备案控制台
开发者社区 安全 文章 正文

演示:外部全局地址与外部局部地址的使用案例

2017-11-13 1154
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:

演示目标:演示外部全局地址与外部局部地址的使用环境。

演示环境:如下图9.72所示的演示环境。

153203471.png

演示背景:图9.72的环境中,公共网络中的202.202.1.2需要访问192.168.2.100的服务器,但是由于企业网络内部的安全需求,比如:IP地址审计,不允许公共网络的主机202.202.1.2的IP地址出现在私有网络内部,要求将202.202.1.2的IP地址转换成私有专用IP地址192.168.2.50来访问192.168.2.100的服务器,在这个环境中路由器R1的E1/0接口为NAT的内部接口;E1/1为NAT的外部接口,现在要求实施上述配置:


演示步骤:


第一步:配置NAT外部到内部的翻译,先前的NAT配置中,使用的都是ip nat inside Source,将内部地址向外部的翻译,这里需要执行外部向内部的翻译,具体的配置如下所示



配置NAT外部到内部的翻译:

R1(config)#ip nat outside source static 202.202.1.2192.168.2.50

当从公共网络访问内部网络时,将NAT外部的地址202.202.1.2翻译成内部地址192.168.2.50,那么202.202.1.2到内部会话的源IP将以192.168.2.50体现在内网中。


R1(config)#inte e1/0

R1(config-if)#ip nat inside

R1(config)#inte e1/1

R1(config-if)#ip nat outside


第二步现在到外部主机202.202.1.2 ping 192.168.2.100会发现一个问题,NAT的翻译生效了如下9.73所示与前面NAT地址类型中描述的理论一致在该环境中外部全局IP202.202.1.2也就是外部发起访问主机的源IP地址外部本地地址为192.168.2.50也就是外部需要被执行翻译后的IP地址在这种情况下内部本地地址与内部全局地址相同都是被访问的目标服器192.168.2.100。但是会发现无法ping通192.168.2.100,如下图9.74所示,翻译生效了,但是ping不通,这是什么原因?

153412476.png


第三步:现在来分析NAT翻译生效,但是无法ping通的原因,NAT生效表示,主机202.202.1.2进入NAT路由器后,源地址被成功的翻译成192.168.2.50这个IP与192.168.2.100这个主机通信,当192.168.2.100这个主机回应192.168.2.50这个主机的通信时,在它本地的子网中(NAT的内部网络上)根本就没有这个192.168.2.50的IP地址,因为,真正的接收者是在NAT的外部,所以,使用NAT路由器上关于192.168.2.0这个子网的直连路由无法完成通信,必须为NAT路由器指示一条通过E1/1接口到目标主机192.168.2.50的主机路由,关于主机路由的配置如下所示,当主机路由配置完成后,再次检测202.202.1.2主机ping 192.168.2.100,结果如下图9.75所示。如果,此时在主机192.168.2.100上使用协议分析器捕获202.202.1.2 ping 自己的数据帧,会如下图9.76所示,可明显看出ICMP报文的源地址是192.168.2.50,事实上,因为NAT将202.202.1.2翻译成为192.168.2.50这个地址。


在NAT路由器上配置一条到192.168.2.50的主机路由:

R1(config)#ip route 192.168.2.50 255.255.255.255 e1/1


153611570.png

题问:在真实的工程环境中,202.202.1.2这个公共IP地址直接访问192.168.2.100这个私有网络专用地址,这可能吗?是不是同时也需要将192.168.2.100这个私有网络IP地址映射成为一个公共IP地址,再提供给公共网络主机202.202.1.2访问?



正确,这种思考方式很全面,因为上述演示环境,主要为了描述NAT外部到内部的翻译,所以让202.202.1.2直接访问了私有网络专用IP地址192.168.2.100,但事实上,您可以使用如下的配置来完善整个NAT的配置,根据下面的配置可以得出这样一种情况,当公共网络的主机202.202.1.2访问202.202.1.100时,实际上就是访问的192.168.1.100,此时,NAT的内部本地地址是192.168.1.100;内部全局地址是202.202.1.100;当202.202.1.2的数据报文进入NAT路由器后,它会被翻译成192.168.2.50访问192.168.2.100的私有网络专用服务器,此时的外部全局地址就是202.202.1.2;外部本地地址就是192.168.2.50,具体将如下图9.77所示:


完善的NAT配置:

R1(config)#ip nat inside source static192.168.2.100 202.202.1.100

R1(config)#ip nat outside source static 202.202.1.2192.168.2.50


153705288.png



本文转自 kingsir827 51CTO博客,原文链接:http://blog.51cto.com/7658423/1320464,如需转载请自行联系原作者

文章标签:
专有网络VPC
网络架构
安全
相关实践学习
阿里云专有网络VPC使用教程
专有网络VPC可以帮助您基于阿里云构建出一个隔离的网络环境,并可以自定义IP 地址范围、网段、路由表和网关等;此外,也可以通过专线/VPN/GRE等连接方式实现云上VPC与传统IDC的互联,构建混合云业务。 产品详情:https://www.aliyun.com/product/vpc
技术小阿哥
目录
相关文章
1941623231718325
|
1月前
|
编译器 C# 开发者
C# 10.0中的全局`using`指令:简化命名空间引用的新方式
【1月更文挑战第4天】本文介绍了C# 10.0中引入的全局`using`指令,该指令允许开发者在项目级别统一管理命名空间引用,从而消除源文件中重复的`using`语句。全局`using`指令通过减少冗余代码、提高可维护性和统一命名空间管理,为开发者带来了更高效的编码体验。文章详细解释了如何实现全局`using`指令,并探讨了其在实际项目中的优势和适用场景。
1941623231718325
134 0
龙腾九州
|
9天前
学习使用如何调用外部函数
【6月更文挑战第19天】学习使用如何调用外部函数。
龙腾九州
6 2
SWIPA
|
1月前
|
C++
C++程序外部函数:深入理解与实践
C++程序外部函数:深入理解与实践
SWIPA
14 0
八百标兵奔北坡
|
1月前
|
JavaScript
如何在自调用函数内部将变量和函数暴露出来,以便外部访问?
在自调用函数中,通过绑定变量和函数到全局对象(浏览器环境的`window`或Node.js的`global`)可实现外部访问。
八百标兵奔北坡
12 1
阿文没烦恼
|
1月前
|
安全 定位技术 数据安全/隐私保护
探究局部代理IP和全局代理IP的区别
探究局部代理IP和全局代理IP的区别
阿文没烦恼
37 0
邻居..
|
1月前
|
Python
外部函数
外部函数
邻居..
27 0
前端歌谣
|
前端开发
前端学习案例4-类组件中绑定this指向的方式
前端学习案例4-类组件中绑定this指向的方式
前端歌谣
59 0
前端学习案例4-类组件中绑定this指向的方式
前端歌谣
|
前端开发
前端学习案例2-this指向问题-函数的独立调用2
前端学习案例2-this指向问题-函数的独立调用2
前端歌谣
51 0
前端学习案例2-this指向问题-函数的独立调用2
前端歌谣
|
前端开发
前端学习案例1-this指向问题-函数的独立调用
前端学习案例1-this指向问题-函数的独立调用
前端歌谣
43 0
前端学习案例1-this指向问题-函数的独立调用
前端歌谣
|
前端开发
前端学习案例5-this指向问题-显示绑定
前端学习案例5-this指向问题-显示绑定
前端歌谣
60 0
前端学习案例5-this指向问题-显示绑定