网络地址转换(NAT)的简介
网络地址转换(NAT)的简介
首先,要了解NAT 是一个过程,而不是一个结构化协议!
1、IP NAT术语
内部本地网络指的是连接到属于私有LAN的路由器接口的网络。对于内部网络中的主机发送到外部目的地的分组,必须对其中的IP地址进行转换。
外部全局网络指的是与LAN外部的路由器相连的网络,它们不能识别LAN中主机的私有地址。内部本地地址指的是内部网络主机配置的私有IP地址。使用这种地址的分组离开内部网络前,必须对其地址进行转换。
内部全局地址指的是外部网络看到的内部主机的IP地址,这是转换后的IP地址。
外部本地地址是本地网络发送分组时使用的目标地址,它通常与外部全局地址相同。
外部全局地址是外部主机实际使用的公有IP地址,这种地址是从全局可路由地址空间分配的。
2、静态和动态NAT
使用NAT的优点之一是,无法从公共Internet直接访问主机。然而,如果需要从Internet访问内部网络中一台或多台主机运行的服务以及其他设备,该怎么办呢?
从Internet访问本地主机,方法之一是给该设备指定静态地址转换。静态转换可确保特定主机的私有IP地址总是转换为同一个全局IP地址,还将确保其他本地主机的IP地址不会转换为该注册地址。这称为静态NAT。
动态NAT指的是路由器被配置成动态地给内部私有网络设备分配全局地址池中的IP地址。只要会话没有关闭,路由器就将监控该内部全局地址,并向发起会话的内部设备发送确认。会话结束时,路由器将内部全局地址归还到地址池。
动态NAT让内联网中使用私有IP地址的主机能够访问公共网络(如Internet);而静态NAT让公共网络中的主机能够访问私有网络中的特定主机。这意味着配置NAT以便用户能够访问外部网络时,应配置动态NAT;如果希望外部主机能够访问内部网络中的设备,应使用静态NA T。
必要时,可同时部署这两种NAT方法。
3、基于端口的网络地址转换(PAT)
如果机构注册的IP地址池很小甚至只有一个IP地址,仍可以通过NAT重载(端口地址转换(P AT))机制,使多个用户可以同时访问公共网络。
PAT将多个本地地址转换为一个全局IP地址。当源主机向目标主机发送消息时,将结合使用IP 地址和端口号来跟踪与目标主机的会话。在PAT中,网关将分组中本地源地址和端口转换为一个全局IP地址和大于1024的端口号。虽然所有主机的IP地址都将转换为同一个全局IP地址,但与会话相关联的端口号是唯一的。
响应数据流将发送到转换后的IP地址和主机使用的端口。路由器有一个表,其中列出了被转换为外部地址的内部IP地址和端口号组合。响应数据流被发送到外部地址,然后被转发到合适的内部地址和端口号。由于可用的端口超过64000个,因此路由器不太可能耗尽端口号。
4、以下是实验实例:
(一)静态NAT
R1#sh run
Building configuration...
Current configuration : 943 bytes
!
version 12.4
service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 10.39.140.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 221.100.100.1 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
ip route 221.100.200.0 255.255.255.0 FastEthernet0/0 !
!
ip http server
no ip http secure-server
ip nat inside source static 10.39.140.2 221.100.200.2 ip nat inside source static 10.39.140.3 221.100.200.3 ip nat inside source static 10.39.140.4 221.100.200.4 !
no cdp run
!
!
!
!
!
control-plane
!
!
!
line con 0
logging synchronous
transport preferred none
line aux 0
line vty 0 4
!
!
end
R1#sh ip na
R1#sh ip nat
% Incomplete command.
R1#sh ip nat ?
nvi NVI information
statistics Translation statistics
translations Translation entries
R1#sh ip nat s
R1#sh ip nat statistics
Total active translations: 3 (3 static, 0 dynamic; 0 extended)
Outside interfaces:
FastEthernet0/1
Inside interfaces:
FastEthernet0/0
Hits: 29 Misses: 65
CEF Translated packets: 93, CEF Punted packets: 0
Expired translations: 66
Dynamic mappings:
Queued Packets: 0
R1#sh ip nat t
R1#sh ip nat translations
Pro Inside global Inside local Outside local Outside global --- 221.100.200.2 10.39.140.2 --- ---
--- 221.100.200.3 10.39.140.3 --- ---
--- 221.100.200.4 10.39.140.4 --- ---
R1#sh ip rou
R1#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
C 221.100.100.0/24 is directly connected, FastEthernet0/1
S 221.100.200.0/24 is directly connected, FastEthernet0/0
10.0.0.0/24 is subnetted, 1 subnets
C 10.39.140.0 is directly connected, FastEthernet0/0
R1#
*Mar 1 00:18:26.431: NAT*: s=10.39.140.3->221.100.200.3, d=221.100.100.2 [61198] *Mar 1 00:18:27.079: NAT*: s=10.39.140.3->221.100.200.3, d=221.100.100.2 [61454] *Mar 1 00:18:27.151: NAT*: s=221.100.100.2, d=221.100.200.3->10.39.140.3 [61454] R1#
*Mar 1 00:18:27.823: NAT*: s=10.39.140.3->221.100.200.3, d=221.100.100.2 [61710] *Mar 1 00:18:27.919: NAT*: s=221.100.100.2, d=221.100.200.3->10.39.140.3 [61710] *Mar 1 00:18:28.567: NAT*: s=10.39.140.3->221.100.200.3, d=221.100.100.2 [61966] *Mar 1 00:18:28.687: NAT*: s=221.100.100.2, d=221.100.200.3->10.39.140.3 [61966] R1#
*Mar 1 00:18:29.263: NAT*: s=10.39.140.3->221.100.200.3, d=221.100.100.2 [62222] *Mar 1 00:18:29.407: NAT*: s=221.100.100.2, d=221.100.200.3->10.39.140.3 [62222] *Mar 1 00:18:29.983: NAT*: s=10.39.140.3->221.100.200.3, d=221.100.100.2 [62478] *Mar 1 00:18:30.059: NAT*: s=221.100.100.2, d=221.100.200.3->10.39.140.3 [62478]
VPCS 2 >p 221.100.100.2
221.100.100.2 icmp_seq=1 timeout
221.100.100.2 icmp_seq=2 time=218.000 ms
221.100.100.2 icmp_seq=3 time=235.000 ms
221.100.100.2 icmp_seq=4 time=312.000 ms
221.100.100.2 icmp_seq=5 time=329.000 ms
VPCS 2 >sh
NAME IP/CIDR GATEWAY LPORT RPORT
PC1 10.39.140.2/24 10.39.140.1 10001 21001
PC2 10.39.140.3/24 10.39.140.1 10002 21002
PC3 10.39.140.4/24 10.39.140.1 10003 21003
PC4 0.0.0.0/0 0.0.0.0 10004 30003
PC5 0.0.0.0/0 0.0.0.0 10005 30004
PC6 0.0.0.0/0 0.0.0.0 10006 30005
PC7 0.0.0.0/0 0.0.0.0 10007 30006
PC8 0.0.0.0/0 0.0.0.0 10008 30007
PC9 0.0.0.0/0 0.0.0.0 10009 30008
(二)动态NAT
原图在R1上配置动态NAT,由于ACL的设置,导致PC3无法PING通R2的F0/0端口:R1#sh run
Building configuration...
Current configuration : 920 bytes
!
version 12.4
service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 10.39.140.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 221.100.100.1 255.255.255.0 ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
ip route 221.100.200.0 255.255.255.0 FastEthernet0/0
!
!
ip http server
no ip http secure-server
ip nat pool jxw 221.100.200.2 221.100.200.4 prefix-length 24 ip nat inside source list 1 pool jxw
!
access-list 1 permit 10.39.140.2 0.0.0.1
no cdp run
!
!
!
!
!
control-plane
!
!
!
line con 0
logging synchronous
transport preferred none
line aux 0
line vty 0 4
!
!
end
R1#sh ip nat st
R1#sh ip nat statistics
Total active translations: 2 (0 static, 2 dynamic; 0 extended) Outside interfaces:
FastEthernet0/1
Inside interfaces:
FastEthernet0/0
Hits: 58 Misses: 95
CEF Translated packets: 152, CEF Punted packets: 0 Expired translations: 96
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 pool jxw refcount 2
pool jxw: netmask 255.255.255.0
start 221.100.200.2 end 221.100.200.4
type generic, total addresses 3, allocated 2 (66%), misses 0
Queued Packets: 0
VPCS 1 >sh
NAME IP/CIDR GATEWAY LPORT RPORT
PC1 10.39.140.2/24 10.39.140.1 10001 21001
PC2 10.39.140.3/24 10.39.140.1 10002 21002
PC3 10.39.140.4/24 10.39.140.1 10003 21003
PC4 0.0.0.0/0 0.0.0.0 10004 30003
PC5 0.0.0.0/0 0.0.0.0 10005 30004
PC6 0.0.0.0/0 0.0.0.0 10006 30005
PC7 0.0.0.0/0 0.0.0.0 10007 30006
PC8 0.0.0.0/0 0.0.0.0 10008 30007
PC9 0.0.0.0/0 0.0.0.0 10009 30008
VPCS 1 >p 221.100.100.2
221.100.100.2 icmp_seq=1 time=375.000 ms
221.100.100.2 icmp_seq=2 time=313.000 ms
221.100.100.2 icmp_seq=3 time=250.000 ms
221.100.100.2 icmp_seq=4 time=250.000 ms
221.100.100.2 icmp_seq=5 time=297.000 ms
VPCS 2 >p 221.100.100.2
221.100.100.2 icmp_seq=1 time=390.000 ms
221.100.100.2 icmp_seq=2 time=203.000 ms
221.100.100.2 icmp_seq=3 time=390.000 ms
221.100.100.2 icmp_seq=4 time=360.000 ms
221.100.100.2 icmp_seq=5 time=343.000 ms
VPCS 3 >p 221.100.100.2
221.100.100.2 icmp_seq=1 timeout
221.100.100.2 icmp_seq=2 timeout
221.100.100.2 icmp_seq=3 timeout
221.100.100.2 icmp_seq=4 timeout
221.100.100.2 icmp_seq=5 timeout
R1#sh ip nat tran
Pro Inside global Inside local Outside local Outside global
icmp 221.100.200.3:57619 10.39.140.2:57619 221.100.100.2:57619 221.100.100.2:57619 icmp 221.100.200.3:57875 10.39.140.2:57875 221.100.100.2:57875 221.100.100.2:57875
icmp 221.100.200.3:58131 10.39.140.2:58131 221.100.100.2:58131 221.100.100.2:58131 icmp 221.100.200.3:58387 10.39.140.2:58387 221.100.100.2:58387 221.100.100.2:58387 --- 221.100.200.3 10.39.140.2 --- ---
--- 221.100.200.2 10.39.140.3 --- ---
R1#sh ip nat tran
Pro Inside global Inside local Outside local Outside global
icmp 221.100.200.3:57619 10.39.140.2:57619 221.100.100.2:57619 221.100.100.2:57619 icmp 221.100.200.3:57875 10.39.140.2:57875 221.100.100.2:57875 221.100.100.2:57875 icmp 221.100.200.3:58131 10.39.140.2:58131 221.100.100.2:58131 221.100.100.2:58131 icmp 221.100.200.3:58387 10.39.140.2:58387 221.100.100.2:58387 221.100.100.2:58387 icmp 221.100.200.3:58643 10.39.140.2:58643 221.100.100.2:58643 221.100.100.2:58643 icmp 221.100.200.3:58899 10.39.140.2:58899 221.100.100.2:58899 221.100.100.2:58899 --- 221.100.200.3 10.39.140.2 --- ---
icmp 221.100.200.2:61459 10.39.140.3:61459 221.100.100.2:61459 221.100.100.2:61459 icmp 221.100.200.2:61715 10.39.140.3:61715 221.100.100.2:61715 221.100.100.2:61715 --- 221.100.200.2 10.39.140.3
R1#sh run
Building configuration...
Current configuration : 920 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
ip cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0/0
ip address 10.39.140.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 221.100.100.1 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
ip route 221.100.200.0 255.255.255.0 FastEthernet0/0
!
!
ip http server
no ip http secure-server
ip nat pool jxw 221.100.200.2 221.100.200.4 prefix-length 24 ip nat inside source list 1 pool jxw
!
access-list 1 permit 10.39.140.2 0.0.0.1
no cdp run
!
!
!
!
!
control-plane
!
!
!
line con 0
logging synchronous
transport preferred none
line aux 0
line vty 0 4
!
!
end R1# sh ip nat s
Total active translations: 2 (0 static, 2 dynamic; 0 extended) Outside interfaces:
FastEthernet0/1
Inside interfaces:
FastEthernet0/0
Hits: 88 Misses: 125
CEF Translated packets: 212, CEF Punted packets: 0
Expired translations: 126
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 pool jxw refcount 2
pool jxw: netmask 255.255.255.0
start 221.100.200.2 end 221.100.200.4
type generic, total addresses 3, allocated 2 (66%), misses 0 Queued Packets: 0
(三)复用
在动态NAT基础上
R1(config)#ip nat inside source list 1 pool jxw overload
具体不再累述,Over !
网络地址转换
网络地址转换(NAT)简介 NAT概述NAT(Network Address Translation,网络地址转换)是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用IP 地址空间的枯竭。[1]说明:私有 IP 地址是指内部网络或主机的IP 地址,公有IP 地址是指在因特网上全球唯一的IP 地址。RFC 1918 为私有网络预留出了三个IP 地址块,如下: A 类:10.0.0.0~10.255.255.255 B 类:172.16.0.0~ 172.31.255.255 C 类:192.168.0.0~192.168.255.255 上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。NAT技术的产生虽然NAT可以借助于某些代理服务器来实现,但考虑到运算成本和网络性能,很多时候都是在路由器上来实现的。随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。事实上,除了中国教育和科研计算机网(CERNET)外,一般用户几乎申请不到整段的C类IP地址。在其他ISP那里,即使是拥有几百台计算机的大型局域网用户,当他们申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求,于是也就产生了NAT技术。NAT技术的作用借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP 地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。NAT将自动修改IP报文的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文进行修改,以匹配IP头中已经修改过的源IP地址。否则,在报文数据都分别嵌入IP地址的应用程序就不能正常工作。NAT技术实现方式NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。网络地址转换(NAT)的实现在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT。通常情况下,连接到用户内部网络的接口是NAT内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。1).静态地址转换的实现假设内部局域网使用的lP
nat转换原理
nat转换原理 NAT(Network Address Translation,网络地址转换)是一种将私有网络地址转换为公共网络地址的技术。在互联网中,公共网络地址是有限的,而私有网络地址则可以在局域网内自由使用。因此,NAT技术可以使得一个局域网内的多个设备共享一个公共网络地址,从而减少了公共网络地址的使用。 NAT技术的原理是在局域网和公共网络之间设置一个NAT设备,这个设备有两个接口,一个接口连接公共网络,另一个接口连接局域网。当局域网中的设备向公共网络发送数据包时,NAT设备会将源IP地址和源端口号改为自己的公共IP 地址和一个新的端口号,然后将数据包发送到公共网络中。当公共网络中的设备向局域网中的设备发送数据包时,NAT设备会将目标IP地址和目标端口号改为对应的局域网设备的私有IP地址和端口号,然后将数据包发送到局域网中对应的设备。 NAT技术有三种类型:静态NAT、动态NAT和PAT(Port Address Translation,端口地址转换)。静态NAT是指将一个私有IP地址映射到一个公共IP地址上,通常用于服务器等需要对外提供服务的设备。动态NAT是指将一个私有IP地址映射到一组公共IP地址中的一个,通常用于客户端设备。PAT是指将一个私有IP地址映射到一个公共IP地址和一个端口号上,通常用于多个客户端设备共享一个公共IP地址的情况。
NAT技术的优点是可以减少公共IP地址的使用,提高网络安全性,同时也可以隐藏局域网内的设备,防止被外部攻击。但是NAT技术也有一些缺点,比如会影响一些应用程序的正常使用,比如P2P应用程序、VoIP等,同时也会增加网络延迟和网络拥塞等问题。
网络地址转换(NAT)的简介
网络地址转换(NAT)的简介 首先,要了解NAT 是一个过程,而不是一个结构化协议! 1、IP NAT术语 内部本地网络指的是连接到属于私有LAN的路由器接口的网络。对于内部网络中的主机发送到外部目的地的分组,必须对其中的IP地址进行转换。 外部全局网络指的是与LAN外部的路由器相连的网络,它们不能识别LAN中主机的私有地址。内部本地地址指的是内部网络主机配置的私有IP地址。使用这种地址的分组离开内部网络前,必须对其地址进行转换。 内部全局地址指的是外部网络看到的内部主机的IP地址,这是转换后的IP地址。 外部本地地址是本地网络发送分组时使用的目标地址,它通常与外部全局地址相同。 外部全局地址是外部主机实际使用的公有IP地址,这种地址是从全局可路由地址空间分配的。 2、静态和动态NAT 使用NAT的优点之一是,无法从公共Internet直接访问主机。然而,如果需要从Internet访问内部网络中一台或多台主机运行的服务以及其他设备,该怎么办呢? 从Internet访问本地主机,方法之一是给该设备指定静态地址转换。静态转换可确保特定主机的私有IP地址总是转换为同一个全局IP地址,还将确保其他本地主机的IP地址不会转换为该注册地址。这称为静态NAT。 动态NAT指的是路由器被配置成动态地给内部私有网络设备分配全局地址池中的IP地址。只要会话没有关闭,路由器就将监控该内部全局地址,并向发起会话的内部设备发送确认。会话结束时,路由器将内部全局地址归还到地址池。 动态NAT让内联网中使用私有IP地址的主机能够访问公共网络(如Internet);而静态NAT让公共网络中的主机能够访问私有网络中的特定主机。这意味着配置NAT以便用户能够访问外部网络时,应配置动态NAT;如果希望外部主机能够访问内部网络中的设备,应使用静态NA T。 必要时,可同时部署这两种NAT方法。 3、基于端口的网络地址转换(PAT) 如果机构注册的IP地址池很小甚至只有一个IP地址,仍可以通过NAT重载(端口地址转换(P AT))机制,使多个用户可以同时访问公共网络。 PAT将多个本地地址转换为一个全局IP地址。当源主机向目标主机发送消息时,将结合使用IP 地址和端口号来跟踪与目标主机的会话。在PAT中,网关将分组中本地源地址和端口转换为一个全局IP地址和大于1024的端口号。虽然所有主机的IP地址都将转换为同一个全局IP地址,但与会话相关联的端口号是唯一的。 响应数据流将发送到转换后的IP地址和主机使用的端口。路由器有一个表,其中列出了被转换为外部地址的内部IP地址和端口号组合。响应数据流被发送到外部地址,然后被转发到合适的内部地址和端口号。由于可用的端口超过64000个,因此路由器不太可能耗尽端口号。 4、以下是实验实例:
路由器NAT功能介绍及配置
路由器NAT功能介绍及配置 路由器NAT功能介绍及配置 随着Internet的网络迅速发展,为了解决IP地址短缺这个问题,出现了多种解决方案。下面店铺几绍一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。 一、NAT简介 NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。 二、NAT 的应用环境: 情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。 情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置: 设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。 内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。 四、关于NAT的几个概念: 内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。
网络地址转换(NAT)ip-mac变化详解
网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。 虽然NAT可以借助于某些代理服务器来实现,但考虑到运算成本和网络性能,很多时候都是在路由器上来实现的。 随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。事实上,除了中国教育和科研计算机网(CERNET) 外,一般用户几乎申请不到整段的C类IP地址。在其他ISP那里,即使是拥有几百台计算机的大型局域网用户,当他们申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求,于是也就产生了NAT技术。 l.NAT简介 借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。 2.NAT实现方式 NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。 静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对是不确定的,而是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。 端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络
NAT转换
Network Address Translation NAT简介 1.网络地址转换NAT(Network Address Translation)又称地址代理,它实现了私有网络访问公有网络的功能。 2.私有网络地址是指内部网络或内部主机的IP 地址。公有网络地址是指在Internet 上全球唯一的IP 地址。Internet 地址分配组织规定将下列的IP 地址保留用作私有网络地址。 ●10.0.0.0~10.255.255.255 ●172.16.0.0~172.31.255.255 ●192.168.0.0~192.168.255.255 这三个范围内的IP 地址不会在Internet 上分配,但可在一个单位或公司内部使用。不 同企业的内部网络地址可以相同。如果一个公司选择上述三个范围之外的其它网段作 为内部网络地址,在需要与Internet 或公网主机通信时可能会造成混乱。 NAT的作用 在Internet的发展过程中,网络地址转换的提出是为了解决IP地址短缺 所可能引起的问题。PC1与PC2以及内部网络中的其他主机可以使用内 部网络地址,通过网络地址转换后,只需较少的公网地址就可以访问 Internet上的资源。 NAT将内部网络和外部网络隔离,对内部网络的计算机有一定的安全保 障作用。 NAT的机制 地址转换的机制是将内部网络主机的IP地址和端口替换为路由器的外部 网络地址和端口,以及从路由器的外部网络地址和端口转换为内部网络 主机的IP地址和端口。也就是<私有地址+端口>与<公有地址+端口>之 间的转换。
NAT的特征 NAT具有以下特征: ●对用户透明的地址分配(指对外部地址的分配)。 ●可以达到一种“透明路由”的效果。这里的路由是指转发IP报文 的能力,而不是一种交换路由信息的技术。 NAT的优缺点 地址转换的优点如下: ●内部网络的主机可以通过该功能访问外部网络资源。 ●为内部主机提供了“隐私”(Privacy)保护。 地址转换的缺点如下: ●由于需要对数据报文进行IP地址的转换,涉及IP地址的数据报的 报头不能被加密。在应用协议中,如果报文中有地址或端口需要转 换,则报文不能被加密。例如,不能使用加密的FTP连接,否则 FTP的port命令不能被正确转换。 ●网络调试变得更加困难。比如,某一台内部网络的主机试图攻击 其它网络,则很难指出究竟哪一台机器是恶意的,因为主机的IP地 址被屏蔽了。 NAT的性能 在链路的带宽低于1000Mbit/s时,地址转换对网络性能基本不构成影 响,此时,网络传输的瓶颈在传输线路上;当链路的带宽高于 1000Mbit/s时,地址转换将对路由器性能产生一些影响。 NAT的类型 静态NAT ●实现了私有地址和公有地址一对一映射射. ●一个公网IP会分配给唯一且固定的运机。 ●服务器可以使用静态NAT地址做转换,但意味着服务器在公网上是全部开放的 动态NAT: ●基于地址池来实现私网转换成公网的 ●实质上是一对一的地址转换 NAPT:网络地址端口转换 ●基于地址池 ●允许多个内部的私有IP地址映射到同一个公有IP的不同端口号,公有IP根据端口号区 分主机 EASY IP:用于PPPOE拨号 ●当数据报到达路由器时,将转换成某个接口的IP地址,基于端口转换的 ●EASY IP 允许将多个私网IP映射到网关出接口地址上的不同端口号
NAT网络地址转换
NAT网络地址转换 网络地址转换(Network Address Translation,简称NAT)是一种网 络传输协议,它能将一个私有网络中的IP地址转换为公有网络中的IP 地址,实现对内网主机的访问与对外网的互联互通。本文将探讨NAT 网络地址转换的定义、工作原理、应用场景以及存在的一些问题。 一、定义 网络地址转换(NAT)是一种网络协议,它使得一组私有IP地址 映射到一个公有IP地址,以实现内部网络对外部网络的通信。NAT常 用于将局域网中的私有IP地址转换为可以在互联网上传输的公有IP地址,从而解决IP地址不足的问题。 二、工作原理 NAT通过在网关设备上进行地址转换,将私有IP地址转换为公有 IP地址。其主要分为静态NAT和动态NAT两种模式。 1. 静态NAT 静态NAT是指将一个私有IP地址与一个公有IP地址进行固定的一 对一映射,即私有IP地址与公有IP地址之间的映射关系是静态设定的,不会发生变化。这种模式适用于需要将特定的内部主机暴露到公网上 的场景,如Web服务器。 2. 动态NAT
动态NAT是指将一个私有IP地址与一个公有IP地址进行临时的一对一映射,映射关系是动态设定的,根据连接请求和IP地址池的可用情况进行选择。这种模式适用于多个内部主机需要同时与外网通信的场景。 三、应用场景 NAT作为一种网络协议,在实际应用中有着广泛的应用场景。 1. IP地址转换 NAT可以将私有IP地址转换为公有IP地址,解决IPv4地址不足的问题。通过将一组内网主机的私有IP地址映射为一个公有IP地址,实现了内网主机与外网的通信。 2. 内网对外网访问 通过NAT技术,内网主机可以主动发起到外网的连接,实现对外网的访问。这对于企业内部员工需要上网冲浪、访问外部资源等情况非常重要。 3. 保护内网安全 NAT还可以用于保护内网的安全。通过将内网主机的私有IP地址隐藏在公网IP地址后面,防止直接暴露在公网上,提高了内网的安全性。 四、存在的问题
nat基本原理
nat基本原理 NAT(网络地址转换)是一种在计算机网络中常用的技术,它起到了关键的作用。本文将以NAT基本原理为标题,向读者介绍NAT 的相关概念、工作原理以及应用场景。 一、NAT的概念 NAT,即网络地址转换,是一种将一个IP地址转换为另一个IP地址的网络协议。它主要用于解决IPv4地址不足的问题。在IPv4中,IP地址是有限的,而且随着互联网的快速发展,IPv4地址资源日益紧张。为了解决这个问题,NAT应运而生。 二、NAT的工作原理 NAT通过在网络边界设备上进行地址转换,将内部私有地址转换为外部公共地址,从而实现内部网络与外部网络之间的通信。具体而言,NAT的工作原理如下: 1. IP地址转换 NAT会将内部网络中的私有IP地址转换成外部网络中的公共IP地址。当内部网络中的主机发送数据包到外部网络时,NAT会将数据包的源IP地址改为NAT设备的公共IP地址,同时在转发回包时将目标IP地址改为内部主机的私有IP地址。 2. 端口转换 除了IP地址转换外,NAT还会进行端口转换。在一个内部网络中,
多个主机可能同时请求访问外部网络的同一个服务。为了区分这些请求,NAT会将源端口进行转换。这样一来,即使多个主机使用相同的源IP地址,但由于端口不同,外部网络仍然可以正确识别并回复这些请求。 3. 网络地址转换表 为了实现IP地址和端口的转换,NAT设备会维护一个网络地址转换表。该表中记录了内部主机的私有IP地址、对应的公共IP地址以及端口号等信息。当数据包经过NAT设备时,它会根据转换表对数据包进行转换,然后再将其发送到外部网络。 三、NAT的应用场景 NAT广泛应用于现代计算机网络中,特别是在企业网络和家庭网络中。以下是一些常见的NAT应用场景: 1. IP共享 通过NAT,多个内部主机可以共享一个公共IP地址。这在企业网络和家庭网络中非常常见,可以有效节省IPv4地址资源。 2. 隐藏内部网络 NAT可以隐藏内部网络的拓扑结构和IP地址分配情况,提高网络的安全性。外部网络无法直接访问内部网络中的主机,只能通过NAT设备进行通信。
nat的概念
nat的概念 NAT的概念及其作用 网络地址转换(Network Address Translation,NAT)是一种将私有IP地址转换成公有IP地址的技术,用于在多台设备间共享同一个公有IP地址。在互联网的早期,IP地址资源都非常紧俏, NAT成为一种有效的处理方式,它能将私有网络的地址映射到公网上,达到了有效利用地址资源,防止IP冲突的作用。 NAT的作用 随着互联网的普及,NAT也逐渐成为了一个必要的组件。NAT主要有以下作用: 1、解决IP地址不够用的问题,使多个私有网络能够共享一个公网IP 地址; 2、提高网络的安全性,因为私有IP地址不会被泄露; 3、克服路由器自带的防火墙不支持虚拟服务的问题,使虚拟服务之间的相互访问成为可能。 NAT的步骤 NAT将私有IP地址转换为公有IP地址的方式主要有三种:端口映射、IP和端口映射、IP池技术。我们以端口映射为例讲解NAT的相关步骤。 1、建立连接:私有网络中的一台主机向公网上的一台主机发起连接。 2、NAT路由器接收到请求:当私有网络中的主机发起请求时,它的源IP地址是一个私有IP地址。NAT路由器会将这个IP地址转换为一个公有IP地址,并将该连接的信息记录在NAT转换表上,而这个公有IP 地址就是该路由器分配的地址。 3、完成映射:在连接中,私有IP地址与公有IP地址相对应,通过端口映射进行转换。 4、数据包返回:公网主机返回数据包时,NAT路由器会根据所记录的
NAT转换表信息将数据包返回给相应的私有IP地址。 总结 NAT技术解决了IP地址不够的问题,同时提高了网络的安全性,因为私有IP地址不会泄露。NAT技术有多种转换方式,其中端口映射是最常见的。在使用NAT技术时,需注意对不同的服务进行不同的端口设置,使其在公有IP地址上能被识别。在实际应用过程中,我们还需注意NAT路由器的防火墙策略,以保证网络的安全性。
NAT网络地址转换
网络地址转换(NAT) 简介: 公司的办公网需要访问Internet ,但是私网地址不允许在Internet 上使用,全部使用公网IP 地址需要支付高额费用,于是很多公司采用NAT 技术实现访问Internet 。通过本章的学习,可以了解NAT的原理及工作过程,以及如何在Cisco 路由器上配置NAT ,以实现公司内部网络访问Internet 的各种需求。 7.1 NAT概述 随着网络的发展,公网IP 地址的需求与日俱增。为了缓解公网IP 地址的不足,并且保护公司内部服务器的私网地址,可以使用网络地址转换(Network Address Translation,NAT)技术将私网地址转化成为公网地址,以缓解IP 地址的不足,并且隐藏内部服务器的私网地址。NAT 是一个很有用的工具,接下来首先介绍NAT的功能和术语。 7.1.1 NAT的概念与实现方式 1. NAT的概念 NAT (Network Adderss Translation,网络地址转换)通过将内部网络的私网IP 地址翻译成全球唯一的公网IP 地址,使内部网络可以连接到互联网等外部网络上,广泛应用于各种类型的互联网接入方式和各种类型的网络中。NAT 不仅解决了IP 地址不足的问题,而且还能够隐藏内部网络的细节,避免来自网络外部的攻击,可起到一定的安全作用。 借助于NAT,私有保留地址的内部网络通过路由器发送数据包时,私有地址被转换成合法的IP 地址,这样一个局域网只需要少量地址(甚至是一个)即可实现私有地址网络中的所有计算机与互联网的通信需求。 NAT 将自动修改IP包头中的源IP地址或目的IP地址,IP地址的校验则在NAT 处理过程中自动完成。有一些应用程序将源IP 地址嵌入到IP 数据包的数据部分中,所以还需要同时对数据部分进行修改,以匹配IP 包头中己经修改过的源IP 地址。否则,在数据包的数据部分嵌人了IP 地址的应用程序不能正常工作。令人遗憾的是,Cisco的NAT 虽然可以处理很多应用,但还是有一些应用无法支持。 2. NAT的实现方式 NAT的实现方式有以下三种 ⏹静态转换(Static Translation)。 ⏹动态转换(Dynamic Translation)。 ⏹端口多路复用(Port Address Translation, PAT)。 静态转换就是将内部网络的私网IP地址转换为公用合法的IP 地址,IP 地址的对应关系是一对一的,而且是不变的,即某个私网IP 地址只转换为某个国足的合法的外部IP 地址。借助于静态转换,能实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有地址转换为公网地址时,IP地址的对应关系是不确定的、随机的,所有被授权访问五联网的私有地址可随机转换为任何指定的合法的外部IP 地址。也就是说.只要指定哪些内部地址可以进行NAT 转换,以及哪些可用的合法IP 地址可以作为外部地址『就可以进行动态转换了。动态转换也可以使用多个合法地址集。当ISP 提供的
nat名词解释
NAT,也称作网络地址转换,是指将私有网络的IP地址转换成公有网 络的IP地址的过程。它可以用来帮助多个局域网(LAN)的计算机访 问互联网的过程,使得Internet用户可以从私有网络连接Internet上的 公有网络设备服务器。一般情况下,每个地理位置都有其独特的IP地址,而NAT则是将所有私有网络中的IP地址转换成公有网络中的IP 地址,使得Internet用户可以访问公有网络。 传统的私有网络技术都是使用静态IP地址,比如192.168.14.100,也就是说只有在该地址上的设备才能够从私有网络访问到Internet,但这种 方式有很多限制,比如设备数量受到限制,管理起来也比较复杂,而NAT技术就为传统技术提供了一种新的解决方案,使得Internet用户可以从私有网络连接Internet上的公有网络设备服务器。 原理上讲,NAT通过将一个IP地址映射到另一个IP地址来为网络用 户提供对外网络服务,这一过程叫做IP地址转换。换句话说,就是将 一台电脑的某个IP地址发送到另一台电脑,把它们结合在一起,从而 让私有网络中的电脑可以访问Internet。 而NAT另一个重要功能是保证网络安全。由于利用NAT技术可以将 内部网络中的IP地址变为外部网络中的IP地址,这增加了网络安全的隔离性。这就能够在一定程度上阻止黑客通过外部网络攻击内部网络,同时也能够避免外部网络中的攻击者通过NAT技术获得内部网络的信息,从而防止攻击者破坏内部网络的安全性。 总之,NAT是一种强大而有效的网络技术,它使得Internet用户可以从私有网络连接Internet上的公有网络设备服务器,同时也能够避免外部网络中的攻击者通过NAT技术获得内部网络的信息,从而保证
网络地址转换协议NAT详解
网络地址转换协议NAT详解 网络地址转换(Network Address Translation,NAT)是一种在计算机网络中向本地网络中的多个主机分配多个公共IP地址的技术。NAT技术在IPv4网络中得到广泛应用,它的主要用途是使本地网络能够共享有限的公共IP地址。 NAT将私有IP地址转换为公共IP地址,使得内网中的多台计算机可以通过共享公共IP地址与公网进行通信。NAT技术在路由器上实现,它会维护一个地址转换表,记录着内部主机与外部网络之间的映射关系。 NAT可以实现以下功能: 1.IP地址转换:NAT通过将内网中的私有IP地址转换为合法的公共IP地址,实现内网与外网之间的通信。 2.IP地址共享:通过使用NAT,多个内部主机可以共享一个公共IP 地址,减少了公共IP地址的消耗。 3.安全性增强:NAT可以隐藏内网主机的真实IP地址,外部网络无法直接访问内网主机,从而提高了网络的安全性。 4.端口转换:NAT还可以实现端口转换,使得多个内网主机可以使用同一个公共IP地址与外部网络进行通信。 NAT的工作原理如下: 1.内网主机向外网发送数据包时,数据包中的源IP地址会被NAT路由器替换为公共IP地址。 2.NAT路由器在转发数据包之前,将原始源IP地址和端口加入地址转换表,并为该连接分配一个公共IP地址和端口。
3.当外部主机回复数据包时,数据包中的目标IP地址是公共IP地址,NAT路由器会根据地址转换表将数据包转发给对应的内网主机。 4.NAT路由器会周期性地检查地址转换表中的转换规则是否过期,并 删除不再活跃的连接。 尽管NAT在一定程度上解决了IPv4地址枯竭的问题,但也带来了一 些问题和限制: 1.限制了网络应用:由于NAT对于网络应用的支持不完全,一些对于 特定端口或协议的网络应用可能无法正常工作。 2.不利于点对点连接:NAT增加了网络通信的复杂性,不利于建立点 对点的连接。 3. 不支持IPSec:由于NAT会修改IP报文的源IP地址,导致与IPSec等加密协议不兼容。 4.无法追踪地址:由于NAT隐藏了内网主机的真实IP地址,导致网 络审计和安全追踪变得困难。 随着IPv6的广泛部署,NAT的使用逐渐减少。IPv6地址空间的充足 使得直接使用公共IP地址成为可能,减少了对NAT的依赖。然而,在目 前的网络中,NAT仍然是一种重要的技术,能够解决IPv4地址不足的问 题和提高网络的安全性。
NAT
N A T 一.NAT简介: NAT是非常实用的一种技术,看似简单的原理和配置,却可以实现很多很复杂技术都无法实现的功能。功能之强大,功能之实用,配置之简单,是其它技术所望尘莫及的。目前有95%以上公司、企业、单位、机关正在享受着NAT所带来的快乐。NAT(Network address translation)作为一种过渡解决手段,可以用来减少对全球合法IP地址的需求。简单的说,NAT就是在内部专用网络中使用内部地址,而当内部节点要与外界网络发生联系时,就在边缘路由器或者防火墙处,将内部地址转换成全局地址,从而使得在外部公共网(Internet)上使用一个或数个合法IP地址正常传输数据。 NA T是将专用IP地址转换成外部的公共IP地址的映射方式。在合法IP地址缺乏的情况下:使用路由器(具有NA T模块)+交换机的做法无疑是个好的选择。 设置NA T功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。 NAT技术能帮助解决令人头痛的IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。它解决问题的办法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址在Internet上使用,其具体的做法是把IP包内的地址域用合法的IP 地址来替换。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址,发往下一级。 ●最早出现在思科11.2 IOS中,定义在RFC1631和RFC3022中。 ●NAT最主要的作用是为了缓解IPv4地址空间的不足。 ●同时也带来了一些问题,如每个数据包到达路由器后都要进行包头的转换操作,所以增 加了延迟;DNS区域传送,BOOTP/DHCP等协议不可穿越NAT路由器; ●改动了源IP,失去了跟踪到端IP流量的能力,所以使责任不明确了。 ●但是利还是要大于弊的,不然也不会学习它了!最新的CCNA640-802学习指南中依然 有专门的一章来讲解NAT,它的重要性可见一斑。 二.NAT术语: 内部本地地址(inside local address ):局域网内部主机的地址称为私有地址。(待转换的地址) 内部全局地址(inside global address):内部本地地址被NAT路由器转换后的地址,通常
思科路由器NAT配置详解
一、NAT简介: 1.NAT(Network Address Translation)网络地址转换。 2.最先出此刻思科IOS中,概念在RFC1631和RFC3022中。 3.NAT最要紧的作用是为了减缓IPv4地址空间的不足。 4.同时也带来了一些问题,如每一个数据包抵达路由器后都要进行包头的转 换操作,因此增加了延迟;DNS区域传送,BOOTP/DHCP等协议不可 穿越NAT路由器; 5.改动了源IP,失去了跟踪到端IP流量的能力,因此使责任不明确了。 6.可是利仍是要大于弊的,不然也可不能学习它了!最新的CCNA640-802 学习指南中仍然有专门的一章来讲解NAT,它的重要性可见一斑。二、NAT术语:比较难明白得,因此那个地址用最明了的语言总结如下 1.内部本地地址(inside local address ):局域网内部主机的地址,一般是 RFC1918地址空间中的地址,称为私有地址。(待转换的地址) 2.内部全局地址(inside global address):内部本地地址被NAT路由器转换 后的地址,一般是一个可路由的公网地址。 3.外部全局地址(outside global address):是与内部主机通信的目标主机的 地址,一般是一个可路由的公网地址。 4.外部本地地址(outside local address):是目标主机可路由的公网地址被 转换以后的地址,一般是RFC1918地址空间中的地址。 三、NAT配置详解:
1.静态NAT:将一个私有地址和一个公网地址一对一映射的配置方式,这 种方式不能节省IP,通常只为需要向外网提供效劳的内网效劳器配置。 如下图:PC1地址: PC2地址:R1 E0/0地址: R1 S0/0地址:R2 S0/0地址:R2 E0/0地址:PC3地址: (模拟公网效劳器) 各接口地址按上面配置好以后,在R1和R2上配置路由(注意不要为网络增加路由项,因为私有网络不能够出此刻公网路由表中,不然也不叫私有地址了)路由配置好以后在R1上能够ping通PC3,可是PC1只能ping到R1的S0/0,再向前就ping不通了。因为没有网络的路由表项,因此被抛弃了!下面在R1上配置静态NAT让PC1能够和PC3通信。 Router(config)#int fa0/0 Router(config-if)#ip nat inside //将该接口标记为内部接口 Router(config-if)#int s0 Router(config-if)#ip nat outside //将该接口标记为外部接口 Router(config-if)#exit
NAT和DMZ的介绍
什么是NAT NA T——网络地址转换,是通过将专用网络地址(如企业内部网Intranet)转换为公用地址(如互联网Internet),从而对外隐藏了内部管理的IP 地址。这样,通过在内部使用非注册的IP 地址,并将它们转换为一小部分外部注册的IP 地址,从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间(即IPV4)。同时,这也隐藏了内部网络结构,从而降低了内部网络受到攻击的风险。 NAT功能通常被集成到路由器、防火墙、单独的NAT设备中,当然,现在比较流行的操作系统或其他软件(主要是代理软件,如WINROUTE),大多也有着NAT的功能。NAT设备(或软件)维护一个状态表,用来把内部网络的私有IP地址映射到外部网络的合法IP地址上去。每个包在NAT设备(或软件)中都被翻译成正确的IP地址发往下一级。与普通路由器不同的是,NAT设备实际上对包头进行修改,将内部网络的源地址变为NAT设备自己的外部网络地址,而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。 NAT分为三种类型:静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)。其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址,而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络,端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。 废话说了不少,让我们转入正题,看一下如何利用NAT保护内部网络。 使用网络地址转换NAT,使得外部网络对内部网络的不可视,从而降低了外部网络对内部网络攻击的风险性。 在我们将内部网络的服务使用端口映射到NAT设备(或是软件)上时,NAT设备看起来就像一样对外提供服务器一台服务器一样(如图一)。这样对于攻击者来讲,具有一定的难度,首先他要攻破NAT设备,再根据NAT设备连接到内部网络进行破坏。 图一 由图一我们可以看出,内部网络中的A、B和C提供相应的MAIL、FTP和HTTP服务。我们利用NAT将所提供服务机器的对应的服务端口25、110、20、21和80映射到NAT服务器上(IP:88.88.88.88,域名:https://www.360docs.net/doc/7a19281511.html,上,其中端口及服务对应如下:SMTP<->25 POP3<->110 FTP<->20,21 HTTP<->80 说到20,我来加一个小插曲。我们都知道FTP对应的端口应该是21,为什么又冒出来一个20呢?其实,我们们进行FTP文件传输中,客户端首先连接到FTP服务器的21端口,进行用户的认证,认证成功后,当我们要传输文件时,服务器会开一个端口为20来进行传输数据文件,也就是说,端口20才是真正传输所用到的端口,端口21只用于FTP的登陆认证。我们平常下载文件时,会遇到下载到99%时,文件不完成,不能成功的下载。其实是因为文件下载完毕后,还要在21端口再行进行用户认证,而我们下载文件的时间如果过长,客户机与服务器的21端口的连接会被服务器认为是超时连接而中断掉,就是这个原因。解决方法就是设置21端口的响应时间。