网络地址转换(NAT)概述
网络地址转换协议NAT详解
网络地址转换协议NAT详解网络地址转换(Network Address Translation,NAT)是一种在计算机网络中向本地网络中的多个主机分配多个公共IP地址的技术。
NAT技术在IPv4网络中得到广泛应用,它的主要用途是使本地网络能够共享有限的公共IP地址。
NAT将私有IP地址转换为公共IP地址,使得内网中的多台计算机可以通过共享公共IP地址与公网进行通信。
NAT技术在路由器上实现,它会维护一个地址转换表,记录着内部主机与外部网络之间的映射关系。
NAT可以实现以下功能:1.IP地址转换:NAT通过将内网中的私有IP地址转换为合法的公共IP地址,实现内网与外网之间的通信。
2.IP地址共享:通过使用NAT,多个内部主机可以共享一个公共IP 地址,减少了公共IP地址的消耗。
3.安全性增强:NAT可以隐藏内网主机的真实IP地址,外部网络无法直接访问内网主机,从而提高了网络的安全性。
4.端口转换:NAT还可以实现端口转换,使得多个内网主机可以使用同一个公共IP地址与外部网络进行通信。
NAT的工作原理如下:1.内网主机向外网发送数据包时,数据包中的源IP地址会被NAT路由器替换为公共IP地址。
2.NAT路由器在转发数据包之前,将原始源IP地址和端口加入地址转换表,并为该连接分配一个公共IP地址和端口。
3.当外部主机回复数据包时,数据包中的目标IP地址是公共IP地址,NAT路由器会根据地址转换表将数据包转发给对应的内网主机。
4.NAT路由器会周期性地检查地址转换表中的转换规则是否过期,并删除不再活跃的连接。
尽管NAT在一定程度上解决了IPv4地址枯竭的问题,但也带来了一些问题和限制:1.限制了网络应用:由于NAT对于网络应用的支持不完全,一些对于特定端口或协议的网络应用可能无法正常工作。
2.不利于点对点连接:NAT增加了网络通信的复杂性,不利于建立点对点的连接。
3. 不支持IPSec:由于NAT会修改IP报文的源IP地址,导致与IPSec等加密协议不兼容。
网络地址转换
网络地址转换(NAT)简介NAT概述NAT(Network Address Translation,网络地址转换)是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程。
在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。
这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用IP 地址空间的枯竭。
[1]说明:私有 IP 地址是指内部网络或主机的IP 地址,公有IP 地址是指在因特网上全球唯一的IP 地址。
RFC 1918 为私有网络预留出了三个IP 地址块,如下: A 类:10.0.0.0~10.255.255.255 B 类:172.16.0.0~172.31.255.255 C 类:192.168.0.0~192.168.255.255 上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。
NAT技术的产生虽然NAT可以借助于某些代理服务器来实现,但考虑到运算成本和网络性能,很多时候都是在路由器上来实现的。
随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。
事实上,除了中国教育和科研计算机网(CERNET)外,一般用户几乎申请不到整段的C类IP地址。
在其他ISP那里,即使是拥有几百台计算机的大型局域网用户,当他们申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。
显然,这样少的IP地址根本无法满足网络用户的需求,于是也就产生了NAT技术。
NAT技术的作用借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP 地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
NAT将自动修改IP报文的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。
第4章 网络地址转换(NAT)
第4章网络地址转换(NAT)⏹NAT概述随着网络的发展,公用IP地址的需求与日俱增。
为了缓解公用IP地址的不足,并且保护公司内部服务器的私网地址,可以使用NAT(Network Address Translation,网络地址转换)技术将私网地址转化成为公网地址,缓解IP地址的不足,并且隐藏内部服务器的私网地址。
⏹NAT的概述与现实方式1.NAT概念网络地址转换(NAT)通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上,广泛应用于各种类型的互联网接入方式和各种类型的网络中。
原因很简单,NAT不仅解决了IP地址不足的问题,而且还能够隐藏内部网络的细节,避免来自网络外部的攻击,起到一定的安全作用。
借助于NAT,私有保留地址的内部网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,这样一个局域网只需要少量地址(甚至是一个),即可实现使私有地址网络中的所有计算机与互联网的通信需求。
2.NAT的实现方式NAT的实现方式有以下三种:静态转换(Static Translation)动态转换(Dynamic Translation)端口多路复用(Port Address Translation,PAT)静态转换IP地址的对应关系是一对一且不变的,并没有节约公用IP地址,只是隐藏了主机的真实地址。
动态转换虽然在一定情况下节约了公用IP地址,但是当内部网络同时访问Internet的主机数大于合法地址池中的IP地址数时就不适用了。
端口多路复用可以使所有的内部网络主机共享一个合法的外部IP地址,从而最大限度的节约IP地址资源。
由于动态转换形成的IP地址的对应关系是不确定的、随机的;端口多路复用使用的是端口号的转换,也是不确定的,所以内网服务器不能使用这两种转换方式,这是由于外网用户无法确定服务器合法的公网IP地址,导致无法访问服务器。
这时使用静态转换将私有IP地址转换为固定的合法的IP地址,这样服务器有了固定的合法的公网IP地址,才能实现外网的访问。
网络地址转换详解——NAT
⽹络地址转换详解——NAT⽬录1.背景:当地时间2019年11⽉25⽇晚间,欧洲⽹络信息协调中⼼(RIPE NCC)在⼀份邮件之中确认,他们从可⽤池中最后剩余地址进⾏了最终的/22 IPv4分配。
⾄此,国际互联⽹名称和编号分配公司(ICANN)已经⽤完了全部的IPv4地址。
尽管IPv6可以从根本上解决IPv4地址空间不⾜的问题,但⽬前众多的⽹络设备和⽹络应⽤仍是基于IPv4的,因此在IPv6⼴泛应⽤之前,⼀些过渡技术的使⽤是解决这个问题的主要技术⼿段。
NAT 英⽂全称 “Network Address Translation”,中⽂意思是“⽹络地址转换”,它是⼀个 IETF(Internet Engineering Task Force, Internet ⼯程任务组) 标准,允许⼀个整体机构以⼀个公⽤ IP(Internet Protocol)地址出现在 Internet上。
它是⼀种把内部私有⽹络地址(IP 地址)转换成全局⽹络 IP 地址的技术。
能在⼀定程度上解决IPV4地址不够⽤的问题。
2.NAT 主要可以实现的功能:数据伪装:可以将内⽹数据包中的地址信息更改成合法的⽹关对外地址信息,不让内⽹主机直接暴露在因特⽹上,保证内⽹主机的安全。
同时,该功能也常⽤来实现共享上⽹。
端⼝转发:当内⽹主机对外提供服务时,由于使⽤的是内部私有 IP 地址,外⽹⽆法直接访问。
因此,需要在⽹关上进⾏端⼝转发,将特定服务的数据包转发给内⽹主机(外⽹主动访问内⽹的情况,外⽹⽤户必须要知道访问那个端⼝可以跳到要访问的主机上)。
负载均衡:⽬的地址转换 NAT 可以重定向⼀些服务器的连接到其他随机选定的服务器。
失效终结:⽬的地址转换 NAT 可以⽤来提供⾼可靠性的服务。
如果⼀个系统有⼀台通过路由器访问的关键服务器,⼀旦路由器检测到该服务器当机,它可以使⽤⽬的地址转换 NAT 透明的把连接转移到⼀个备份服务器上。
透明代理:NAT 可以把连接到因特⽹的 HTTP 连接重定向到⼀个指定的 HTTP 代理服务器以缓存数据和过滤请求。
NAT网络地址转换
NAT⽹络地址转换⼀、NAT基本概念1)技术背景IPv4地址已经耗尽。
局域⽹⽤户普遍使⽤私有IPv4地址,如何访问公⽹。
局域⽹中使⽤私有IPv4地址的服务器如何对公⽹提供服务。
若需要对外隐藏内⽹的IP,同时内⽹的特定服务器⼜需对外提供服务该如何实现。
2)公⽹IP地址及私有IP地址公⽹地址:公⽹地址是指可以在Internet上使⽤的地址。
为保证整个Internet内的IP地址的唯⼀性,公⽹地址由IANA(Internet Assigned Number Authority)这个国际组织负责分配。
⼀台⽹络设备如果需要使⽤公⽹地址,就必须向ISP(Internet Service Provider)或注册中⼼申请。
私有地址:为了满⾜⼀些实验室、公司或其他组织的独⽴于Internet之外的私有⽹络的需求,RFCA(Requests For Comment)1918为私有使⽤留出了三个IP地址段。
私有地址不能在Internet上被分配,因⽽可以不必申请就可以⾃由使⽤。
私有IPv4地址空间A类10.0.0.010.255.255.255(10.0.0.0/8)B类172.16.0.0172.31.255.255(172.16.0.0/12)C类192.168.0.0192.168.255.255(192.168.0.0/16)3)什么是NATNAT(Network Address Translator)的主要原理是通过解析IP报⽂头部,⾃动替换报⽂头中的源地址或⽬的地址,实现私⽹⽤户通过私⽹IP访问公⽹的⽬的。
私⽹IP转换为公⽹IP的过程对⽤户来说是透明的。
4)NAT的优缺点优点缺点缓解公⽹地址紧缺问题存在转发延迟解决IP地址冲突或重叠的问题端到端寻址变得困难⽹络扩展性更⾼,本地控制也更容易某些应⽤不⽀持NAT内⽹结构及相关操作对外变得不可见NAT产⽣的表项需占⽤设备的内存空间增加了安全性设备性能问题5)NAT类型源IP地址转换(Source IP address-based NAT)No-Port 地址转换(No-PAT)⽹络地址及端⼝转换(NAPT)⽬的IP地址转换(Destination IP address-based NAT):NAT Server⽬的NAT(5.1)NAT类型1:No-PATNAT No-PAT也可以称为“⼀对⼀地址转换”,在地址转换过程中,数据包的源IP地址由私⽹地址转换为公⽹地址,但端⼝号不做转换。
网络地址转换NAT
NAT类型
1、静态NAT:
将内部地址和外部地址进行一对一的转换。这种方法要 求申请到的合法IP地址足够多,可以与内部IP地址一一 对应。
静态NAT一般用于那些需要固定的合法IP地址的主机, 比如Web服务器、FTP服务器、E-mail服务器等。
说明:这里定义的ACL不是用于数据过滤的,它只是 用于指定参与NAT转换的私有地址范围的。所以,我 们不必把它用在一个接口上。
3、建立被转换的地址和地址池间的关系:
Router(config)# ip nat inside source list ACL表号 pool 地址池名字
例:把1号ACL定义的地址与名为P1的地址池建立 NAT转换关系。
另外,还需要把E0口指定为NAT内部接口,S0口指定 为NAT外部接口。
例:
Router(config)# ip nat inside source static 192.168.1.1 200.10.1.5 Router(config)# ip nat inside source static 192.168.1.2 200.10.1.6 Router(config)# interface e0 Router(config-if)# ip nat inside Router(config-if)# interface s0 Router(config-if)# ip nat outside
PAT可最大限度的节省IP地址用量,但由于它只能同时 支持几千个会话,所以使用PAT易造成拥塞。
为了避免PAT和复用NAT池的拥塞,一方面可以多申请 一些IP地址,建立一个大些的NAT池,另一方面也应该 限制用户使用那些占用会话数很多的应用(如BT)。
网络地址转换(NAT)的简介
网络地址转换(NAT)的简介首先,要了解NAT 是一个过程,而不是一个结构化协议!1、IP NAT术语内部本地网络指的是连接到属于私有LAN的路由器接口的网络。
对于内部网络中的主机发送到外部目的地的分组,必须对其中的IP地址进行转换。
外部全局网络指的是与LAN外部的路由器相连的网络,它们不能识别LAN中主机的私有地址。
内部本地地址指的是内部网络主机配置的私有IP地址。
使用这种地址的分组离开内部网络前,必须对其地址进行转换。
内部全局地址指的是外部网络看到的内部主机的IP地址,这是转换后的IP地址。
外部本地地址是本地网络发送分组时使用的目标地址,它通常与外部全局地址相同。
外部全局地址是外部主机实际使用的公有IP地址,这种地址是从全局可路由地址空间分配的。
2、静态和动态NAT使用NAT的优点之一是,无法从公共Internet直接访问主机。
然而,如果需要从Internet访问内部网络中一台或多台主机运行的服务以及其他设备,该怎么办呢?从Internet访问本地主机,方法之一是给该设备指定静态地址转换。
静态转换可确保特定主机的私有IP地址总是转换为同一个全局IP地址,还将确保其他本地主机的IP地址不会转换为该注册地址。
这称为静态NAT。
动态NAT指的是路由器被配置成动态地给内部私有网络设备分配全局地址池中的IP地址。
只要会话没有关闭,路由器就将监控该内部全局地址,并向发起会话的内部设备发送确认。
会话结束时,路由器将内部全局地址归还到地址池。
动态NAT让内联网中使用私有IP地址的主机能够访问公共网络(如Internet);而静态NAT让公共网络中的主机能够访问私有网络中的特定主机。
这意味着配置NAT以便用户能够访问外部网络时,应配置动态NAT;如果希望外部主机能够访问内部网络中的设备,应使用静态NA T。
必要时,可同时部署这两种NAT方法。
3、基于端口的网络地址转换(PAT)如果机构注册的IP地址池很小甚至只有一个IP地址,仍可以通过NAT重载(端口地址转换(P AT))机制,使多个用户可以同时访问公共网络。
nat名词解释
NAT,也称作网络地址转换,是指将私有网络的IP地址转换成公有网络的IP地址的过程。
它可以用来帮助多个局域网(LAN)的计算机访问互联网的过程,使得Internet用户可以从私有网络连接Internet上的公有网络设备服务器。
一般情况下,每个地理位置都有其独特的IP地址,而NAT则是将所有私有网络中的IP地址转换成公有网络中的IP地址,使得Internet用户可以访问公有网络。
传统的私有网络技术都是使用静态IP地址,比如192.168.14.100,也就是说只有在该地址上的设备才能够从私有网络访问到Internet,但这种方式有很多限制,比如设备数量受到限制,管理起来也比较复杂,而NAT技术就为传统技术提供了一种新的解决方案,使得Internet用户可以从私有网络连接Internet上的公有网络设备服务器。
原理上讲,NAT通过将一个IP地址映射到另一个IP地址来为网络用户提供对外网络服务,这一过程叫做IP地址转换。
换句话说,就是将一台电脑的某个IP地址发送到另一台电脑,把它们结合在一起,从而让私有网络中的电脑可以访问Internet。
而NAT另一个重要功能是保证网络安全。
由于利用NAT技术可以将内部网络中的IP地址变为外部网络中的IP地址,这增加了网络安全的隔离性。
这就能够在一定程度上阻止黑客通过外部网络攻击内部网络,同时也能够避免外部网络中的攻击者通过NAT技术获得内部网络的信息,从而防止攻击者破坏内部网络的安全性。
总之,NAT是一种强大而有效的网络技术,它使得Internet用户可以从私有网络连接Internet上的公有网络设备服务器,同时也能够避免外部网络中的攻击者通过NAT技术获得内部网络的信息,从而保证Internet的安全性。
正因此,NAT在当前的网络环境中具有重要的作用,而在将来的网络环境中,NAT的作用将变得更加重要。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
---网络地址转换(NAT)概述
ITE PC v4.0 Chapter 1
Cisco Public
1
网络地址转换概述4-1
地址转换的提出背景
合法的IP地址资源日益短缺 一个局域网内部有很多台主机,但不是每台主机都有合法的IP地址, 为了使所有内部主机都可以连接因特网,需要使用地址转换 地址转换技术可以有效地隐藏内部局域网中的主机,具有一定的网络 安全保护作用 地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务
SA=10.1.1.1 DA=192.2.2.1
内部全局地址
对于网络地址转换的理解核心在于搞清楚NAT术语中所 提到的四个地址。事实上,所有的地址转换工作就是在 对这四个地址进行反复的变化。因此下面的例子用十分 形象和生活化的内容来解释了四个地址之间的关系。 注释: 自有网络:归自己管理,进行IP规划的网络 私有主机:属于自有网络的主机 四个术语的内容: inside local(内部本地地址) inside global(内部全局地址) outside local(外部本地地址) outside global(外部全局地址)
192.168.100.2
210.3.4.5 外部主机
NAT转换表
内部用全局 IP地址
61.159.62.130
61.159.62.131 61.159.62.134
内部用本地 IP地址
192.168.100.2
192.168.100.3 192.168.100.6
外部用全局IP地址
155.34.2.3
10.1.1.2 外部主机C
1
外部本地地址
经过路由器转换的包 SA=192.2.2.1
内部全局地址
SA=10.1.1.1 DA=193.3.3.1
DA=10.1.1.1
外部全局地址
经过路由器转换的包 SA=193.3.3.1
外部本地地址
4
外部主机B返回的包
外部全局地址
3
DA=10.1.1.1
内部本地地址
PC2
局域网
IP:192.168.0.2 Port:3010
网络地址转换概述4-4
NAT的3种实现方式
静态转换 动态转换 端口多路复用
NAT的术语2-1
使用双向NAT可以处理地址交叉的情况 使用两个方向上的动态NAT 会用到4种类型的地址
公司合并, 可能导致地 址交叉
A公司 10.1.1.0 B公司 10.1.1.0
NAT转换表
外部主机C
外部用全局IP地址
209.21.7.3:23 209.21.7.3:23
内部用全局IP地址
202.1.1.1:1492 202.1.1.1:1723
TCP
10.1.1.1:1024
202.1.1.1:1024
209.20.7.3:23
CCNA (640-802)
---配置网络地址转换(NAT)
AB公司
NAT的术语2-2
王家村的狗蛋, 全名为王建临 狗蛋这种名字最好不要被外人知道,自家人 知道就够了。自己对外公布的是全名。(假 设姓名不重复) 李家村的狗蛋, 全名为李家成
10.1.1.1
1
A internet
2
10.1.1.1 外部主机B
4
内部主机A
B
NAT
主机A发出的包 内部本地地址
3 2
内部用本地IP 地址
复用LAN的内部地址
5
10.1.1.3 DA
10.1.1.1
3
SA
202.1.1.1
4
209.20.7.3
外部主机B Internet 10.1.1.2
1
SA
10.1.1.1 209.21.7.3
10.1.1.1
协议
TCP TCP
2
内部用本地IP地址
10.1.1.3:1492 10.1.1.2:1723
第五步:指定网络地址转换映射
Router(config)#ip nat inside source list 1 pool test0
第六步:在内部和外部端口上启用NAT
Router(config)#Interface serial 0/0 Router(config-if)#Ip nat outside Router(config)#Interface fastethernet 0/0 Router(config-if)#Ip nat inside
内部网络
192.168.100.2-192.168.100.6/24
将内部网络地址192.168.100.2-192.168.100.6,
转换为合法的外部地址61.159.62.130-61.159.62.134
静态NAT配置3-2
第一步: 设置外部端口
Router(config)#interface serial 0/0 Router(config-if)#ip address 61.159.62.129 255.255.255.248
第二步 :设置内部端口
Router(config)#interface FastEthernet 0/0 Router(config-if)#ip address 192.168.100.1 255.255.255.0
第三步: 在内部本地和内部合法地址之间建立静态地址转换
Router(config)#ip nat inside source static 192.168.100.2 61.159.62.130 Router(config)#ip nat inside source static 192.168.100.3 61.159.62.131 ……
第三步:定义内部网络中允许访问外部的访问控制 列表
Router(config)#access-list 1 permit 172.168.100.0 0.0.0.255
动态NAT配置4-3
第四步:定义合法IP地址池
Router(config)#ip nat pool test0 61.159.62.130 61.159.62.190 netmask 255.255.255.192
为便于理解采用如下例子: inside local自己在家里穿的拖鞋 inside global自己上班时穿的皮鞋 outside local朋友到家里访问给朋友准备的拖鞋 outside global朋友自己的鞋,随便是他的拖鞋或是皮鞋 inside代表自己,outside代表别人,local代表自己家,global代表外面。 inside local就是自己在家里活动的时候肯定需要穿拖鞋,这个拖鞋就相当于 IP地址,可以看出来这种地址不会穿在别人脚上,而且不会在家里以外的地 方去穿。 inside global就是自己上班时肯定要穿的皮鞋,这个皮鞋一定是给自己穿的, 但是一定不会在家里穿而是要在外面穿。 outside local就是别人来家里访问 的时候自己给这个客人准备的拖鞋,因此不会出现在外面,而且也不会是自 己穿。 outside global别人自己的鞋,无论是拖鞋还是皮鞋反正不会出现在自己家里 ,也不会是自己穿。 所 以insdie local地址一般都是私有地址,inside global地址多数情况下是共 有地址但是在解决地址交叉问题时也可能是私有地址,outside local地址并不 固定因为只是外部主机在自有网络的代表所以私有和公有地址都可以, outside global地址和自己没有任何关系所以私有或公有地址也都可以。
NAT配置
NAT配置步骤
1、接口IP地址配置
2、使用访问控制列表定义哪些内部主机能做NAT 3、决定采用什么公有地址,静态或地址池
4、指定地址转换映射
5、在内部和外部端口上启用NAT
静态NAT配置3-1
Internet
61.159.62.129
NAT外部端口
192.168.100.1
NAT内部端口
NAT的优缺点
NAT的优点
节省公有合法IP地址
处理地址交叉
增强灵活性 安全性
NAT的缺点
延迟增大 配置和维护的复杂性 不支持某些应用
NAT支持的数据流
支持的业务类型和应 用
任何应用数据流中不承载 源/目的IP地址的TCP/UDP 业务
HTTP TFTP Telnet NTP NFS
支持在数据流中有 IP地址的业务类型
动态NAT配置4-2
第一步: 设置外部端口IP地址
Router(config)#interface serial 0/0 Router(config-if)#ip address 61.159.62.129 255.255.255.192
第二步: 设置内部端口IP地址
Router(config)#interface FastEthernet 0/0 Router(config-if)#ip address 172.168.100.1 255.255.255.0
静态NAT配置3-3
5
192.168.100.6 DA
192.168.100.2
3
SA
61.159.62.130
4
155.34.2.3 外部主机
Internet 192.168.100.3
1
SA
2 NAT转换
61.159.62.129 192.168.100.1
协议
TCP
TCP TCP
192.168.100.2
第四步:在内部和外部端口上启用NAT
Router(config)#interface serial 0/0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 0/0 Router(config-if)#ip nat inside