nat server 概念及题目
我们来详细讲解华为/H3C网络设备(VRP系统)中 NAT Server 的概念及实验配置。
一、详细概念解析
- 什么是NAT Server?
NAT Server(也称为静态NAT或端口映射)是一种将公网IP地址和端口静态映射到内网服务器的私网IP地址和端口的技术。
本质:一种入方向(Outside-to-Inside)的NAT。
目的:让外部网络的用户能够访问位于私有网络内部的服务(如Web、FTP、邮件服务器等)。
2. 为什么需要NAT Server?
服务器位于内网:出于安全和管理考虑,服务器通常部署在内网,使用私有IP地址(如10.1.1.100)。
外部用户需要访问:互联网上的用户无法直接路由到私有IP地址。
解决方案:在边界网关上配置NAT Server,将公网IP的某个端口"暴露"出去,并将其请求转发给内网服务器。
- 工作原理
当边界路由器(配置了NAT Server)收到一个来自外部的数据包时:
检查目标地址:数据包的目标IP是路由器的公网IP,目标端口是映射中配置的端口(如8080)。
查询NAT Server映射表:路由器发现这个(IP, 端口)对在NAT Server的配置中。
修改数据包:将数据包的目标IP修改为内网服务器的私网IP,目标端口修改为内网服务器的真实端口(如80)。
转发数据包:将修改后的数据包路由到内网服务器。
返回流量:内网服务器回复的数据包到达路由器后,路由器执行反向的地址转换,将源IP从私网IP改回公网IP,源端口从服务器端口改回映射端口,然后发送回外部用户。
- 核心命令语法
[H3C-GigabitEthernet0/1] nat server protocol { protocol-type } global { global-address } [ global-port ] inside { host-address } [ inside-port ]
参数详解:
protocol-type:服务使用的协议,如 tcp、udp、icmp。
global-address:对外提供的公网IP地址。
current-interface:一个常用关键字,表示使用该接口的IP地址。
也可以是特定的IP地址(如由ISP提供的另一个公网IP)。
global-port:(可选)对外服务的端口号。如果省略,则表示所有端口(一对一静态NAT,不常用)。
host-address:内网服务器的真实私有IP地址。
inside-port:(可选)内网服务器的真实服务端口。如果省略,则与global-port相同。
二、实验配置与演示
我们通过几个典型的实验场景来深入理解NAT Server的配置。
实验拓扑与规划
[ 内网服务器 ] (10.1.1.100/24) — [ 华为/H3C路由器 ] (GE0/0: 10.1.1.1/24, GE0/1: 192.0.2.1/24) — [ 互联网用户 ]
内网接口 GigabitEthernet 0/0: 10.1.1.1/24
外网接口 GigabitEthernet 0/1: 192.0.2.1/24 (模拟公网IP)
内网Web服务器: 10.1.1.100:80
内网SSH服务器: 10.1.1.200:22
实验1:基本Web服务映射(不同端口)
需求:将公网IP 192.0.2.1 的 8080 端口映射到内网服务器 10.1.1.100 的 80 端口。
配置步骤:
system-view