网络出口设计
本章内容主要讲解了网络出口设计的相关知识点,包括 NAT 背景、NAT 术语、静态 NAT、动态 NAT、NAPT、处理地址空间重叠的网络、TCP 负载均衡、配置 NAT、使用策略路由和配置基于策略的路由选择等。
NAT 背景:
* 使用单个 IP 地址支持基本的 TCP 负载分配
* 没有足够的全局唯一的 IP 地址供网络中的主机用来连接到 internet
* 更换 internet 服务提供商后,需要对网络进行重新编址
* 合并两个使用重叠地址空间的内部网络
NAT 实施:
* NAT 优点:节省公共地址、可减少编址方案重叠的情况发生、将私有网络转化成公网时,无需要重新进行编址
* NAT 缺点:NAT 会增加延迟、无法进行端到端的 IP 跟踪、NAT 使某些在有效负载中使用 IP 地址的应用无法运行
NAT 术语:
* 内部 / 外部:IP 主机相对于 NAT 设备的物理位置
* 本地 / 全局:用户相对于 NAT 设备的位置或视角
* 内部本地 IP 地址:分配给内部网络中的主机的 IP 地址,通常来自 RFC 1918 指定的私有地址空间
* 内部全局 IP 地址:内部全局 IP 地址,对外代表一个或多个内部本地 IP 地址,通常来自全局惟一的地址空间
* 外部全局 IP 地址:外部网络中的主机的 IP 地址,通常来自全局可路由的地址空间
* 外部本地 IP 地址:在内部网络中看到的外部主机的 IP 地址,通常来自 RFC 1918 定义的私有地址空间
* 简单转换条目:将一个 IP 地址映射到另一个 IP 地址(通常被称为网络地址转换)的转换条目
* 扩展转换条目:将一个 IP 地址和端口对映射到另一个 IP 地址和端口(通常被称为端口地址转换)对的转换条目
静态 NAT、动态 NAT 和 NAPT:
* 静态 NAT:按照一一对应的方式将每个内部 IP 地址转换为一个外部 IP 地址,这种方式经常用于企业网的内部设备需要能够被外部网络访问到时
* 动态 NAT:将一个内部 IP 地址转换为一组外部 IP 地址(地址池)中的一个 IP 地址
* NAPT:动态 NAT 的一种实现形式,NAPT 利用不同的端口号将多个内部 IP 地址转换为一个外部 IP 地址,也称为 PAT 或端口复用 NAT
处理地址空间重叠的网络:
* 当在内部网络中使用的 IP 地址是其它网络中已经使用的已注册 IP 地址时,NAT 路由器就需要维护一张查找表,以便用惟一的 IP 地址来替换这些已注册的 IP 地址
TCP 负载均衡:
* NAT TCP 负载均衡只适用于 TCP 连接,对于非 TCP 连接请求,NAT 进程将不会对其进行转换
配置 NAT:
* 配置静态 NAT 需要在路由器上配置 IP 路由选择和 IP 地址,至少指定一个内部接口和一个外部接口,然后使用全局命令 ip nat inside source static local-ip { interface interface | global-ip } 配置静态转换条目
* 配置静态端口地址转换需要在路由器上配置 IP 路由选择和 IP 地址,至少指定一个内部接口和一个外部接口,然后使用全局命令 ip nat inside source static { tcp | udp } local-ip local-port { interface interface | global-ip } global-port 指定静态 PAT 条目
* 配置静态外部源地址转换需要在路由器上配置 IP 路由选择和 IP 地址,至少指定一个内部接口和一个外部接口,然后使用全局命令 ip nat outside source static global-ip global-port local-ip local-port 配置静态转换条目
