123.每日一练
一、题目
单选.NAPT允许多个私有IP地址通过不同的端口号映射到同一个公有IP地址上,则下面关于NAPT中端口号描述 正确的是()。
A. 必须手工配置端口号和私有地址的对应关系
B. 只需要配置端口号的范围
C. 需要使用ACL分配端口号
D. 不需要做任何关于端口号的配置
二、答案
D
NAT会自动选择合适的空闲端口进行NAT映射,并记录到NAT Session表中.
三、解析
1.1.1.1. NAT的技术原理如下:
1、私网设备请求访问公网:当私网中的设备发送请求访问公共网络(如互联网)时,请求报文中包含了设备的私有IP地址和端口号。
2、NAT路由器接收请求报文:NAT路由器是位于私有网络和公共网络之间的设备,它接收到私网设备发送的请求报文。并匹配数据需要进行源地址转换(Source Address Translation,SNAT),它会将源IP地址和端口号替换为公共IP地址和新的端口号,以保证在公共网络中唯一标识该请求的来源,将请求报文转发到公共网络。
3、公网服务器响应:公共网络上的服务器收到请求报文后,将响应报文发送回NAT路由器。
4、目标地址转换(Destination Address Translation,DNAT):当NAT路由器接收到公网服务器的响应报文时,它将目标IP地址和端口号替换为原始请求报文中的私有IP地址和端口号。NAT路由器经过目标地址转换后的响应报文被NAT路由器转发给发起请求的私网设备。
通过NAT技术,私有网络中的多个设备可以共享一个或少数几个公共IP地址与公网通信。NAT路由器负责维护一个地址转换表,记录私有IP地址和端口号与公共IP地址和端口号之间的映射关系。这种地址转换的过程对于私网中的设备来说是透明的,它们可以像正常访问公网一样发送和接收数据,而无需拥有公共IP地址。
NAT技术在家庭网络、企业网络和互联网服务提供商(ISP)等场景中被广泛应用,它提供了一种有效的方式来连接多个私有网络和公共网络,并允许私有网络中的设备与互联网上的资源进行通信。同时,NAT技术也提供了一定程度的网络安全性,隐藏了私有网络中的设备细节,减少了直接暴露在公共网络中的风险。
1.1.2. NAT的分类
1.1.2.1. 静态NAT
静态NAT分为NAT Static和NAT Server,一对一的地址转换。
如下图所示:
在这种方式下只转换IP地址,而不处理TCP/UDP协议的端口号,一个公网IP地址不能同时被多个私网用户使用。这种一对一的转换方式并未实现公网地址的复用,不能有效解决IP地址短缺的问题,因此在实际应用中并不常用。
1.1.2.2. 静态NAT配置:
[Router] interface gigabitethernet 2/0/0
[Router-GigabitEthernet2/0/0] nat static global 2.2.2.3 inside 192.168.0.2 //配置一对一静态NAT
[Router-GigabitEthernet2/0/0] quit
查看命令:
<Router> display nat static
Static Nat Information:
Interface : GigabitEthernet2/0/0
Global IP/Port : 2.2.2.3/—-
Inside IP/Port : 192.168.0.2/—-
Protocol : —-
VPN instance-name : —-
Acl number : —-
Vrrp id : —-
Netmask : 255.255.255.255
Description : —-
1.1.2.3. 静态NAT中的特殊用法NAT Server:
NAT Server(Network Address Translation Server)是一种特定的NAT应用,它将公网上的特定服务映射到内部网络中的服务器上,使得外部网络可以通过公网IP地址访问内部服务器的特定服务。NAT Server的原理和应用方式如下:
原理:
配置映射规则:在NAT Server上配置映射规则,指定公网IP地址和端口与内部服务器的对应关系。
请求转发:当公网上的请求达到NAT Server时,NAT Server根据映射规则将请求转发给内部服务器。
响应返回:内部服务器处理请求并生成响应,NAT Server将响应从内部服务器转发回公网请求方。
应用场景:
Web服务器:通过配置NAT Server的映射规则,将公网IP地址和端口映射到内部Web服务器上,使得外部用户可以通过公网访问Web服务。
邮件服务器:配置NAT Server将公网IP地址和端口映射到内部邮件服务器,实现外部邮件客户端与内部邮件服务器的通信。
FTP服务器:通过NAT Server的映射规则,将公网IP地址和端口映射到内部FTP服务器,允许外部用户通过公网访问FTP服务。
游戏服务器:将游戏服务器的公网IP地址和端口映射到内部服务器,使得外部玩家可以通过公网连接到游戏服务器进行游戏。
远程桌面:通过NAT Server的映射规则,将公网IP地址和端口映射到内部计算机的远程桌面服务,实现远程访问和控制。
NAT Server的应用方式可以根据实际需求和网络拓扑进行灵活配置,使得内部服务器可以通过公网IP地址提供特定的服务,方便外部用户或网络访问内部网络中的资源。
1.1.2.5. 动态NAT
动态NAT包括地址池方式和Easy IP方式两种。
地址池方式的动态NAT
当可用的外网地址有两个或两个以上时,可以将这些地址组成一个地址池,设备从地址池中选取空闲的地址进行转换。
1)不带端口转换的NAT
[Router] nat address-group 1 2.2.2.100 2.2.2.210 //配置地址池
[Router] acl 2000 //配置ACL匹配数据报文进行后续的NAT
[Router-acl-basic-2000] rule 5 permit source 192.168.20.0 0.0.0.255
[Router-acl-basic-2000] quit
[Router] interface gigabitethernet 2/0/0
[Router-GigabitEthernet2/0/0] nat outbound 2000 address-group 1 no-pat //在Router上配置不带端口转换的NAT Outbound
[Router-GigabitEthernet2/0/0] quit
2)带着端口转换的NAT
[Router] nat address-group 2 2.2.2.80 2.2.2.90 //配置地址池
[Router] acl 2001 //配置ACL匹配数据报文进行后续的NAT
[Router-acl-basic-2001] rule 5 permit source 10.0.0.0 0.0.0.255
[Router-acl-basic-2001] quit
[Router] interface gigabitethernet 2/0/0
[Router-GigabitEthernet2/0/0] nat outbound 2001 address-group 2 //在Router上配置带端口转换的NAT Outbound
[Router-GigabitEthernet2/0/0] quit
通过ping测试后,查看NAT表项
<Router> display nat session all
NAT Session Table Information:
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.20.1
DestAddr Vpn : 2.2.2.3
Type Code IcmpId : 8 0 44004
NAT-Info
New SrcAddr : 2.2.2.100
New DestAddr : —-
New IcmpId : —-
Protocol : ICMP(1)
SrcAddr Vpn : 10.0.0.1
DestAddr Vpn : 2.2.2.3
Type Code IcmpId : 8 0 44005
NAT-Info
New SrcAddr : 2.2.2.81
New DestAddr : —-
New IcmpId : 10243
1.1.2.6. Easy IP
当可用的外网地址只有一个时,可以将该地址设置为NAT设备出接口的IP地址,然后配置Easy IP方式的动态NAT,设备选取出接口的IP地址进行转换。
[Router] acl 2001 //配置ACL匹配数据报文进行后续的NAT
[Router-acl-basic-2001] rule 5 permit source 10.0.0.0 0.0.0.255
[Router-acl-basic-2001] rule 10 permit source 192.168.20.0 0.0.0.255
[Router-acl-basic-2001] quit
网络是一个整体性的概念,如果要学好网络还需学习完整的课程内容才能成才,一定要考HCIP/CCNP/RCNP以上的认证证书才有意义。