上周去给一个客户安装Juniper防火墙。客户的需求也不多,但在网络中有个路由器要对网络(一个大的写字楼网络)中的小LAN的网关(现在就是我们的Juniper)IP地址和MAC地址进行捆定。没有在路由器定义的IP地址和MAC地址组合是不能通信到Internet的。
在Juniper防火墙一定是要用NAT这个技术的。
NAT——在网络层对IP地址进行转换啊!我一直的理解啊!这样的理解也是没有错啊! 但问题是我对NAT技术的一直所谓的深刻的理解,直接导致我的的下一个不正确的想法出来了!惯性的认为在防火墙的untrust端口(三层的路由模式)对数据包进行NAT后,只会对数据包的网络层的IP地址进行转换,而不会对数据包的MAC进行什么处理了。结果错误的对出现的问题(Jnuiper防火墙后面的计算机不能上Internet了)做出的解决方法。
通过网友的帮助,帮我解除了困惑。
不能及时的对问题提出解决方法的一大原因是对以下的一个网络知识点(MAC在三层边界是如何变化),没有掌握好所致。现在好好复习一下啊!
数据包在通过三层边界时,会对数据包的MAC进行“72”变的。
而IP地址变不变是要看传输过程中有没有NAT技术。
而数据包的MAC地址的变化就很容易了,遇三层边界就变啊!!
感言:
对网络基本原理的掌握,是解决网络中出现的问题的关键。
在实践中对理论的灵活的运用,是需要时间和心思去培养的。
转载于:https://blog.51cto.com/zhouy/93449