企业官网建设流程全解析

做手机网站一般要多少钱,建设云个人服务平台登录入口,网站开发及app开发报价单,WordPress搭建邮件服务器作者#xff1a;chen-trueqq.com仅供学习交流#xff0c;如有错误恳请指出#xff01;一、NAT常见分类根据设备实现和场景应用#xff0c;NAT的分类方式有很多种。下面给出几种常见且工程上好用的分类方式#xff08;不同方式彼此正交#xff0c;可组合出现#xff0c;比…作者chen-trueqq.com仅供学习交流如有错误恳请指出一、NAT常见分类根据设备实现和场景应用NAT的分类方式有很多种。下面给出几种常见且工程上好用的分类方式不同方式彼此正交可组合出现比如静态SNAT、动态SNAT、DNAT端口映射等。1按改哪一边字段分类·SNATSource NAT源地址转换在一次NAT处理过程中修改报文的源IP可选同时修改源端口号。典型场景私网主动访问公网。·DNATDestination NAT目的地址转换在一次NAT处理过程中修改报文的目的IP可选同时修改目的端口号。典型场景服务发布/端口映射公网主动访问私网。·Twice NAT/双向NAT在一次NAT处理中同时修改报文的源IP和目的IP可选同时修改源/目的端口号。典型场景重叠网段互访、特定安全/策略转发需求。2按是否改端口号分类·地址转换Basic NAT/Address-only NAT在一次NAT处理过程中仅修改报文IP源/目IP不修改端口号。常见于静态1:1地址映射、或仅做地址改写的场景。·NAPT/PAT端口复用/端口改写在一次NAT处理过程中既修改报文IP也修改端口号。常见于多对一/多对少场景依靠源端口复用区分不同连接也可用于端口映射场景改目的端口。注意不同资料/厂商对PAT/NAPT/端口映射等术语存在混用。工程上常见的用法是·出网场景中SNAT若伴随源端口复用/改写多对一/多对少常被称为SNAT NAPT或PAT·入站服务发布中DNAT若伴随目的端口改写通常直接称为端口映射本质上仍属于DNAT的一种实现方式。与其纠结名词不如明确NAT操作实际改写了哪些字段源/目的IP、源/目的端口这样才有助于我们把握住核心。3按映射关系分类地址/端口怎么分配① 静态NATStatic NAT映射关系预先配置且长期固定。常见形态包括·静态SNAT固定源地址映射192.168.1.1 - 203.0.113.1、192.168.1.2 - 203.0.113.2。·静态端口映射203.0.113.1:80 - 192.168.1.1:8080、203.0.113.1:2222 - 192.168.1.2:22。② 动态NATDynamic NAT映射关系在会话建立时从公网地址池临时分配会话结束后回收同一个私网地址在不同时间可能被映射为不同的公网地址。例如T1时刻192.168.1.1 - 203.0.113.1会话结束后回收T2时刻同一主机可能被分配为192.168.1.1 - 203.0.113.2。说明动态分配常见为“地址池1:1”但当公网地址不足时很多实现会进一步叠加端口复用演化为“动态SNAT NAPT”。下面我将针对不同的NAT应用场景分析该选用何种NAT配置。二、私网-公网场景如下图所示一台设备A位于私网内另一台设备B位于公网内现在两台设备需要互访。图 拓扑场景1设备A主动访问设备B私 - 公先说结论要想实现私网对公网的主动访问需要在私网出口处配置NAT网关进行SNAT可叠加NAPT。原因设备A的源地址是私网IP如192.168.1.1私网IP在公网上是不可路由的。设备A访问设备B时虽然理论上去程报文能转发到公网甚至达到设备B因目的IP是公网IP可路由但设备B的回包却无法根据路由到达设备A。注意现实里公网网络经常会直接丢弃源地址为私网IP的报文源地址过滤/反欺骗导致在实际网络中设备A的报文甚至到达不了设备B。因此必须在私网出口处部署NAT网关由NAT网关把源私网地址改为公网可达地址让公网设备的回包能回到该NAT网关回包再由NAT网关依据会话/映射表还原并转回给私网设备。家庭/企业上网里几乎都是这种场景。图 设备A主动访问设备BSNAT图 设备A主动访问设备BSNAT 源端口复用NAPT注意本场景中SNAT可采用静态方式固定映射或动态方式地址池当公网地址不足时常叠加源端口复用。场景2设备B主动访问设备A公 - 私公网主动连入私网这在互联网业务里并不常见但在运维/监控/远控等场景中很常见。先说结论要想实现公网对私网的主动访问需要私网侧提供一个“公网入口私网出口”在私网出口处配置NAT网关进行DNAT端口映射。原因设备A使用私网IP私网IP在公网上不可路由。公网设备B发起连接时只能访问私网出口的公网地址/端口例如1.1.1.1。报文到达NAT网关后NAT网关将报文的目的地址/端口改写为设备A的真实私网地址/端口再转发给设备A。当设备A回包时NAT网关会根据会话/映射表对回包进行反向改写使公网设备B看到的通信对端始终是公网入口公网IP:映射端口从而保证连接闭环。图 设备B主动访问设备ADNAT图 设备B主动访问设备A端口映射场景3设备A/B不定时互相主动访问如果两端都要“不定时互相主动访问”A有时主动连BB有时主动连A则NAT网关需要同时配置·出方向的SNAT必要时叠加源端口复用NAPT·入方向的DNAT端口映射。相当于把本小节的场景1和场景2综合起来。三、私网-公网-私网场景如下图所示两台设备A/B均位于私网内通过公网相连现在两台设备需要互访。图 拓扑场景1设备A主动访问设备B说明在没有VPN/隧道的前提下设备A访问设备B时应访问NAT网关B的公网入口公网IP:端口由网关B通过DNAT端口映射转入私网设备B。因此需要NAT网关A配置出方向的SNAT可叠加源端口复用NAPTNAT网关B配置入方向的DNAT端口映射。图 设备A主动访问设备B仅地址转换图 设备A主动访问设备B叠加端口转换场景2设备B主动访问设备A说明与场景1对称设备B访问设备A时应访问NAT网关A的公网入口公网IP:端口由网关A通过DNAT端口映射转入私网设备A。因此需要NAT网关B配置出方向的SNAT可叠加源端口复用NAPTNAT网关A配置入方向的DNAT端口映射。图 设备B主动访问设备A仅地址转换图 设备B主动访问设备A叠加端口转换场景3设备A/B不定时互相主动访问如果两端都要“不定时互相主动访问”最典型的配置就是·两边NAT网关都要配置出方向的SNAT必要时叠加源端口复用NAPT让本端私网能出互联网、回包能回来·两边NAT网关都要配置入方向的DNAT端口映射让对端能“主动打进来”访问本端某个服务。也就是说每个网关同时承担“SNAT”和“DNAT”两种角色相当于把本小节的场景1和场景2综合起来。图 总结