商业源码 H3C的nat配置访问不了内网服务器!
应该是你nat服务器配置有问题,在接口上把私网和公网地址做一对一的对应
你说的比较模糊,我给你个例子,你看看怎么样
#
//用户NAT的地址池
nat
address-group
1
20210013
20210016
#
//配置允许进行NAT转换的内网地址段
acl
number
2000
rule
0
permit
source
19216800
000255
rule
1
deny
#
interface
GigabitEthernet0/0
port
link-mode
route
//在出接口上进行NAT转换
nat
outbound
2000
address-group
1
//在出接口上配置内网服务器19216802的www服务
nat
server
protocol
tcp
global
20210013
www
inside
19216802
www
ip
address
20210012
2552552550
#
interface
GigabitEthernet0/1
port
link-mode
route
//内网网关
ip
address
19216801
2552552550
#
//配置默认路由
ip
route-static
0000
0000
20210011
#
NAT有三种SNAT,DNAT和PNAT。
先简单介绍下。SNAT(源地址转换):目标地址不免,改写源地址,实现内网多用户使用同一个公网IP上网的情况。DNAT(目标地址转换):源地址不变重新修改目标地址。PNAT(端口映射):在DNAT基础上,实现内网IP端口对外网监听。
SNAT的实现方式:
先把Linux系统ipv4数据包的转发功能打开,系统就有了路由功能。
[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
添加iptables的nat表项
[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192168110/24 -j SNAT --to-source 20210xxxx
表示在postrouting链上,将内网源地址为192168110/24网段的数据包的源地址都转换为公网IP 20210xxxx。这样SNAT配置完毕,可以测试上网了。做NAT服务器的内网IP 19216811x 就是内网主机需要配置的网关地址。当然纯内网环境下,转换的成的IP也可以是另一个内网网段的IP。
SNAT还有一个常用选项:MASQUERADE。此选项可以用在动态获取IP地址的主机,如家用宽带拨号上网的主机。
[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192168110/24 -o eth1 -j MASQUEREADE
在这里-o后面的网卡名是指定出去的接口,MASQUEREADE会调用该接口的地址作为转换后的源地址。
DNAT转换不多介绍了,用到的时候不多,格式如下:
[root@localhost ~]# iptables -t nat -A PREROUTING -d 20210xxXX -p tcp –-dport 8080 -j DNAT –-to-destination 19216811128:80
感兴趣的可以在网上搜一下nat原理。
在以往的实践中,笔者在centos中使用防火墙iptables来配置NAT网络地址转换。VirtualBox中也可以配置NAT网络地址转换。但是最近接触到的云服务器,有私网IP地址和公网IP地址,公网IP提供外部通信,私网IP可以使用云上的各种服务。对于大型的网络来说,通过路由器来进行地址转换可能更加高效。于是笔者在华为的书籍上找了例子来进行配置实践。
IPV6可用解决地址短缺的问题,但是无法立刻替换现在成熟且广泛应用的IPV4。网络地址转换(NAT)可以延长IPV4的寿命。NAT是将IP数据报文中的头IP地址转换成另一个IP地址的过程,主要用于内部网络(私有IP地址)访问外部网络(共有IP地址)。NAT有三种类型:静态NAT、动态地址NAT以及网路地址端口转换NAT。
NAT转换设备维护着地址转换表,所有经过NAT转换设备并且需要地址转换的报文,都会通过该表做地址转换。NAT转换设备处于内部和外部网络的连接处,常见的有路由器、防火墙。
根据图示的信息搭建网络。
在网关路由器AR1上配置访问外网的默认路由。
ip route-static 0000 0000 202169102
查看配置好的静态路由协议。
由于内网使用的是私有IP地址,员工无法直接访问公网。现需要在网关路由器上配置NAT地址转换,将私网地址转换为公网地址。PC1自身能够访问外网,并且需要外网用户也能够直接访问他,分配一个公网IP地址202169105给PC1做静态NAT地址转换。在R1的G0/0/0接口使用nat static命令配置内部地址到外部地址的一对一转换。
配置完成后在AR1上查看NAT静态配置信息。
在PC1上ping命令测试与外网的连通性,可以看到静态NAT已经可以成功访问外网。
在路由器的G0/0/0接口上抓包查看NAT地址转换,AR1成功把来自PC1的ICMP报文的源地址1721611转换成公网地址202169105 。
在AR2上使用环回地址loopback0模拟外网访问PC1,测试成功。
在PC1的E0/0/1接口上抓包观察,PC1的私网地址被转换成唯一的公网地址,外网用户也能访问PC1。且数据包在经过R1进入内网时,R1把目的IP地址转为公网地址202169105对应的私网地址1721611发给PC1。
PC2 、PC3都需要访问外网,网段为1721710/24 。使用公网地址池2021691050-2021691060 为其做NAT转换
在AR1上使用nat address-group命令配置NAT地址池,设置起始地址2021691050,终止地址2021691060。
nat address-group 1 2021691050 2021691060
创建ACL2000。
在AR1的G0/0/0接口下使用nat outbound 命令将acl200和地址池关联,使得地址池中规定的地址可以使用地址池进行进行地址转换。并在AR1上查看NAT outbound信息。
在PC2上测试与外网的连通性成功。
并在AR1的接口G0/0/0上抓包观察地址转换情况。来自PC2的ICMP数据包在AR1的G0/0/0接口上源地址1721712被替换成地址池中的第一个地址202171050 。
由于PC众多,采用多对多的NAT转换方式就必须增加公网IP地址池的地址数量。为了节约地址,需要配置多对一的Easy-IP转换方式实现访问外网的需求。Easy-IP是NAPT的一种方式,直接借用路由器的接口IP地址作为公网地址,将不同的内部地址映射到同一公网地址的不同端口上,实现多对一地址转换。
在AR1的G0/0/0接口上删除NAT Outbound配置,并使用nat outbound命令配置Easy-IP特性,直接使用接口IP地址作为NA转换后的地址。
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]undo nat outbound 2000 address-group 1 no-pat
[AR1-GigabitEthernet0/0/0]nat outbound 2000
配置完成后,在PC2上使用UDP数据包发包工具发送udp数据包到公网地址202169201,配置好目的IP地址和UDP源、目的端口号后,输入字符串后发送。
PC2的配置如下:
在AR1上查看nat session的详细信息。可以看到,源地址1721712的UDP数据包被新源地址202169101和新源端口10241替换。AR1借用自身G0/0/0接口的公网地址为所有私网地址做NA转换,使用不同端口号区分不同私网数据。此方式不需要创建地址池,大大节省了地址空间。
公司内server服务器提供ftp服务供外网用户访问,配置NAT server并使用公网IP地址202169106对外公布服务器地址 ,然后开启nat alg功能。对于封装在ip数据报文中应用层协议报文,正常的NAT转换会导致错误,在开启某应用协议的nat alg功能后,该应用协议报文可以正常进行nat转换,否则该应用协议不能正常工作。
在AR1的G0/0/0接口使用nat server命令定义内部服务器的映射表,指定通信协议为tcp,配置服务器使用公网ip地址202169106 ,服务器内网地址为1721613,指定端口为21,该常用端口号可以直接使用关键字“ftp”代替。并在AR1上查看nat server信息。
查看server配置成效,选择根目录并启动ftpserver 。
设置服务器完成后,在AR2上模拟公网用户访问私网ftp服务器。
(一)相关概念
为了更好地认识NAT技术,我们先了解一下它所涉及的几个概念。
1.内部局部地址 在内部网上分配到一个主机的IP地址。这个地址可能不是一个有网络信息中心(NIC)或服务提供商所分配的合法IP地址。
2.内部全局地址 一个合法的IP地址(由NIC或服务供应商分配),对应到外部世界的一个或多个本地IP地址。
3.外部局部地址 出现在网络内的一个外部主机的IP地址,不一定是合法地址,它可以在内部网上从可路由的地址空间进行分配。
4.外部全局地址 由主机拥有者在外部网上分配给主机的IP地址,该地址可以从全局路由地址或网络空间进行分配。图1展示了NAT相关术语的图解。
对于NAT技术,提供4种翻译地址的方式,如下所示。
(二)4种翻译方式
1.静态翻译 是在内部局部地址和内部全局地址之间建立一对一的映射。
2.动态翻译 是在一个内部局部地址和外部地址池之间建立一种映射。
3.端口地址翻译 超载内部全局地址通过允许路由器为多个局部地址分配一个全局地址,也就是将多个局部地址映射为一个全局地址的某一端口,因此也被称为端口地址翻译(PAT)。
4.重叠地址翻译 翻译重叠地址是当一个内部网中使用的内部局部地址与另外一个内部网中的地址相同,通过翻译,使两个网络连接后的通信保持正常。
在实际使用中,通常需要以上几种翻译方式配合使用。
二、让典型应用“说话”
现在,我们以常见Cisco路由器为例,阐述典型应用中NAT技术的实现。
1.配置共享IP地址
应用需求:当您需要允许内部用户访问Internet,但又没有足够的合法IP地址时,可以使用配置共享IP地址连接Internet的NAT转换方式。
图2是配置内部网络1010100/24通过重载一个地址17216101/24访问外部网络的全过程。如果有多个外部地址,可以利用动态翻译进行转换,这里就不多做说明了。清单1展示了具体配置方法。
NAT路由器配置清单1
interface ethernet 0
ip address 101010254 2552552550
ip nat inside
!-- 定义内部转换接口
interface serial 0
ip address 172161064 2552552550
ip nat outside
!-- 定义外部转换接口
ip nat pool ovrld 17216101 17216101 prefix 24
!-- 定义名为ovrld的NAT地址池和地址池重的地址17216101
ip nat inside source list 1 pool ovrld overload
!--指出被 access-list 1 允许的源地址会转换成NAT地址池ovrld中的地址并且转换会被内部多个机器重载成一个相同的IP地址。
access-list 1 permit 1010100 00031
!-- Access-list 1 允许地址1010100到101010255进行转换
NAT路由器配置清单2
interface ethernet 0
ip address 101010254 2552552550
ip nat inside
!-- 定义内部转换接口
interface serial 0
ip address 1721620254 2552552550
ip nat outside
!-- 定义外部转换接口
ip nat inside source static 1010101 17216201
!-- 指定将地址1010101静态转换为17216201
适用范围:这种情况适合于通信都是由内部用户向Internet发起的应用。
例如小型企业多个用户通过共享xDSL连接Internet。另外,也可以用软件进行NAT转换,Windows 2000的操作系统就有这样的功能。至于内部用户数量较多的情况,建议使用代理服务器。
2.配置在Internet上发布的服务器
应用需求:当您需要将内部设备发布到Internet上时,可以使用配置在Internet上发布的服务器的NAT转换方式。
图3是将内部网络的邮件服务器(IP地址为1010101/24)发布到外部网络的全过程,使用静态翻译可以实现这种转换。清单2展示了具体配置方法。
适用范围:这种情况适合于访问是从外部网络向内部设备发起的应用。
3.配置端口映射
应用需求:假设您在Internet上发布一台在内部网络的Web服务器,服务器配置成监听8080端口,您需要把外部网络对Web服务器80端口的访问请求重定向。
图4为配置端口映射示意图,清单3展示了具体配置方法。
4.配置TCP传输
应用需求:TCP传输装载共享是与地址匮乏无关的问题,它将数个设备的地址映射成一个虚拟设备的地址,从而实现设备间的负载均衡。
图5是将地址从1010102到10101015的真实设备映射成虚拟1010101地址的全过程。清单4展示了具体配置方法。
5.真实应用案例
应用需求:笔者所在的单位内部的局域网已建成,并稳定运行着各种应用系统。随着业务的发展,需要实施一个数据中心在外单位的新应用。出于安全方面的考虑,不能够对现有网络结构进行大的调整和改动;另外,由于资金方面的原因,需要尽可能地节省设备等方面的投入。
应用现状:我单位内部网结构如下:具有3个VLAN。VLAN 1(即1011X),使用单位内部应用系统,与数据中心没有数据交换;VLAN 2(即1022X),使用数据中心提供的应用系统,约有100台机器;VLAN 3(即1033X),只用2台机器使用数据中心提供的应用,分别是10331和10332。
数据中心提供一台Cisco 3640,Serial口与数据中心通过HDSL连接,分配的地址分别是1921682521和255255255252,FastEthernet口与单位内部局域网连接,分配的地址分别是19216810和2552552550。
实施方案:由于不打算更改内部网的结构,所以将内部网地址作为内部局部地址,数据中心分配的地址作为内部全局地址,实施NAT应用。另外NAT需要两个端口,一个做为inside,另一个做为outside,因此考虑使用FastEthernet口做inside,Serial口做outside。图6 为本单位NAT技术的应用图。
利用以上设置,我们成功实现了内部地址的翻译转换,并实现了在不改变现有网络结构的情况下与数据中心连网的目标。
三、有比较有选择
1.与代理服务器的比较
用户经常把NAT和代理服务器相混淆。NAT设备对源机器和目标机器都是透明的,地址翻译只在网络边界进行。代理服务器不是透明的,源机器知道它需要通过代理服务器发出请求,而且需要在源机器上做出相关的配置,目标机器则以为代理服务器就是发出请求的源机器,并将数据直接发送到代理服务器,由代理服务器将数据转发到源机器上。
NAT路由器配置清单3
interface ethernet 0
ip address 101010254 2552552550
ip nat inside
!-- 定义内部转换接口
interface serial 0
ip address 1721630254 2552552550
ip nat outside
!-- 定义外部转换接口
ip nat inside source static tcp 1010108 8080 17216308 80
!-- 指定将地址1010108:8080静态转换为17216308:80
NAT路由器配置清单4
interface ethernet 0
ip address 10101017 2552552550ip nat inside
!-- 定义内部转换接口
interface serial 0
ip address 101010254 2552552550ip nat outside
!-- 定义外部转换接口
ip nat pool real-hosts 1010102 10101015 prefix-length 28 type rotaryip nat inside destination list 1 pool real-hosts
!--定义地址池real-hosts地址范围是从1010102到10101015
!--指定将地址将地址池real-hosts转换为1010101
access-list 1 permit 1010101
代理服务器工作在OSI模型的第4层传输层,NAT则是工作在第3层网络层,由于高层的协议比较复杂,通常来说,代理服务器比NAT要慢一些。
但是NAT比较占用路由器的CPU资源,加上NAT隐藏了IP地址,跟踪起来比较困难,不利于管理员对内部用户对外部访问的跟踪管理和审计工作。所有NAT技术只适用于内部用户数量较少的应用,如果访问外部网络的用户数量大,而且管理员对内部用户有访问策略设置和访问情况跟踪的应用,还是使用代理服务器较好一些。
NAT路由器配置清单5
interface fastethernet 1/0
ip nat inside
!-- 定义内部转换接口
interface serial 0/0
ip address 1921682521 255255255252
ip address 1921681254 2552552550 secondary
ip nat outside
!-- 为节省端口,将数据中心提供的地址全部绑在Serial口
ip nat pool ToCenter 19216811 1921681253 prefix-length 24
ip nat inside source list 1 pool ToCenter
!-- 建立动态源地址翻译,指定在前一步定义的访问列表
access-list 1 permit 10331
access-list 1 permit 10332
access-list 1 permit 10220 000255
!-- 定义一个标准的访问列表,对允许访问数据中心的地址进行翻译
2.与防火墙比较
防火墙是一个或一组安全系统,它在网络之间执行访问控制策略。防火墙对流经它的网络通信数据进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口,禁止特定端口的流出通信,封锁特洛伊木马等。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
一般的防火墙都具有NAT功能,或者能和NAT配合使用。应用到防火墙技术中的NAT技术可以把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备。作为网络安全的一个重要手段,是选用单纯的NAT技术还是带NAT技术的防火墙,要从几个方面考虑:
一是您的企业和运营机构如何运用访问控制策略,是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务,还是为了访问提供一种计量和审计的方法;
二是您对企业网需要何种程度的监视、冗余度以及控制水平;
三则是财务上的考虑,一个高端完整的防火墙系统是十分昂贵的。是否采用防火墙需要在易用性、安全性和预算之间做出平衡的决策。
四、安全中的不安全
我们可以从以下几个方面窥视NAT技术的安全性问题。
1.NAT只对地址进行转换而不进行其他操作,因此,当您建立了与外部网络的连接时,NAT不会阻止任何从外部返回的恶意破坏信息。
2.虽然NAT隐藏了端到端的IP地址,但它并不隐藏主机信息。例如您通过NAT设备访问Windows Streaming Media服务器,您会发现服务器记录的不仅是您的主机名,还有您的内部IP地址和操作系统。
3.Internet上的恶意攻击通常针对机器的“熟知端口”,如HTTP的80端口、FTP的21端口和POP的110端口等。虽然NAT可以屏蔽不向外部网络开放的端口,但针对面向熟知端口的攻击,它是无能为力的。
4.许多NAT设备都不记录从外部网络到内部网络的连接,这会使您受到来自外部网络的攻击,但由于没有记录可以追查,您根本无法发觉自己受到过什么攻击。
NAT隐藏了内部IP地址,使其具有一定的安全性,但从上面的分析我们可以知道,不能将NAT作为网络单一的安全防范措施。
在Windows 7平台中可以通过ICS(InternetConnection Sharing,连接共享,即是1)netshwlan set hostednetwork mode=allow ssid="Win7_Phyking" key=phykingpeng 2)netsh wlan start hostednetwork)实现一个校园网账户多机同时使用的教程,但是ICS最大的一个缺点是它有最大10个连接数的限制,想获得充足的带宽是有困难的,特别是使用这个共享连接的机器多了以后就会出现多种访问故障。如果想获得更加稳定的网络、更加充足的网络资源,我们就需要使用NAT(NetworkAddress Transition,网络地址转换)。
硬件上,搭建一个NAT服务器(以下简称服务器)需要具备两块物理网卡和一台交换机,当然我们搭了服务器就需要有客户机和连接用的网线。假设服务器中A网卡接入网络,B网卡接入交换机,客户机则连接到交换机上,也就是如下网络架构:
软件上,WindowsServer 2008 r2的NAT设置于Server2003和2008都略有区别,网上所提供的教程针对Linux、Server2003和2008的教程比较多,本着傻瓜式教程的宗旨,以下我将逐一列举搭建NAT服务器的步骤。
第一步:禁用Internet Connection Sharing服务。因为ICS(InternetConnection Sharing)与NAT同时存在会造成冲突,所以要禁用。在开始-->管理工具-->服务中,找到InternetConnection Sharing,然后停用并禁用ICS服务。
第二步:添加路由与远程访问角色服务。进入服务器管理器添加角色,添加“网络策略和访问服务”,这时可以选择安装角色服务,把“路由”和“远程访问服务”都选上。然后下一步。不用重启。
第三步:配置网卡。对于校园网用户,网卡A是不需要配置的,因为校园网环境中提供DNS、DHCP等服务,但是我们需要知道我们的DNS服务器IP地址是什么(珠海校区:主DNS服务器211661281,备用DNS服务器211661282;南校区主DNS服务器202116642,备用DNS服务器202116643),在后面的配置有用。然后网卡B的IP地址填写1721611,使用默认的子网掩码(25525500),网关不填,DNS服务器必须填上。由于我们在这里使用了手动IP分配,所以客户机上也需要进行IP设置,具体设置为:IP地址填1721611xx,子网掩码25525500,网关就填1721611,DNS服务器必须填上。至此网卡配置完成
第四步:在服务器管理器左侧窗口展开“网络策略和访问服务”,右键点击路由和远程访问,选择“配置并启用路由和远程访问”。配置中选择“网络地址转换NAT”;在NATInternet连接中选择“使用此公共接口连接到Internet”,并选中网卡A(直接接入Internet的网卡);在设置为NAT网络中计算机提供DHCP和DNS服务处,选择稍后设置名称与地址选项。至此NAT设置完成。为了验证设置,我们到NAT服务器àIPV4àNAT中,右键单击连接外网的网卡选择属性,看到“公用接口连接到Internet”,并且“在此接口上启用NAT”;右键单击链接到交换机的连接,看到“专用接口连接到专用网络”。
第五步:测试NAT。在客户机中分别ping B网卡IP地址(1721611)、A网卡IP地址(校园网DHCP分配),然后从服务器ping任意一个客户机的IP地址(手动分配),如果都能ping通,说明NAT设置完毕,可以尽情享受校园网了。
0条评论