3つの写真は、静的NAT、動的NAT、PATを説明しています
Three Pictures Explain Static Nat
前書き
定義:NATはネットワークアドレス変換です。
IPv4アドレス分類:
- IPアドレスはパブリックIPとプライベートIPに分けられます
- パブリックIPはパブリックネットワークでのみ使用できます
- プライベートIPは内部ネットワークでのみ使用できます
- プライベートIPアドレスはパブリックネットワークでは許可されていません
- プライベートIPはイントラネットで再利用できます
プライベートIPアドレスの範囲:
1)10.0.0.0/8
2)172.16.0.0/16-172.31.0.0/16
3)192.168.0.0/16
NATは主に、パブリックIPアドレスとプライベートIPアドレスの変換を実現します。これは通常、ルーターまたはファイアウォールで行われます。
原理
上の図を見ると、192.168は200.2にアクセスし、最初にルーターに到達します。レイヤー3デバイスは192.168を外部ネットワークアドレスにマップします。これにより、外部ネットワークアドレス200.1(外部ネットワークアドレス)が置き換えられます。 200.1アクセス200.2、サーバーへのルート後、200.1は200.2の内部ネットワークサーバーに直接アクセスできないため、この時点でアドレス変換も必要であり、200.2は172.16に変更されます。最後に、200.1が172.16にアクセスします。これは、192.168が200.2にアクセスすることを意味します。
パケットを返すときの原則は同じで、1つはアウト、もう1つはインで、アドレスマッピング(アドレス変換)を2回実行します。
実際、ネットワークアドレス変換は、3層ヘッダーのカプセル化を解除し、送信元IPまたは宛先IPを変更することです。ちなみに、MACアドレスも変更されますが、NATが原因ではないため、ルートの後にMACアドレスが1回変更されます。
分類
(1)静的NAT(静的マッピング)
IPアドレスマッピングエントリを手動で書き込み、NATテーブルを構成します。内部ネットワークアドレスは外部ネットワークアドレスに対応します。たとえば、192.168は1.1に対応します。 192.168が外部ネットワークにパケットを送信すると、ルートを通過するときに静的NATテーブルに従って1.1に置き換えられます。
欠点は、内部ネットワークには非常に多くの人がいて、1つの内部ネットワークIPが1つの外部ネットワークIPに対応することです。どのくらいのお金を費やす必要があり、いくつのパブリックネットワークIPで十分です。
ダイナミックNATはこの問題を解決します。読み進めてください。
(2)動的NAT(動的マッピング)
1つのネットワークセグメントは、たとえば次の1つの外部ネットワークアドレスに対応します。
ネットワークセグメント192.1681.0 / 24は100.1に対応します
192.168.1.1はここにあります
NATアドレス変換では、マッピング(エントリ)が形成されます。つまり、192.168.1.1が100.1にマッピングされます。現時点では、焦点が当てられています。 192.168.1.1は100.1を占めるため、他のユーザーは192.168.1までこの100.1を使用できなくなります。マッピングテーブルのエントリが古くなった後、他の人に100.1を与えることができます
他の人がそれを使用できない理由は、他の人もこの100.1を使用している場合、パケットを返すことができないためです。
しかし、複数の人が同時にインターネットを閲覧するという問題は解決されなかったため、廃止されました。
PATはこの問題を解決します。読み進めてください。
(3)PATポートアドレス変換ポートネットワークアドレス変換
理由は非常に単純です。 IPアドレスに基づいて、区別するためにポート番号が追加されます。
例えば:
192.168.1.0/24、このネットワークセグメントは外部ネットワークip100.1にマップされます
192.168.1.1のIPは、httpパケットをインターネットに送信します。ルーターを通過するとき、ルーターはポート番号でランダムに構成されます。
192.168.1.1:1000-100.1.1.1:100
IPアドレスのポート番号が常に100.1.1.1のポート番号を占めている限り、他の人は100.1.1.1:100のIP +ポート番号を使用できなくなります。
実際、ポート番号は多重化のために追加され、ポート番号は同じパブリックネットワークIPに対応する各プライベートネットワークIPを区別するために使用されます。
192.168.1.1:1000、1000および1000.1.1.1:100
2つのポート番号1000と100は、ルータによって設定された一時ポートです。ポート範囲は0〜65535です。それがこの範囲を超えた場合、誰かがオンラインになった場合、彼らは待つことしかできません。
NATアドレス変換テーブル
内部ネットワークから外部ネットワークに移動する場合にのみ、NATアドレス変換テーブルに新しいエントリが生成されます
外部ネットワークから内部ネットワークに移動するとき、パケットはNAT変換テーブルに従って返されます。
上記で解決すべき問題は、外部ネットワークへの従業員のイントラネットアクセスのアドレス変換の問題です。
以下で解決する問題は、部外者が外部ネットワークからイントラネットにアクセスする際のアドレス変換の問題です。
(4)PAT +静的NAT(静的PAT、ポートマッピング)
ポートマッピング:イントラネットの特定のポートをマッピングすることをポートマッピングと呼びます。
通常、企業は3つ以上のインターネットURLを準備します。1つは内部ネットワークが外部ネットワークに接続するためのもので、もう1つは外部ネットワークが内部サーバーにアクセスするためのものです。
外部ネットワークからイントラネットサーバーにアクセスするための解決策は、たとえば、100.2のIPとポートを100.1のIPにマップすると同時に、実際には静的patと呼ばれる80ポート制限を追加することです。 、static nat + pat、ポートマッピングとも呼ばれます。
例1
S 192.3 — 100.2 80—80
S 182.4 — 100.2 23—23(rdp)リモートデストッププロトコル
異なるサーバーが外部ネットワークの同じIPにマップされている
例2
S 192.3 — 100.2 80—80
S 192.4 — 100.2 80—81
内部ネットワーク上の2つのサーバーは両方ともポート80を開きたいので、外部ネットワークのIPは同じであるため、すべてのポート番号を同じにすることはできません。
この欠点は明らかです。 192.4にアクセスするには、外部ネットワークが100.2:81とポート81にアクセスする必要があります。
(5)VIP仮想パブリックネットワークIPアドレスvritual ip
100.2は、ルーターと一致しないため仮想IPアドレスと呼ばれますが、イントラネットサーバーにマップされるため、仮想IPアドレスと呼ばれます。
例を通して彼らの役割について話しましょう:
会社Aのイントラネットには、ネットワークセグメントが192.168.1.0/24の100台のコンピューターがあります。一部のコンピューターはインターネットにアクセスする必要がありますが、イントラネットアドレスはインターネットにアクセスできません。私は何をすべきか?
同社は、ファイアウォールに接続するためにUnicom専用回線を利用しました。専用回線のIPアドレスは58.1.1.1です。現時点では、内部ネットワークの192.168.1.xアドレスの一部をNAT経由で58.1.1.1に変換することで、インターネットにアクセスできます。
ここに表示されている場合、まだパズルがいくつかある場合
ここにはもっと単純で失礼な説明があります
3枚の写真で彼らの原則と違いを直接説明してください:
静的NAT:
最も重要な機能は1対1であり、静的に指定されます(内部ネットワークIPは外部ネットワークIPに対応します)。これは、内部ネットワークサーバーのIPアドレスを外部ネットワークIPにマップするためによく使用されます。
動的NAT:
特徴は、複数の内部ネットワークIPで構成されるアドレスプールが、複数の外部ネットワークIPで構成されるアドレスプールを指していることです。内部ネットワークIPが外部ネットワークにアクセスする必要がある場合、外部ネットワークIPアドレスは外部ネットワークIPアドレスプールから取得されます(今回取得されるIPアドレスはそれぞれ異なる場合があります)
2つのアドレスプール内のIPの数は異なる場合があります
PAT:
特徴は、複数のイントラネットIPアドレスが同じ外部ネットワークIPアドレスの異なるポートを指すことであり、外部ネットワークIPの異なるポートにアクセスすることで内部ネットワークIPにアクセスできます。
例:192.168.1.1-> 58.1.1.1:2233 192.168.1.2–> 58.1.1.1:2234
パブリックアカウントに従ってください: ネットワークテクノロジープラットフォーム 、返信 ' データ 」ビデオ、トレーニングチュートリアル、ラボマニュアル、および電子書籍を入手してください。