双向地址转换
双向地址转换顾名思义就是将数据包的源地址和目的地址都进行改写。那么什么时候会用到这种场景呢?
比如总公司有一个办公网,网段是172.29.0.0,后来公司规模扩大组建了分公司,分公司办公网的网段是172.16.0.0。分公司的员工要访问总公司的服务器获取一些文件资料。如何实现两张网的通信呢?
如果相互指静态路由或者运行动态的路由协议,肯定是可以实现两个网的联通。但是这样做其实就把两个网合成了一个网,失去了隔离的效果了。如果要想让分公司办公网没有总公司办公网段的路由,让总公司办公网没有分公司网段的路由,那么这时候就可以在中间加一个防火墙,做双向地址转换。
比如员工172.16.1.1想访问总公司的服务器172.29.1.1,那么就把这个服务映射到防火墙上。
将员工访问的业务域名解析成172.16.2.1,数据包从电脑上出来,源是172.16.1.1,目的是172.16.2.1,到了防火墙上,防火墙一看目的地址和这条双向nat进行匹配,就改写了数据包变成源是172.29.2.1,目的是172.29.1.1
到了server后,server回报,源是172.29.1.1目的是172.29.2.1。到了防火墙后防火墙改写数据包源是172.16.2.1,目的是172.16.1.1。这样就完成了一次通信。
可以看到数据包经过防火墙后的源和目的都发生了变化,这样就可以让两个不同的网络,在没有对方路由的情况下通信。前提是需要在防火墙上为每个业务创建一条策略。如果通信的需求太多的话,还是相互导入路由,彻底打通网络比较方便。
本文暂时没有评论,来添加一个吧(●'◡'●)