H3C NAT配置 - 概念

举报
HW小龙 发表于 2022/01/18 18:34:10 2022/01/18
【摘要】 NAT(Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的。

    NAT(Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的。

NAT最初的设计目的是实现私有网络访问公共网络的功能,后扩展为实现任意两个网络间进行访问时的地址转换应用。

NAT可以让少量的外网网络IP地址代表较多的内部网络IP地址,这种地址转换能力具备以下优点:

  • 私有网络内部的通信利用私网地址,如果私有网络需要与外部网络通信或访问外部资源,则可通过将大量的私网地址转换成少量的公网地址来实现,这在一定程度上缓解了IPv4地址空间日益枯竭的压力。
  • 地址转换可以利用端口信息,将私网地址和端口作为地址端口对映射成公网地址和端口组合,使得多个私网用户可共用一个公网地址与外部网络通信,节省了公网地址。
  • 通过静态映射,不同的内部服务器可以映射到同一个公网地址。外部用户可通过公网地址和端口访问不同的内部服务器,同时还隐藏了内部服务器的真实IP地址,从而防止外部对内部服务器乃至内部网络的攻击。
  • 方便网络管理,例如私网服务器迁移时,无需过多配置的改变,仅仅通过调整内部服务器的映射表就可将这一变化体现出来


基本概念

  • NAT接口:NAT设备上应用了NAT相关配置的接口。
  • NAT地址:用于进行地址转换的IP地址,与外部网络路由可达,可静态指定或动态分配。
  • NAT表项:NAT设备上用于记录网络地址转换映射关系的表项。
  • Easy IP功能:NAT转换时直接使用设备上接口的IP地址作为NAT地址。设备上接口的地址可通过DHCP或PPPoE等协议动态获取,因此对于支持Easy IP的NAT配置,不直接指定NAT地址,而是指定对应的接口或当前接口。


NAT转换控制

    在实际应用中,我们可能希望某些内部网络的主机可以访问外部网络,而某些主机不允许访问;或者希望某些外部网络的主机可以访问内部网络,而某些主机不允许访问。即NAT设备只对符合要求的报文进行地址转换。

    NAT设备可以利用ACL(Access Control List,访问控制列表)来对地址转换的使用范围进行控制,通过定义ACL规则,并将其与NAT配置相关联,实现只对匹配指定的ACL permit规则的报文才进行地址转换的目的。而且,NAT仅使用规则中定义的源IP地址、源端口号、目的IP地址、目的端口号、传输层协议类型和VPN实例这几个元素进行报文匹配,忽略其它元素。


NAT实现方式


  1. 静态方式外部网络和内部网络之间的地址映射关系由配置确定,该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访:内网用户可以主动访问外网,外网用户也可以主动访问内网。
  2. 动态方式内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生,该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态地址转换存在两种转换模式:NO-PAT(Not Port Address Translation)一对一模式和PAT(Port Address Translation)一对多模式
  3. 内部服务器允许外网用户通过指定的NAT地址和端口访问这些内部服务器,NAT内部服务器的配置就定义了NAT地址和端口与内网服务器地址和端口的映射关系。
  4. NAT444端口块方式NAT444是运营商网络部署NAT转换的整体解决方案,它基于NAT444网关,结合AAA服务器、日志服务器等配套系统,提供运营商级的NAT转换,并支持用户溯源等功能。



NAT配置任务

若接口上同时存在普通NAT静态地址转换、普通NAT动态地址转换、NAT444端口块静态映射、NAT444端口块动态映射和内部服务器的配置,则在地址转换过程中,它们的优先级从高到低依次为:

  1. 内部服务器。
  2. 普通NAT静态地址转换。
  3. NAT444端口块静态映射。
  4. NAT444端口块动态映射和普通NAT动态地址转换,系统对二者不做区分,统一按照ACL编号由大到小的顺序匹配。


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

举报
请填写举报理由
0/200