华为云nat(华为云南)
本文目录一览:
- 1、2022-04-09-NAT介绍
- 2、华为路由器的NAT配置?
- 3、华为路由器NAT的问题
- 4、华为NAT网络地址转换
- 5、NAT平台帮其他人输入身份证输成了自己的,点信息卡显示有两个结果怎么删除
- 6、华为nat配置
2022-04-09-NAT介绍
NAT是(Network Address Translation)的缩写。
还有个名字叫NAPT(Network Address Port Translation),NAPT既支持地址转换也支持端口转换,并允许多台内网主机共享一个外网IP地址访问外网,因此NAPT可以有效的改善IP地址短缺现象。
如果没有做特殊说明,本文档中的NAT均是指NAPT方式的NAT。
随着网络应用的增多,IPv4地址枯竭的问题越来越严重。尽管 IPv6 可以从根本上解决IPv4地址空间不足问题,但目前众多网络设备和网络应用大多是基于IPv4的,因此在IPv6广泛应用之前,使用一些过渡技术(如CIDR、私网地址等)是解决这个问题的主要方式,NAT就是这众多过渡技术中的一种。
当私网用户访问公网的报文到达网关设备后,如果网关设备上部署了NAT功能,设备会将收到的IP数据报文头中的IP地址转换为另一个IP地址,端口号转换为另一个端口号之后转发给公网。在这个过程中,设备可以用同一个公网地址来转换多个私网用户发过来的报文,并通过端口号来区分不同的私网用户,从而达到地址复用的目的。
早期的NAT是指Basic NAT,Basic NAT在技术上实现比较简单,只支持地址转换,不支持端口转换。因此,Basic NAT只能解决私网主机访问公网问题,无法解决IPv4地址短缺问题。后期的NAT主要是指网络地址端口转换NAPT(Network Address Port Translation),NAPT既支持地址转换也支持端口转换,允许多台私网主机共享一个公网IP地址访问公网,因此NAPT才可以真正改善IP地址短缺问题。
Basic NAT方式只转换IP地址,不转换TCP/UDP协议的端口号,属于一对一的转换,一个外网IP地址只能被一个内网用户使用。[图1]描述了Basic NAT的基本原理。
Basic NAT实现过程如下:
NAPT方式既转换IP地址,也转换TCP/UDP协议的端口号,属于多对一的转换。NAPT通过使用“IP地址+端口号”的形式,使多个内网用户共用一个外网IP地址访问外网,因此NAPT也可以称为“多对一地址转换”或“地址复用”。[图2]描述了NAPT的基本原理。
NAPT实现过程如下:
当VPC内的云主机需要访问公网,请求量大时,为了节省弹性公网IP资源并且避免云主机IP直接暴露在公网上,您可以使用公网NAT网关的SNAT功能。VPC中一个子网对应一条SNAT规则,一条SNAT规则可以配置多个弹性公网IP。公网NAT网关为您提供不同规格的连接数,根据业务规划,您可以通过创建多条SNAT规则,来实现共享弹性公网IP资源。
当VPC内的云主机需要面向公网提供服务时,可以使用公网NAT网关的DNAT功能。
DNAT功能绑定弹性公网IP,有两种映射方式(IP映射、端口映射)。可通过端口映射方式,当用户以指定的协议和端口访问该弹性公网IP时,公网NAT网关会将该请求转发到目标云主机实例的指定端口上。也可通过IP映射方式,为云主机配置了一个弹性公网IP,任何访问该弹性公网IP的请求都将转发到目标云主机实例上。使多个云主机共享弹性公网IP和带宽,精确的控制带宽资源。
一个云主机配置一条DNAT规则,如果有多个云主机需要为公网提供服务,可以通过配置多条DNAT规则来共享一个或多个弹性公网IP资源。
典型的P2P场景:
在[STUN]标准中,根据私网IP地址和端口到NAT出口的公网IP地址和端口的映射方式,把NAT分为如下四种类型,详见下图。
STUN中定义的NAT类型
STUN
ICE
我在从服务器收到的端口上添加了1,因为如果我支持两个对称NAT,那么增量是1端口也是如此 . 查看示例:
连接到服务器和NAT A向S发送包含以下内容的数据包:45.89.66.125:58000
B连接到服务器,NAT B向S发送包含以下内容的数据包:144.85.1.18:45000
S将B的信息发送给A,将A的信息发送给B.
现在,如果A向B发送此信息,NAT A将创建此 Map :
INTERNAL_IP_A:580.1-144.85.1.18:45001
对于此连接,NAT A应使用端口58001(最后一个端口1,它是对称NAT)
NAT B接收数据包但丢弃它 .
现在,如果B使用收到的信息向A发送数据包,NAT B将创建此映射:
INTERNAL_IP_B:45001-45.89.66.125:58001
现在NAT应该接受这个数据包,因为在它的表中有接收它的信息 .
先上一张比较有名的图:
(CONNTRACK),顾名思义,就是跟踪并且记录连接状态。Linux为每一个经过网络堆栈的数据包,生成一个新的连接记录项 (Connection entry)。此后,所有属于此连接的数据包都被唯一地分配给这个连接,并标识连接的状态。连接跟踪是防火墙模块的状态检测的基础,同时也是地址转换中实 现SNAT和DNAT的前提。
那么Netfilter又是如何生成连接记录项的呢?每一个数据,都有“来源”与“目的” 主机 ,发起连接的主机称为“来源”,响应“来源”的请求的主机即 为目的,所谓生成记录项,就是对每一个这样的连接的产生、传输及终止进行跟踪记录。由所有记录项产生的表,即称为连接跟踪表。
连接跟踪子系统跟踪已看到的所有数据包流,运行“sudo conntrack -L”以查看其内容:
每行显示一个连接跟踪条目。您可能会注意到,每行两次显示地址和端口号,甚至是反向的地址和端口对。这是因为每个条目两次插入到状态表中。第一个地址四元组(源地址和目标地址以及端口)是在原始方向上记录的地址,即发起方发送的地址。第二个四元组是conntrack希望在收到来自对等方的答复时看到的内容。这解决了两个问题:
如果NAT规则匹配(例如IP地址伪装),则将其记录在连接跟踪条目的答复部分中,然后可以自动将其应用于属于同一流的所有将来的数据包。
状态表中的查找将是成功的,即使它是对应用了任何形式的网络或端口地址转换的流的答复包。
原始的(第一个显示的)四元组永远不会改变:它是发起方发送的。NAT操作只会将回复(第二个)更改为四倍,因为这将是接收者看到的内容。对第一个四倍的更改将毫无意义:netfilter无法控制启动程序的状态,它只能影响数据包的接收/转发。当数据包未映射到现有条目时,conntrack可以为其添加新的状态条目。对于UDP,此操作会自动发生。对于TCP,conntrack可以配置为仅在TCP数据包设置了SYN位的情况下添加新条目。默认情况下,conntrack允许中流拾取不会对conntrack变为活动状态之前存在的流造成问题。
如上一节所述,列出的答复元组包含NAT信息。可以过滤输出以仅显示应用了源或目标nat的条目。这样可以查看在给定流中哪种类型的NAT转换处于活动状态。“sudo conntrack -L -p tcp –src-nat”可能显示以下内容:
此项显示从10.0.0.10:5536到10.8.2.12:80的连接。但是,与前面的示例不同,答复方向不仅是原始的反向方向:源地址已更改。目标主机(10.8.2.12)将答复数据包发送到192.168.1.2,而不是10.0.0.10。每当10.0.0.10发送另一个数据包时,具有此条目的路由器将源地址替换为192.168.1.2。当10.8.2.12发送答复时,它将目的地更改回10.0.0.10。此源NAT是由于nft假装规则所致:
inet nat postrouting meta oifname "veth0" masquerade
其他类型的NAT规则,例如“dnat to”或“redirect to”,将以类似的方式显示,其回复元组的目的地不同于原始的。
conntrack记帐和时间戳记是两个有用的扩展。“sudo sysctl net.netfilter.nf_conntrack_acct=1”使每个流的“sudo conntrack -L”跟踪字节和数据包计数器。
“sudo sysctl net.netfilter.nf_conntrack_timestamp=1”记录每个连接的“开始时间戳”。然后,“sudo conntrack -L”显示自第一次看到流以来经过的秒数。添加“–output ktimestamp”也可以查看绝对开始日期。
您可以将条目添加到状态表。例如:
conntrackd将此用于状态复制。活动防火墙的条目将复制到备用系统。这样,备用系统就可以接管而不会中断连接,即使建立的流量也是如此。Conntrack还可以存储与网上发送的数据包数据无关的元数据,例如conntrack标记和连接跟踪标签。使用“update”(-U)选项更改它们:
sudo conntrack -U -m 42 -p tcp
这会将所有tcp流的connmark更改为42。
在某些情况下,您想从状态表中删除条目。例如,对NAT规则的更改不会影响属于表中流的数据包。对于寿命长的UDP会话(例如像VXLAN这样的隧道协议),删除条目可能很有意义,这样新的NAT转换才能生效。通过“sudo conntrack -D”删除条目,然后删除地址和端口信息的可选列表。下面的示例从表中删除给定的条目:
云场景下的NAT的基本原理没有大的变化。但要考虑租户隔离与租户运维等问题。
VPC及VPC下的子网网段是用用户自管理的,因此就要解决在一个设备上为多个可能地址重叠的租户提供NAT能力。因此我们使用了vxlan隧道技术来解决这个问题。
云计算中,为了解决租户隔离的问题,一般每个用户子网都会对应分配一个vni(vxlan net identity)。
因此我们可以用vni来标识不同vpc下的nat实例。
华为云NAT介绍
华为路由器的NAT配置?
华为路由器 NAT及DHCP配置实例
sysname HUAWEI-AR28-11
#
nat address-group 1 125.95.190.3 125.95.190.3
nat static 192.168.100.254 125.95.190.6
nat static 192.168.100.252 125.95.190.5
nat aging-time tcp 360
#
radius scheme system
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF41!!
service-type telnet terminal
level 3
service-type ftp
#
dhcp server ip-pool 1
network 192.168.1.0 mask 255.255.255.0
gateway-list 192.168.1.1
dns-list 202.96.128.86 202.96.128.166 202.96.128.143
#
dhcp server ip-pool 2
network 192.168.2.0 mask 255.255.255.0
gateway-list 192.168.2.1
dns-list 202.96.128.86 202.96.128.166 202.96.128.143
#
dhcp server ip-pool 3
network 192.168.3.0 mask 255.255.255.0
gateway-list 192.168.3.1
dns-list 202.96.128.86 202.96.128.166 202.96.128.143
#
dhcp server ip-pool 4
network 192.168.4.0 mask 255.255.255.0
gateway-list 192.168.4.1
dns-list 202.96.128.86 202.96.128.166 202.96.128.143
#
dhcp server ip-pool 5
network 192.168.5.0 mask 255.255.255.0
gateway-list 192.168.5.1
dns-list 202.96.128.86 202.96.128.166 202.96.128.143
#
dhcp server ip-pool 6
network 192.168.6.0 mask 255.255.255.0
gateway-list 192.168.6.1
dns-list 202.96.128.86 202.96.128.166 202.96.128.143
#
dhcp server ip-pool 7
network 192.168.7.0 mask 255.255.255.0
gateway-list 192.168.7.1
dns-list 202.96.128.86 202.96.128.166 202.96.128.143
#
acl number 2500
rule 0 permit source 192.168.0.0 0.0.255.255
#
acl number 3900
rule 0 deny tcp destination-port eq 8
rule 1 deny tcp destination-port eq 135
rule 2 deny tcp destination-port eq 139
rule 3 deny tcp destination-port eq 445
rule 4 deny tcp destination-port eq exec
rule 5 deny tcp destination-port eq 64444
rule 6 deny tcp destination-port eq 8080
rule 7 deny udp destination-port eq 135
rule 8 deny udp destination-port eq 445
rule 9 deny udp destination-port eq 3500
#
interface Aux0
async mode flow
#
interface Ethernet0/0
ip address 125.95.190.2 255.255.255.248
nat outbound static
nat outbound 2500 address-group 1
#
interface Ethernet0/1
description line to HUAWEI-S3928
ip address 192.168.8.2 255.255.255.0
#
interface Serial0/0
clock DTECLK1
link-protocol ppp
ip address dhcp-alloc
#
interface NULL0
#
dhcp server forbidden-ip 192.168.100.252
dhcp server forbidden-ip 192.168.100.254
#
ip route-static 0.0.0.0 0.0.0.0 125.95.190.1 preference 60
ip route-static 192.168.1.0 255.255.255.0 192.168.8.1 preference 60
ip route-static 192.168.2.0 255.255.255.0 192.168.8.1 preference 60
ip route-static 192.168.3.0 255.255.255.0 192.168.8.1 preference 60
ip route-static 192.168.4.0 255.255.255.0 192.168.8.1 preference 60
ip route-static 192.168.5.0 255.255.255.0 192.168.8.1 preference 60
ip route-static 192.168.6.0 255.255.255.0 192.168.8.1 preference 60
ip route-static 192.168.7.0 255.255.255.0 192.168.8.1 preference 60
ip route-static 192.168.100.0 255.255.255.0 192.168.8.1 preference 60
#
user-interface con 0
user-interface aux 0
set authentication password cipher V_$D$4N:*#F/$ATR*`+,;!!!
idle-timeout 2 0
user-interface vty 0 4
user privilege level 3
set authentication password cipher V_$D$4N:*#F/$ATR*`+,;!!!
idle-timeout 2 0
#
return
具体最好咨询厂家
华为路由器NAT的问题
做NAT时,抽取的地址池和外接口的IP地址不能冲突,你可以直接复用外接口做NAT就可以了!
直接进入外接口模式:nat outbound 3000;第三步的nat address-group命令可以省掉了
华为NAT网络地址转换
NAT属于接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法公网IP地址的IP地址转换技术,它被广泛应用于各种类型 Internet接入方式和各种类型的网络中。
NAT地址转化技术的出现的重要价值主要体现在改善网络安全和解决IPv4地址不够用。
解决IPv4地址不足问题
这个主要通过动态NAT以及PAT来解决,其中PAT技术可以借助一个合法的公网IP地址使成百上千个内网用户达到访问外网的目标(如果不是PAT技术,IPv4那40多亿地址根本不能够满足地球人手一个可用的IPv4地址使用,更别提现在的物联网时代每个带电的设备都有属于自己的IP地址)
安全
通过地址转换将暴露的在公网的重要或核心服务器的地址映射出去,使映射的代理地址来应对攻击,相当于给受保护的地址披上了一层伪装。这是保护和隐藏重要服务器及核心设备地址不会轻易收到网络攻击的重要手段。
控制
控制内网主机访问外网,同时也可以控制外网主机访问内网,解决了内网和外网不能互通的问题。
静态NAT
工作机制
NAT转换时,内部网络主机IP地址与公网IP是一对一静态绑定的,每个公网IP只能给固定的内网主机转换使用;静态NAT转换时只转换IP地址,不涉及端口号。
具体配置(全局配置+接口挂接)
(1)在NAT路由器配置好静态NAT转化映射表。
(2)在公网接口启用静态NAT配置。
(3)上面为全局配置,也可以直接在接口下配置
静态NAPT
工作机制
静态NAPT转换时,内部网络主机IP+端口号与公网IP+端口号进行一对一静态绑定的,每个公网IP只能给固定的内网主机转换使用;
配置
(1)在NAT路由器配置好静态NAPT转化映射表
(2)在公网接口启用静态NAT配置。
动态NAT
Basic NAT
Basic NAT工作时,内部网络主机IP地址在预先设置好的公网IP地址池中的公网IP地址动态建立一对一映射;
Basic NAT工作时,在同一时刻的公网地址只能被一个私网地址所映射;‘’
Basic NAT转换时只转换IP地址,不涉及端口号。
配置
(1)在NAT路由器配置动态公网地址池
(2)用ACL匹配待转换的内网地址
(3)在外网出口配置动态NAT,实现公网地址池和内网地址的挂接,只转换IP地址不进行端口转化。
动态NPAT
工作机制
NAT转换时,内部网络主机IP+端口号与公网IP+端口号实现动态映射,实现多个内网共用一个公网IP地址访问外网。
配置
(1)在NAT路由器配置动态公网地址池
(2)用ACL匹配待转换的内网地址
(3)在外网出口配置动态NAPT,实现公网地址池和内网地址的挂接(默认的动态NAT是动态PAT)
Easy IP
工作机制
Easy IP是动态NAPT的一个特例
Easy IP自动将本设备的外网接口IP+端口和内网IP+端口进行映射;Easy IP无需创建公网地址池。
配置
(1)在NAT路由器通过ACL匹配待转化的内网地址
(2)在公网接口启用挂接匹配到的内网ACL。
端口映射
NAT Server依然是公网IP+端口与内网IP+端口的映射;目的是解决公网IP访问内网IP的问题。
NAT Server依然是公网IP+端口与内网IP+端口的映射;目的是解决公网IP访问内网IP的问题。
NAT Server依然属于端口和IP地址都转换的NAT。
END
NAT平台帮其他人输入身份证输成了自己的,点信息卡显示有两个结果怎么删除
可以申请注销一个。
华为云NAT网关NATateway包含了公网NAT网关PublicNATGateway和私网NAT网关rivateNATGateway。公网NAT网关支持将私网IP转换为公网IP。
转换后,云上资源即可安全地访问公网或者对外提供服务,并且保护私有网络信息不直接对公网暴露。私网NAT网关提供私网地址转换的功能,实现VPC与VPC之间,VPC与本地数据中心IDC互访。
华为nat配置
1.静态NAT如何工作?
所谓静态NAT是指公网IP和私网IP的对应关系是静态的,由管理员手工指定后就不会改变了。并且静态NAT实现的是一对一的地址转换。
ps:一个公网IP对一个私网IP实用比较少
2.静态NAT如何配置?
进入内网出公网的接口
nat static enable nat static global 12.1.1.1 inside 10.1.1.1 // 转换后的公网地址在前,转换前的私网地址在后 12120x3 配置动态NAT
1.配置接口IP地址
2.配置动态NAT:
[R1]nat address-group 0 12.1.1.1 12.1.1.3 [R1]acl 2000 [R1-acl-basic-2000]rule permit source 10.1.1.1 0.0.0.0 [R1-acl-basic-2000]rule permit source 10.1.1.2 0.0.0.0 [R1-acl-basic-2000]rule permit source 10.1.1.3 0.0.0.0 [R1-acl-basic-2000]quit [R1]int g0/0/1 [R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 0 no-pat [R1-GigabitEthernet0/0/1]quit 123456789123456789
总结:
1.动态NAT如何工作?
动态NAT任然是一对一的地址转换,但是私网和公网的对应关系不固定。
2.如何配置动态NAT?
第一步定义公网地址范围;
第二步定义私网地址范围;
第三步在公网接口将公务地址池和私网地址池关联在一起。
PS:查看nat转向表,display nat session all
发表评论
暂时没有评论,来抢沙发吧~