其他分享
首页 > 其他分享> > NAT

NAT

作者:互联网

一、NAT类型

根据转化方式的不同,NAT可以分为三类:

    源NAT,源地址转化的NAT。

    有:NO—PAT, NAPT, Easy_ip,Smart_nat, 三元组NAT

    目的NAT:将目的地址做转化。

    有:NAT-Server, SLB

    双向NAT:即做源地址转化,又做目的地址转化

二、源nat

源NAT是指对报文中的源地址进行转换。通过源NAT技术将私网IP地址转换成公网IP地址,使私网用户可以利用公网地址访问Internet。

1、NO—PAT

只转换地址,不转换端口,实现端口不变的情况下,私网地址和公网地址的一对一转化。如果地址池中全部分配,私网用户访问internet将不再转化,直到有地址空闲,所以适合适用于上网用户较少且公网地址数与同时上网的用户数量相同的场景。

no_pat可以产生Server-map,但需要流量的触发。

正向server-map表:私网用户访问公网时快速转发

反向server-map表:Internet用户主动访问私网用户时,进行匹配转发。

本地NO-PAT:包含安全域,只有此安全域中server可以访问内网主机。

全局NO-PAT:不包含安全域,一旦建立,全部可以访问。

 

配置黑洞路由的原因:

    如果地址池地址和出接口不在同一段,会发现环路

    解决方案: 必须配置黑洞路由
    ip route-static 1.1.1.2 255.255.255.255 NULL0

    如果地址池地址和出接口在同一个网段,不会发生环路,但会多一个ARP请求

    解决方案:建议配置黑洞路由
 

2、NAPT

转换地址和端口。实现多个私网地址共用一个公网地址。场景:公网地址少,私网用户多。fw根据源ip hash算法,从公网地址中挑选一个地址,此后一直用这个地址。不产生server-map表。大量产生,消耗资源。华为地址池中地址不是随机选择而是根据hsah,端口是随机分配,可能会冲突,检测冲突办法:相同++,再检测。

3、Easy_ip

用出接口的公网ip做转化吼的ip,端口和地址都转化,ip动态获取也可以。

Easy ip不会产生Server-map

不需要配置黑洞路由。

4、Smart_nat

Smart_nat =no_pat+pat,自动预留一个IP地址做PAT.在NO—PAT环境下,预留一个ip做NAPT,适合用户少,用户和公网ip差不多,但是某个网段用户激增。

使用No-PAT方式时,进行地址池的一对一转换。随着内部用户数量的不断增加,地址池中的地址数可能不再能满足用户上网需求,部分用户将得不到转换地址而无法访问Internet。此时,用户可以利用预留的IP地址进行NAPT地址转换,然后访问Internet。

5、三元组NAT

源ip,源端口,协议号。三元组NAT是一种转换时同时转换地址和端口,实现多个私网地址共用一个或多个公网地址的地址转换方式。它允许Internet上的用户主动访问私网用户,与基于P2P技术的文件共享、语音通信、视频传输等业务可以很好地共存。

三元组NAT有两种:

    本地(Local)三元组NAT

    本地三元组NAT生成的Server-Map表中包含安全区域参数,只有此安全区域的Host可以访问内网Host。

    全局(Global)三元组NAT

    全局三元组NAT生成的Server-Map表中不包含安全区域参数,一旦建立,所有安全区域的Host都可以访问内网Host。

NAT ALG(Application Level Gateway)功能,可以对报文的载荷字段进行解析,识别并转换其中包含的重要信息,保证类似FTP的多通道协议可以顺利的进行地址转换而不影响其正常使用。

除FTP协议外,FW还支持对DNS、H.323、ICQ、ILS、MMS、MSN、NETBIOS、PPTP、QQ、RSH、RTSP、SCCP、SIP和SQLNET协议提供NAT ALG功能。

三、目的nat

1.NAT-Server

2、SLB

标签:ip,三元组,私网,地址,NAT,公网
来源: https://blog.csdn.net/du_lijun/article/details/114678031