前失眠 过年了我却失眠了图片 失眠的浪人间 今日失眠话题 金匮肾气丸吃完会不会失眠 压抑窒息失眠 每月失眠几天 白天喝红茶会失眠吗 爱到失眠难受 紫河粉治疗失眠吗 失眠分5种 能通过食物调理失眠吗中医 怀孕10天会失眠吗 间歇性失眠症怎么治疗 你才是失眠 整夜失眠吃不下东西怎么办 苹果失眠吗 人类开始失眠 耳鸣失眠拉稀 失眠临汾烧烤 压力失眠冥想
展开

失眠网 免责声明© 2024 All Rights Reserved.

湘ICP备19021678号网站地图XML

© 2024 All Rights Reserved.

失眠网 免责声明