在防火墙上查询nat转换结果_NAT差点搞死个人，看了这个，你的客户一定茅塞顿开.....

我终于知道为什么要学习原理了&＃xff0c;原来是为了不让客户怼....
本文关键字&＃xff1a;NAT
出自公众号&＃xff1a;工程师江湖

一、背景

不用多说&＃xff0c;作为一个工程师&＃xff0c;被怼是很平常的事情&＃xff0c;话说&＃xff0c;谁TM欠揍&＃xff0c;愿意被人怼&＃xff1f;

做为一个耿直Boy&＃xff0c;我捡起了我好久不看的原理&＃xff0c;想怼我&＃xff0c;我就拿技术说话&＃xff0c;就酱紫。

这次说比较常用的&＃xff1a;

• NAT是什么鬼&＃xff1f;
• 源NAT&＃xff0c;目的NAT又是什么玩意&＃xff1f;
• 怎么把上面两点融会贯通&＃xff0c;防止被客户怼住。

曾经的某年某月某日&＃xff0c;那天云淡风轻&＃xff0c;然而没想到的是&＃xff0c;狂风暴雨已然潜藏在背后&＃xff0c;我们的故事就从这里开始&＃xff01;

一阵叮铃铃的声音传来&＃xff0c;侧眼一看&＃xff0c;我心塞&＃xff0c;这是客户的电话&＃xff0c;思维一阵转动&＃xff0c;无果&＃xff0c;接听。

听完知道了&＃xff0c;实现映射&＃xff0c;NAT&＃xff0c;等于简单&＃xff0c;没错&＃xff0c;就是简单啊。

然而&＃xff0c;忘记了&＃xff0c;还需要给客户讲&＃xff0c;此时心烦意乱的战斗已然拉开序幕。

A:恩&＃xff0c;做PAT&＃xff0c;端口映射&＃xff0c;对了我们这边既有服务器和终端&＃xff0c;需要做源NAT和目的NAT。

B:PAT不行吗&＃xff0c;就做个PAT就够了&＃xff0c;让我们的IP出去转换一下。

A&＃xff1a;是这样的&＃xff0c;NAT分为源NAT和目的NAT&＃xff0c;源NAT就是对于终端来说的。

把我们的私有网段转换为公网的某一个IP地址&＃xff0c;目的NAT是针对服务器这种设备来说的&＃xff0c;把我们的服务器映射为一个公网地址。

对方访问这个公网地址就相当于是访问我们的服务器&＃xff0c;而且他们也不知道我们的私网服务器地址&＃xff0c;这样安全。

B:这样啊&＃xff0c;恩&＃xff0c;那就这样做&＃xff0c;那我们的路由怎么做?

A:这个好做啊&＃xff0c;在我们各自的私网里面把路径指向映射后的IP网段就行。

B:那我们两端映射的地址需要在同段不&＃xff1f;

A&＃xff1a;不需要的&＃xff0c;那个映射的地址我们自己知道就行&＃xff0c;随便设置&＃xff0c;不用关心哪一个段&＃xff0c;只要各自内网可以到达就行。

B:ok。那这个策略怎么放行啊&＃xff1f;这边只能允许某些网段或者地址通过&＃xff0c;要不要做访问控制策略。

A&＃xff1a;不用管的&＃xff0c;我们在做NAT转换的时候&＃xff0c;在里面实际就已经指定好了&＃xff0c;这个已经有点访问控制策略的意思了&＃xff0c;叫法不一样&＃xff0c;但本质做到了。

B:给我讲讲我们的IP地址怎么出去的。

A&＃xff1a;首先查路由表&＃xff0c;有路由&＃xff0c;ok&＃xff0c;下一步查看NAT&＃xff0c;符合就进行转换&＃xff0c;对了另外会有一个多协议应用&＃xff0c;所以我们在开启detect 就行&＃xff0c;比如ftp。

B&＃xff1a;为什么啊&＃xff1f;

A&＃xff1a;因为FTP实际上使用了两个端口20和21,需要检测报文&＃xff0c;开启后就会检测。

当晚开始了痛&＃xff08;不&＃xff09;苦&＃xff08;想&＃xff09;的 割&＃xff08;加&＃xff09;接&＃xff08;班&＃xff09;。

忘记说了&＃xff0c;这是在防火墙上面做的配置。

来个图片&＃xff1a;

A:我们的防火墙是做的热备&＃xff08;主备&＃xff09;&＃xff0c;你们设备是怎么做的呢&＃xff1f;

B&＃xff1a;我们也做了备份&＃xff0c;不过是基于静态路由实现的主备。

A&＃xff1a;这样啊&＃xff0c;那我的vrrp主地址是X.X.X.X。

B&＃xff1a;ok&＃xff0c;开始搞。

几个小时以后&＃xff08;他们在做内网到公网的路由&＃xff0c;虽然有点长吧&＃xff09;

B:我们要做一个配置&＃xff0c;把静态路由和BFD绑在一起。

A&＃xff1a;没有必要吧。

B&＃xff1a;对方很强势&＃xff0c;无视。

A:算了&＃xff0c;无所谓&＃xff0c;做就做呗&＃xff0c;你们的local和remote规定没有?

B:好了&＃xff0c;我们local是1111&＃xff0c;你们的loca就用1112。

B:没起来&＃xff0c;配置做对没有&＃xff1f;

A:心里mmp&＃xff0c;给他发了个截图&＃xff08;怎么可能做错&＃xff0c;你们咋那么硬呢&＃xff1f;&＃xff09;

B:没错啊&＃xff0c;等会&＃xff0c;我们讨论下

对面一阵叽哩哇啦的声音传来&＃xff0c;果断挂断。

B:接口down——up一下看看。

A:行&＃xff0c;你们说了算。

B:还是没起来。

B:找研发&＃xff0c;抓一下你们的配置。

我们内部一阵交涉&＃xff0c;可以。

几个小时后&＃xff0c;此时晚上8点&＃xff0c;眼瞅着地铁就没了。

反正一堆破事&＃xff0c;不想说了。

bfd使用的两种现象&＃xff1a;

在此场景&＃xff0c;首先看下防火墙的配置&＃xff0c;下面在基于这个配置描述。

• 防火墙侧因为使用了vrrp&＃xff0c;所以如果对端下一跳指向的是vrrp虚地址&＃xff0c;那么BFD配置需要通过出接口指定&＃xff1b;
• 对端指向的是防火墙的物理接口实地址&＃xff0c;那么BFD要同时通过出接口和源接口地址&＃xff08;VRRP地址&＃xff09;

BFD是这样做的&＃xff1a;

BFD up了&＃xff0c;你以为搞定了&＃xff1f;

还没有&＃xff0c;TM的还有个测试&＃xff0c;表示一分钟都不想待了。。。

我是这么想的&＃xff0c;但是实际上&＃xff0c;我老老实实的待在那里做了测试。

这个说来话长&＃xff0c;NAT是个省心鬼。

NAT可以让你使用公共IP去上网&＃xff0c;见识更大的世界&＃xff1b;

NAT可以让你把自己藏起来&＃xff0c;防止被人爆光&＃xff1b;

NAT可以让你..........&＃xff08;自己想去&＃xff09;

有点不好意思&＃xff0c;凑不成排比句&＃xff0c;你要是凑成&＃xff0c;后台回复下给我瞅瞅。

其实我想说防止被客户怼的情况就是把NAT研究清楚。