域内双向NAT技术

最新推荐文章于 2025-04-26 16:41:18 发布
最新推荐文章于 2025-04-26 16:41:18 发布
阅读量4.1k 收藏 35
点赞数 2
分类专栏: 个人笔记——数通 文章标签: 网络 华为
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Junior_engineer/article/details/118611058
版权
这篇博客探讨了如何通过部署域内双向NAT,解决内网客户端通过公网地址访问内部HTTP Server的问题。实验中,配置了NAT Server将内网服务器映射到公网地址10.1.12.100,使外部Client3可以访问。然而,内网Client1访问10.1.12.100时,TCP请求因未配置正确的NAT转换而被丢弃。通过在AR1的G0/0/0接口上额外配置转换,最终实现了域内双向NAT,使得Client1也能成功访问HTTP Server。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

域内双向NAT

实验目的

企业内部有需要想要将内网的HTTP Server中WEB服务映射到公网地址10.1.12.100的80端口上,一般该需求只需要我们部署NAT Server,就可以使得其他网络内的客户端通过公网地址10.1.12.100访问内网HTTP 服务器的目的。

此时如果我们内网客户端也想要通过该公网地址去访问HTTP Server,那么会出现错误导致无法访问。将HTTP Server的私网地址直接透露出来,也不利于保障WEB服务器的安全性。

本实验通过部署域内双向NAT,使得内网地址能够通过访问10.1.12.100(即映射出的公网地址)来达成访问HTTP Server的目的。

实验拓扑

图:域内双向NAT场景

正常情况下,我们需要将内网的HTTP Server映射到外网,以便其他网络内的主机对该地址进行资源访问。首先我们部署内网的映射配置,将内网HTTP Server(192.168.1.100)映射到10.1.12.100。并登录到Clietn3,测试Client3访问10.1.12.100

1、全网配置IP地址

Clietn 1 ip:192.168.1.2/24 GW 192.168.1.254(AR1的G0/0/0)
Clietn 3 ip:192.168.2.2/24 GW 192.168.2.254(AR2的G0/0/0)
AR1和AR2互联地址为10.1.12.1 和10.1.12.2。其余地址图内均有标识

2、在AR1和AR2的G0/0/1出接口上部署easy NAT,使得内网地址能够正常访问外网。

AR1和AR2的配置如下,就是双方的acl per地址网段有所差异。
[AR1]acl 2000
[AR1-acl-basic-2000]rule per sou 192.168.1.0 0.0.0.255
[AR1-acl-basic-2000]quit
//匹配source 地址为192.168.1.0/24

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000
//配置easy NAT,使得内网地址能够成功访问外网

3、配置基本的NAT Server,将内网服务器映射到10.1.12.100,以便处于其他网络的Clietn3能够正常访问。

在AR1的G0/0/1出接口上进行如下配置:

AR1的G0/0/1出接口配置如下:
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat server pro tcp glo 10.1.12.100 80 inside 192.168.1.100 80
// 用于将内网的Server 映射到10.1.12.100 .

在经过上述部署后,Clietn3能够正常通过公网地址10.1.12.100 访问内部的HTTP Server,

内部HTTP Server的配置很简单,就是一个启用的过程,这里就直接跳过了。

此时我们验证其他域的Client3访问10.1.12.100能否正常通信。

图:Client3成功访问HTTP Server

此时Client3能够正常通过10.1.12.100访问内部的HTTP Server服务器,但我们本次实验是为了探究域内双向NAT的过程。我们查看域内Client1能否正常访问内部的HTTP Server服务器。

图:Client1无法访问HTTP Server

此时本次实验的重点来了,由于Client1访问10.1.12.100时,他会将HTTP请求给到网关(或者说是TCP连接请求)。到达网关时,网关发现目的地址是10.1.12.100(AR1的G0/0/1同网段地址),于是想要将该数据包从G0/0/1发出,不过G0/0/1接口上配置了NAT Server,发现转换后的地址是AR1的G0/0/0网段地址,那么该HTTP请求又从G0/0/0接口发回,G0/0/0接口上并没有配置NAT Server进行转换。所以此时的HTTP 请求数据包,Src ip是Client1地址,Dst 地址为10.1.12.100。但内网又没人是这个地址,于是该TCP请求被丢弃。

**备注:**可以通过抓包发现,AR1的G0/0/1出接口并无数据包,而G0/0/0的接口存在TCP无回应。

于是为了解决该一现象,我们可以在AR1的G0/0/0接口上通过配置转换,将Dst 10.1.12.100转换回服务器地址。使得Client1或域内其他客户端能够通过公网地址服务器的访问操作。

4、在AR1的G0/0/0接口上执行如下命令,完成 “域内双向NAT” 的部署。

[AR1]acl 3000
[AR1-acl-adv-3000]rule per tcp des 10.1.12.100 0
[AR1-acl-adv-3000]quit
//配置ACL 3000,匹配目标地址为10.1.12.100的数据。

[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat server pro tcp glo 10.1.12.100 80 inside 192.168.1.100 80
[AR1-GigabitEthernet0/0/0]nat outbound 3000
[AR1-GigabitEthernet0/0/0]

//在G0/0/0接口上也部署一个NAT Server转换。使得内网的HTTP请求数据包的目的地址能够转换成192.168.1.100

我们再次在Client1上面测试访问,看看能否成功通信!

)

图:Client1成功访问HTTP Server

成功完成通信!至此,域内双向NAT成功。

实验思考

Q:在AR1的G0/0/0上进行部署时,需要配置EASY NAT,若不配置,通信是否正常?

Q:需要EASY NAT的原因是:防止回包不经过网关接口而无法进行NAT server地址转换,若在交换机上部署隔离,能否正常通信呢?

网络——域内双向NAT技术
Jay
04-18 1635
到达网关时,网关发现目的地址是10.1.12.100(AR1的G0/0/1同网段地址),于是想要将该数据包从G0/0/1发出,不过G0/0/1接口上配置了NAT Server,发现转换后的地址是AR1的G0/0/0网段地址,那么该HTTP请求又从G0/0/0接口发回,G0/0/0接口上并没有配置NAT Server进行转换。我们查看域内Client1能否正常访问内部的HTTP Server服务器。**备注:**可以通过抓包发现,AR1的G0/0/1出接口并无数据包,而G0/0/0的接口存在TCP无回应。
安全防御(二)--- 防火墙域间双向NAT域内双向NAT、基于VRRP的双机热备
weixin_58299245的博客
09-13 5242
防火墙域间双向NAT域内双向NAT、基于VRRP的双机热备
华赛USG 域内NAT
weixin_33782386的博客
07-26 268
配置双向NAT举例(域内NAT和内部服务器) 组网需求 如图1所示,FTP服务器和PC均在USG5300统一安全网关的Trust安全区域,FTP服务器的IP地址为10.1.1.2,PC机的IP地址为10.1.1.5,二者通过交换机与统一安全网关相连。需求如下: FTP服务器对外公布的地址为200.1.1.10,对外使用的端口号为21。 ...
域内双向NAT技术
2302_79794013的博客
04-23 871
双向nat实验
【防火墙域内双向NAT技术
最新发布
2302_79794013的博客
04-26 728
防火墙域内双向NAT技术
防火墙域间双向NAT域内双向NAT与双机热备实验
m0_68498873的博客
08-08 1476
USG6000V1-GigabitEthernet1/0/1]service-manage all permit 保存主防火墙配置。
NAT、server nat域内双向NAT、域间双向NAT,以及双机热备实验,练习IPS配置实验。
xiaooxiangg的博客
03-21 1021
lsw1]ip route-static 0.0.0.0 0 10.1.2.254 防火墙的虚网关。然后ping100.1.1.2抓包发现地址进行了地址转换。做同步,在防火墙之间连一根线,把两条接口配成一个网段。配置好防火墙地址,然后用网页登录两个防火墙。配置虚拟IP和第一个防火墙配置方法一样。写一条trust到untrust的策略。写untrust 到dmz 的策略。如图先配置好各个设备IP地址。LSW2配置配法LSW1的一样。trust区加一个服务器。还原后主备切换回为原来。
域内双向nat配置命令
11-29
在OpenWrt中,设置域内双向NAT的常用命令可能包括以下几个步骤: 1. 打开SSH登录到路由器: ``` ssh root@your_router_ip ``` 2. 切换到` luci`目录: ``` cd /etc/config/ ``` 3. 查看或编辑`nat`配置文件(例如...
双向NAT应用场景和配置
Richardlygo的博客
08-28 2612
局域网内有一台或多台服务器可能需要对外映射提供服务,如内网终端也需要访问,这时如终端通过映射后的公网地址访问会出现无法访问的情况,这时就需要域内双向NAT(华三很多路由器会有hairpin这个功能,勾选应用则开启,或在内网接口配置nat hairpin enable)在两个不同的局域网(地址重叠的情况),其中一个局域网中的客户端需要访问另外一个局域网中的服务器时,例如双方局域网IP网段都为192.168.1.0/24,客户端会检测源地址,和服务器目的地址为相同网段,则直接发送ARP解析。
五、双向NAT
u012451051的博客
11-24 3645
NAT地址池中的地址配置成和私网服务器在同一网段,当私网服务器回应公网用户的访问请求时,发现自己的地址和目的地址在同一网段,此时私网服务器就不会去查找路由,而是发送ARP广播报文询问目的地址对应的MAC。答案是肯定不会影响,但是配置了有它本身的好处。在配置源NAT策略时,destination-address:由于先进行NAT Server转换,再进行源NAT转换,所以此处的目的地址是NAT Server转换后的地址,即服务器的私网地址。这里配置的源NAT,虽然叫源NAT,考虑的时候是反着来的。
配置域内NAT举例
03-06
配置域内NAT举例,让你一看就会的配置实例
防火墙实验二——实现域间、域内双向NAT、双机热备实验
lml_0916的博客
09-12 1358
这个图是基于防火墙一的图,里面的基本配置都是基于上一个实验来进行的。这里的目的端口转换填写的是80;然后备用防火墙(FW2)变成了主用装态。添加一个新的防火墙和一个hub。同样还是在刚刚的界面;它的撞他已经改位是备用状态。对于源转换地址池的配置。
华为安全-防火墙-双向NAT
w2685797168的博客
11-12 3729
在一些特殊的场景,可以将源NAT与SERVER NAT同时使用,以实现特殊的通讯,这就是本文介绍的双向NAT双向NAT根据作用的ZONE不一样,可以分为域间双向NAT域内双向NAT
域内NAT、域间NAT技术及配置实验4.51
kanxingxingdemao的博客
02-02 1641
NAT server + 源NAT 又叫域间双向NAT ,作用就是服务器不用配置网关了。没有其他作用。 用在服务器server3 和客户机client2 在同一个trust zone里,外网用户unstrust zone 访问内网http服务器server3 ,在server nat 和安全策略都设定下可以正常访问,内网访问http服务器server3 时通过dns请求知道服务器的地址,知道了目的地址时10.1.12.254 ,然后防火墙发数据发送给server3 ,但server3 发现clie.
双向NAT(基于USG6000V)
YancyYue颜悦的专栏
07-01 2295
域内NAT+NAT Server、域间NAT+NAT Server
安全HCIP之双向NAT
XiaoHG_优快云的博客
10-08 955
双向NAT 双向NATNATserver + 源NAT,即转换源也转换目标; 域间双向NAT转换 域间双向NAT:服务器回包(网关); 为了简化配置服务器至公网的路由,可在NAT Server基础上,增加NAT Inbound配置; 域内双向NAT 防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址; 防火墙将FTP服务器回应的报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址; ...
网络安全学习笔记——第十五天 域内NAT、域间NAT技术及配置实验
m0_53800207的博客
08-12 3334
双向NAT技术 双向NAT两种应用场景: ○ NAT Server+源NAT(又称作域间双向NAT) 为了简化配置服务器至公网的路由,可在NAT Server基础上,增加源NAT配置。好处就是,服务器不需要配网关。 ○域内NAT 防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址;防火墙将FTP服务器回应报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址。 NAT典型应用场景配置举例 ○源应用(内网访问外网) ○ NAT ..
NAT、server nat域内双向nat、域间双向nat配置
weixin_64311421的博客
03-27 1090
对于防火墙来说,我们需要考虑转换和放行。NAT策略只是转换了,防火墙不放行,所以还需要做个放行策略。最后可以在LSW1上接个路由器,用路由器ping 100.1.1.3。在分别在g1/0/1、g1/0/0、g1/0/2上添加IP地址和安全区域。在浏览器上输入刚添加的IP地址,进入华为防火墙图形化界面。然后在WF1上配置0/0/0接口IP地址并开启服务。先做nat策略(trust双转)开启DMZ区域的http服务器。新建一个名称为du的NAT策略。访问服务器,发现外网可以访问。转包可以看见,转换成功。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奋斗Zalvin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值