NAT

NAT network address translation 网络地址转换

把 ip 数据包 报头中的 ip 转换为了另外一个 ip 地址的过程.

一对一 NAT: (静态 NAT) 把局域网的某个 IP 映射为公网 IP..

扫描公网地址. 相当于扫描内网 IP 的那台电脑..

虚拟服务器: 只转发指定的端口 到 内网 IP.

一对一 NAT:

比如ITR公司有

  • 两个公网 ip: 201.111.111.111 和 202.222.222.222
    • 两个服务器 : Web 服务器: 192.168.1.111 和 Mail 服务器:192.168.1.222

      这时候 就可以把: 201.111.111.111 → 192.168.1.111 202.222.222.222 → 192.168.1.222

H3C ER3200 NAT设置

前提:

  1. 先把 域名 解析到 路由器上的公网 IP. (添加 A 记录)
    1. 路由器:开启 NAT 地址转换.

    2. 一对一 NAT 和 虚拟服务器 只需要选择一个设置 就能成功.

      一对一 NAT: (因为路由器有多个外网 IP, 所以要选择一个外网 IP.) 添加一行: 启用: 打钩 内网 IP → 172.19.16.72 (你要搭建WEB服务的电脑IP) 公网 IP → 210.22.92.254 出接口 → Wan1 (也就是公网 IP 210.22.92.254 在路由器上的接口)

    3. **虚拟服务器: 服务名称: 随便 方便自己识别. 外部端口:443-443

      因为内部网页搭建是是 HTTPS 所以端口是443.不是80 内部端口:443-443 默认情况下 外部端口和内部端口是一样的. 内部服务器: 172.19.16.188
      内网WEB服务器的 IP. 启用:打钩.

  2. 配置动态地址转换 配置 DMZ 主机 二选一. 必须.

  3. 配置 内部服务器

    把外部地址和端口 映射到内部私有地址和端口上. 使得外部能访问 内部服务器.

端口映射 / 端口转发 / 虚拟服务器 :

自己设计了一个网站. 输入 Localhost 自己可以看到,但是别人就不能 输入 127.0.0.1 自己可以看到,但是别人就不能 只能进行端口映射了.

端口映射过程: 你家在 一个小区的 2楼219. 你朋友来找你,只找到小区.不知道几楼几号. 问保安.保安告诉他具体地址. 你朋友找到你.

端口映射很简单: 假如要映射一台 172.19.16.188的 WEB 服务器. 只需把 172.19.16.188 和 TCP 端口80 填到路由器的端口映射表中就可以了,

端口:

这里指软件形式的端口, 不是硬件交换机.路由器上的硬件I/O 端口. 一台服务器 可以是邮件服务器 也可以是 WEB 服务器. 也可以是 FTP 服务器. 为什么一台电脑能提供这么多服务呢? 这就是端口的作用. 一台电脑通过不同的端口,与外界进行 互不干扰的通信.

端口映射:: 动态映射 + 动态映射

动态端口映射 (网关的工作原理) 内网的电脑 要上网 就要端口映射.

例: 内网的电脑A:要访问 taobao.

  1. A向网关 发送数据包: 包头:新浪的 ip 端口 + A的 IP 和端口.
    1. 本地网关:
      • 把 A的 IP 和端口 替换成自己的公网 IP 和一个未使用的端口!!
        • 记下这个映射关系.给以后转发数据包使用.
          • 把数据包给 taobao.
            1. taobao 服务器:
              • 收到信息 做出反应.
              • 发送数据到 NAT 网关的那个未使用的端口.
            2. 本地网关:
              • 把数据 转发给 局域网中的A电脑.

                当连接关闭时, NAT 就会释放这个端口 给别人用. 动态映射 其实也就是 NAT 网关的工作方式.

静态端口映射:

  1. 在网关上开放一个固定的端口,
    1. 设定这个端口收到的数据要转发给内网的哪个 IP 和端口.

      这个端口会一直存在. 这样就可以让公网主动访问内网的一个电脑.

DMZ 隔离器 / 非军事化区.

DeMilitarized Zone

为了解决:安装防火墙后.外部网络 不能 访问内部服务器的问题.而设立一个 非安全系统 和 安全系统之间的 缓冲区域. 这个区域位于 企业内部网络 和 外部网络之间的 小网络区域内.

在这个小网络区域 可以放一些 必须公开的服务器设施. 如: Web 服务器 FTP 服务器.和 论坛 等等. 通过 这样一个 DMZ 区域,更加有效的保护了内部网络. 比起一般的防火墙 又多了一层保障.

端口映射 和 DMZ 区别: **DMZ : 映射所有端口. 自己把主机暴露在网关中.比端口映射方便 但是不安全

**端口映射: 映射指定端口.

端口触发: (内部往外 发数据 )

*应用程序使用特定的端口(触发端口)向外建立建立连接时,路由器将外部连接转发到内部指定的端口(转发端口)上。 触发端口和转发端口都可以是一个端口范围,如5000-6000。 但不同于端口转发的是,转发的建立是在触发端口产生一定流量后造成的,即触发后才产生端口转发。 一旦触发条件不成立,转发也会结束。

这适合于一些类型的网络游戏,P2P下载工具。因为直接使用端口转发的话,可能会造成一定的安全威胁(将自己的某些端口一直暴露在外网上)。