【闫辉 太阁】如何快速弄懂内网访问外网及内网地址转换？

闫辉

控制层面协议：NAT/PAT、ICMP、ARP、DHCP、DNS、动态路由选择协议（RIP、OSPF、EIGRP、IS-IS、BGP）

网络地址转换协议：NAT/PAT 随着互联网的发展，为了解决IPV4地址极度短缺的问题，标准化组织（IETF）从主类地址段中分出了一部分的私有地址，用来给园区网内的私有主机使用：

私有地址的范围：

A类地址：10.0.0.0/8---10.255.255.255/8

B类地址：172.16.0.0/16---172.31.255.255/16

C类地址：192.168.0.0/24---192.168.255.255/24

1、任何组织都可以任意使用私有地址空间；

2、私有地址在Internet上无法被路由；

3、采用私有地址的网络需要访问公网，必须在出口设备上部署NAT/PAT设备。

技术原理：

NAT/PAT是将IP报头中的源IP地址转换为另一个IP地址的过程，主要用于实现园区网内的主机（私有IP地址）访问外部网络（公有IP地址）的功能。

一般部署在连接内网和外网的网关设备上。当收到的报文源地址为私有地址、目的地址为公有地址时，NAT/PAT可以将源私有地址转换成一个公有地址，这样公网目的地就能够收到报文并做出响应

NAT/PAT设备还会创建一个NAT地址转换表（映射表），以便判断从公网收到的报文应该发往的私网目的主机。

注：NAT/PAT技术一定程度上解决了IPV4地址极度短缺的问题，但是同时也破坏了主机源目IP地址端到端连接必须保持一致的原则，会导致内网的主机能够正常访问外网主机

而外网主机不能主动访问内网主机，这样会导致一些应用无法正常使用，比如IPsec、Voip业务

如果想实现总部和分支之间能够正常互访，必须向运营商申请专线或VPN业务；当然最完美的解决方案还是将全网的IPV4迁移到IPV6。

静态NAT：

实现了私有地址和公有地址的一对一映射，一个公网IP只会分配给唯一固定的内网主机，这样可以使外网用户访问内网服务器（服务器发布）。

注：如果希望一台主机优先使用某个关联地址或者想要外部网络主动访问园区网内部服务器时，可以使用静态NAT。

但是在大型网络中，这种一对一的IP地址映射无法缓解公有地址短缺的问题且配置量会很大。

动态NAT：

基于地址池来实现私有地址和公有地址的转换

注：动态NAT相比较静态NAT，可以稍微缓解公用地址浪费的问题，但是在网络使用频繁的，还是需要在地址池中配置多个IP地址进行转换。

端口转换协议PAT：

端口发布，允许多个地址映射到同一个公有地址的不同端口号；同时可以允许将多个主机地址映射到网关出接口地址上的不同端口号。

动态PAT：基于地址池来实现多个地址映射到同一个公有地址的不同端口号

注：PAT地址转换表项中五元组元素（源IP、目的IP、源端口号、目的端口号、协议号）

1、思科设备默认支持N多个主机同时进行PAT的地址转换，当网络内主机数量过多时，出现了多个主机使用相同的端口号时，PAT设备会强制改变发送主机的源端口号并进行相应的记录

2、静态PAT也适用于小规模局域网中的主机访问Internet的场景。

小规模局域网通常部署在小型的网吧或者办公室中，这些地方内部主机不多，出接口一般通过拨号方式获取一个临时公网IP地址。

静态PAT可以实现内部主机使用这个临时公网IP地址或者网关出接口的固定IP地址访问Internet。

3、当NAT/PAT地址转换表里拥有了私有地址到公有地址映射时，路由器就会根据映射后的公有地址响应所有人的ARP请求

默认只支持TCP\UDP\ICMP等拥有知名端口号的报文的发送。

===========================================================================

更 多 免 费 思 科 认 证 课 程 资 料 >> 传送门  

永  久  更  新

                               
登录/注册后可看大图