NAT有四种类型: 1.静态NAT(StaticNAT)。静态NAT设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个地址,这类NAT在很多内部火墙规划中均有应用。 2.NAT池(PooledNAT,也称动态NAT),所谓动态NAT,即NAT后的地址不是固定的,是从一个IP池中动态分请看如下
NAT有四种类型:
1.静态NAT(StaticNAT)。静态NAT设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个地址,这类NAT在很多内部火墙规划中均有应用。
2.NAT池(PooledNAT,也称动态NAT),所谓动态NAT,即NAT后的地址不是固定的,是从一个IP池中动态分配取出的。
3.复用转换(OverloadingNAT,也称PAT)。PAT是大家接触最多的NAT应用了。在动态转换中,每个的IP地址只能在转换表中使用一次,在内部网络主机访问外部需求增多的情况下,地址列表中的IP地址很快就会不够用,这时可以利用上层协议标识,例如利用传输层TCP/UDP的端口号字段来协助建立NAT转换表项。
4.重叠转换(OverlappingNAT)。内部网使用的地址跟外部网重叠,这时需要把跟外部重叠的IP地址进行变换,这种转换一般应用在转换两端的私有网络地址相同的情况下。
今天笔者以一个企业的网络项目为例,带领大家进入企业网络管理的世界。在这个项目里,有绝大部分读者都耳熟能详的网络技术名词——NAT(网络地址转换)。那么NAT究竟有什么作用,在企业级应用中能实现怎样的功能呢?
498)this.width=498;border=0>
图1:NAT服务的常见模式。
没错,这的确是NAT技术在企业中较为常见的应用之一,我们称其为PAT.在小型SOHO公司里,PAT的应用十分广泛,但NAT的应用绝不仅限于此,特别是在中大型企业的网络规划中,NAT的合理设计常常可以解决很多不必要的麻烦。
下面我们来接触一个在企业应用中具有代表性的案例。这个案例中NAT起到了十分关键的作用。
典型案例分析
企业A因业务需要和企业B拉设市区SDH专线,以便访问企业B后端的服务器C,而企业A的总公司D(企业A和总公司D通过SDH专线进行跨省网络连接,这也是目前绝大部分企事业单位的网络连接方式)的后台服务器也要和服务器C进行数据校验确认,企业A和企业B按照各自的安全等级标准,都对SDH两端设置了比较严密的安全措施,均不想让对方了解自己公司内部的拓扑和IP地址。企业B提供了一个已经经过源地址NAT后的IP地址(196.1.1.10)供企业A远程调用,企业A和B网络连接如图498)
this.width=498;border=0>
图2
看上去这样的需求似乎很简单,企业A的信息技术人员在本方路由器上进行路由的设定,将去往196.1.1.10的数据包甩给下一跳网关10.1.1.2,总公司端也设置了到196.1.1.10的路由条目以供数据校验,测试数据一切正常。
在正常使用了一段时间以后,企业B的信息技术人员发现还有其它合作企业采用了和企业A一样的内网IP段,这样他们在写回程路由时就无法指定下一条。比如企业E也有和企业A一样的内网架构和IP地址规划,而且也是采用同样的网络接口配置和企业B互联,就会出现这种情况:有一个源地址同为9.9.12.10的数据包分别从企业A和企业E送往服务器C,而企业B在往回送数据包的时候不知道该把这个包回给企业A还是E.为了解决这个问题,企业B给与其有SDH专线业务的单位A和E(也许更多)发了一个通知,声明他们只会把数据包扔给SDH专线互联的另一端,即接口地址(以企业A为例,即是图3中的10.1.1.1),要求对方自行进行NAT设置。
498)this.width=498;border=0>
图3注:为了方便,拓扑中略去了一些网络设备(如防火墙,IDS,交换机等)。
于是企业A的信息技术人员在本端路由器的S2/0口上进行了如下设置(CLI命令行以H3C的设备为例,仅供参考),
路由器ip冲突怎么办inteceSerial2/0
link-protocolppp
fe1unframed
ipaddress10.1.1.1255.255.255.252
natoutbound2000
在S2/0接口上设定了一个ACL列表,ACL列表的号为2000,要将这个ACL列表中的所有地址进行NAT转换(ACL列表的配置略去,ACL列表中即为所有需要访问对方的源IP地址),应用在此接口的意思就是NAT后的源地址为此接口地址,这样就符合企业B提出的要求了。
稳定运行了一段时间以后,企业A又接到总公司信息技术部领导的电话,说是最近要调整全网的IP地址,对那些不规范的地址进行整理。询问原因,得知是因为其它省公司和外联单位也拉有多条专线,其中有一部分专线上的应用也需要总公司后台服务器去访问对端路由器后的服务器(即情况与A公司相同),而各外联单位的服务器对外映射地址存在冲突现象,导致总公司端在写广域网段回程路由时出现问题。考虑到全网网络架构的可控性,总公司提出让各分公司整理内部需要总公司参与访问的路由,将相关地址全部NAT为本地内网地址,这样总公司只需要访问到已经规划好的各省分公司内网地址段即可,不会存在地址冲突问题,而且整个网络也变得更加可控。
企业A按照总公司的,进行了针对性调整。调整的思路是将企业B提供的NAT后地址196.1.1.10在本地防火墙(或者是路由器的内网口E0/0上)上进行一次目标地址转换。即将原本访问196.1.1.10的需求变成访问本地内网地址的需求,同时在内网的核心交换机上添加一条路由,具体操作如下(以在路由器内网口E0/0上配置为例,防火墙同理)。
inteceEthernet0/0
descriptiontocoreswitch
ipaddress9.9.9.9255.255.255.252
natoutboundstatic
这里添加了一条方向向外(也即指向本地内网)的静态NAT,相应的NAT语句为:
natstaticinsideip196.1.1.10globalip9.9.20.5
这其中196.1.1.10是企业B提供的NAT后地址,9.9.20.5为企业A的内网IP地址规划段中的一个地址,与之相对应的是要在核心交换机上将静态路由也作针对性调整。这里要提醒大家注意一点,这里的globalip地址不要属于在核心交换上已经规划的VLAN.配置调整完以后,测试整个网络的数据,一切正常。
最新的数据包流程变为,企业A内网中的笔记本电脑访问9.9.20.5,在到达本端SDH路由器内网口时进行NAT转换将目标地址转换为196.1.1.10,然后在S2/0口上又进行了一次源地址的NAT转换,将客户机本身的源地址转换成S2/0的接口地址(也即满足企业B的网络要求)——10.1.1.1.到此为止,总公司和企业B的需求都得到了实现。
tags:路由器ip冲突怎么办