【網管學堂】網管理論與實作-NAT是什麼?NAT設定教學
NAT技術
提了這麼多次的NAT技術,那他到底是怎麼運作的? 其實簡單的說以剛剛套用到Google搜尋的例子,我方在網路上的IP為『10.10.10.1』,這是在【網際網路上】(註1),實際上在【區域網路】(註2)內,我的IP可能是”192.168.1.2”,而【區域網路】內的另一位成員可能是"192.168.1.3”,或者是任何符合剛剛提到的IPv4的組成格式,但彼此間不重複,如果這樣說太艱深,那我們就舉個更簡單的例子。假設我們家庭內的成員是小陳、小張、小葛、小呂、小林、小胡,而無論我們在家叫什麼名字,對外我們則統稱我們都是『周董』,外面的人看到我們也都叫我們周董,因此只要周董這個名字是我們專用的,我們要在家裡新增幾個成員都沒問題。
註1:不管是我們上網瀏覽資料、搜尋、上FB、看Youtube、玩遊戲,全部都是在網際網路運行
註2:還沒到對外部網際網路,家庭、學校、宿舍、網咖、公司,彼此電腦都連在同一個區域內的網路設備上,彼此可互通,我們稱之為區域網路
如果您有明白剛剛的理論,那一定能想到一個問題,假如有人要寫信給我們家的成員小葛,但信上只會寫給周董 (因為我們對外的名字全部都是此名),那我們收到信後,怎麼知道到底要給誰的呢?
這問題就會應用到我們開頭說到的IP Routing技術,而具體該如何設定呢,以下我們就來看看筆者的一段示範,以下範例為國內某知名廠牌路由器,實際設定只要你懂觀念,差異只在於設定的方式不同!
NAT設定
以此為範例解釋:
圖1. NAT設定 (LAN設定)
此圖我們分為三個階段講解:
首先我們可以看到WAN1 & WAN2為我們申請好的外部IP,為我們自己專屬的,先將網路設定好之後 (路由器WAN設定不在此述),回到LAN (區域網路)的部分,首先圖1的第一部分,由於我們要先將Getway設定好,所以先將此路由器的IP位置設上去,此範例路由器的IP為『192.168.20.254』,接著第二部分我們可以看到設定了『192.168.30.254』~『192.168.60.254』,加上剛剛的.20的區域,意味著我們將192.168.20~192.168.60全都設定為我們區域網路內的範圍,我們稱之為【切分網段】(註3)可以更少當然也可以更多,全看網管者如何設定,至於切分網段用意有很多考量,筆者舉個最簡單的例子,假設我要將公司每個部門的IP設定分開,便可以用此方式,除了在網管日誌上看IP就可以先判斷是哪個部門的使用者,也可以一次對某個往段作控管,例如圖1裡,第三部分192.168.60的網段我將它切分給VPN的使用者使用,但我又要限制VPN的使用者不可進入公司某接共用資料夾,因此我可在路由器裡設定,只要是網段為.60的網段,我就禁止它進入存放重要資料的主機,就達到了一個網路管理的目的。
註3:將IP切分為前面一樣後面不同的IP ,通常會是前兩位數一樣,後兩位數或最後位數不同
圖2. 靜態路由設定
同時,若我們希望我們所切分好的網段,在區域網路內是彼此能互通的,那我們就必須在靜態路由裡來將我們剛剛設定好的網段全都設定進去,由圖2範例來看,第一個部分為WAN1與WAN2,由於這是我們所申請的外部網路IP,所以本身就必須在路由器裡將它設定進去,而第二部分可以看到我們將192.168.20~192.168.60的網段全都設定好了,以告訴路由器這些網段在區域網路內是可以互通的,若無此設定,則我.20網段的採購部主機,想將資料開放給.30網段的會計部同仁進來看,則會找不到(網路芳鄰的概念)。
這樣我們就將NAT的設定完成了,因此無論我們的IP是設192.168.20.100~200,還是192.168.30.100~200,對外的IP都只會是我們申請的WAN1或WAN2的真實IP (註4),就可以省下了非常多的IP數量,大大延長了IPv4的使用年限!
註4:我們像ISP業者租用的IP,意即網際網路上顯示的IP
※範例的所有IP皆為虛構,非實際主機IP
想了解更多的網路管理實作可參考相關的證照課程:
網路工程師證照:
- Cicso CCNA
- Cicso CCNA Enterpris
- Cisco CCNP Security
申請網管課程優惠及課表:
https://www.pcschoolonline.com.tw/2017/introcourse.aspx?courseid=NEWClass7