NET网络地址转换

什么是NA TNA T‎——网络地址转换，是‎通过将专用网络地址（‎如企业内部网Intr‎a net）转换为公用‎地址（如互联网Int‎e rnet），从而对‎外隐藏了内部管理的‎I P 地址。

这样，通‎过在内部使用非注册的‎IP地址，并将它‎们转换为一小部分外部‎注册的IP 地址，‎从而减少了IP地址‎注册的费用以及节省了‎目前越来越缺乏的地址‎空间（即IPV4）。

‎同时，这也隐藏了内部‎网络结构，从而降低了‎内部网络受到攻击的风‎险。

NAT功能通‎常被集成到路由器、防‎火墙、单独的NAT设‎备中，当然，现在比较‎流行的操作系统或其他‎软件（主要是代理软件‎，如WINROUTE‎），大多也有着NAT‎的功能。

NAT设备（‎或软件）维护一个状态‎表，用来把内部网络的‎私有IP地址映射到外‎部网络的合法IP地址‎上去。

每个包在NAT‎设备（或软件）中都被‎翻译成正确的IP地址‎发往下一级。

与普通路‎由器不同的是，NAT‎设备实际上对包头进行‎修改，将内部网络的源‎地址变为NAT设备自‎己的外部网络地址，而‎普通路由器仅在将数据‎包转发到目的地前读取‎源地址和目的地址。

‎N AT分为三种类型：‎静态NAT（stat‎i cNAT）、NAT‎池（pooledNA‎T）和端口NAT（P‎A T）。

其中静态NA‎T将内部网络中的每个‎主机都被永久映射成外‎部网络中的某个合法的‎地址，而NAT池则是‎在外部网络中定义了一‎系列的合法地址，采用‎动态分配的方法映射到‎内部网络，端口NAT‎则是把内部地址映射到‎外部网络的一个IP地‎址的不同端口上。

‎废话说了不少，让我‎们转入正题，看一下如‎何利用NAT保护内部‎网络。

使用网络地址‎转换NAT，使得外部‎网络对内部网络的不可‎视，从而降低了外部网‎络对内部网络攻击的风‎险性。

在我们将内部‎网络的服务使用端口映‎射到NAT设备（或是‎软件）上时，NAT设‎备看起来就像一样对外‎提供服务器一台服务器‎一样（如图一）。

nat是对路由器网络地址转换注：进行配置任务一、静态NA T配置要求：路由器内部IP ：192.168.100.1/24 ，外部IP：211.101.3.1/24；将内部主机192.168.100.2/24转换成211.101.3.10/24，将内部主机192.168.100.3/24转换为211.101.3.11/24。

router(config)#interface fa0/0router(config-if)#ip address192.168.100.1 255.255.255.0router(config-if)#no shutrouter(config)#interface ser1/0router(config-if)#ip address 211.101.3.1 255.255.255.0router(config-if)#no shutrouter(config)#0.0.0.0 0.0.0.0 211.101.3.2router(config)#ip nat inside source static192.168.100.2 211.101.3.10router(config)#ip nat inside source static 192.168.100.3 211.101.3.11router(config)#interface fa0/0router(config-if)#ip nat insiderouter(config)#interface ser1/0router(config-if)#ip nat outside测试ping 211.101.3.2router#show ip nat translations任务二、动态nat配置要求：路由器内部IP 192.168.100.1/24 ，外部IP：211.101.3.1/24；将内部主机192.168.100.0/24转换成211.101.3.100/24——211.101.3.150/24router(config)#interface fa0/0router(config-if)#ip address 192.168.100.1 255.255.255.0router(config-if)#no shutrouter(config)#interface ser1/0router(config-if)#ip address 211.101.3.1 255.255.255.0router(config-if)#no shutrouter(config)#0.0.0.0 0.0.0.0 211.101.3.2定义地址池router(config)#ip nat pool dyn 211.101.3.100 211.101.3.150 netmask 255.255.255.0注：dyn是地址池的名字定义访问控制列表router(config)#access-list 1 permit 192.168.100.0 0.0.0.255启动动态natrouter(config)#ip nat inside source list 1 pool dynrouter(config)#interface fa0/0router(config-if)#ip nat insiderouter(config)#interface ser1/0router(config-if)#ip nat outside测试ping 211.101.3.2router#show ip nat translations任务三、PAT的配置要求：路由器内部IP 192.168.100.1/24 ，外部IP：211.101.3.1/24；将内部主机192.168.100.0/24转换成211.101.3.100/24——211.101.3.150/24注：PAT是NAT的一个子集前面配置和动态nat一样区别在：定义地址池：router(config)#ip nat pool dyn 211.101.3.100 211.101.3.100 netmask 255.255.255.0启动动态nat:router(config)#ip nat inside source list 1 pool dyn overload 其他一样。

解决虚拟机上网问题要保证虚拟机系统可以上网，得先解决虚拟机和真实主机的连接关系。

VMware给出3种模式，我们常用的有“bridge（桥接）”和“Net（网络地址转换）”方式。

设置方法：单击“虚拟机”→“设置”→“以太网，然后选择连接方式。

1.bridge（桥接）:将虚拟机网卡（本地连接）的IP地址和真实主机要设在同一IP段，其余与主机相同:例如主机ip是10.70.54.31,设置虚拟机ip为10.70.54.22。

netmask,broadcast,gateway,dns 都与主机相同即可实现虚拟机<--->主机；虚拟机<---->互联网通信。

这种情况适合局域网，而且网内没有特别限制的情形下使用，也适合与真实主机或局域网内主机进行网络共享。

如果ADSL单机拨号用户使用这个模式的话，要登录互联网，先得断开真实主机的ADSL连接，再在虚拟机系统建立ADSL拨号连接，并使用ADSL线路的帐号和密码登录才可以上网。

即虚拟机与真实主机不能同时上网。

即：主机和虚拟机桥接共享式上网VMware虚拟机桥接方式与真实主机共享上网1、安装虚拟机，网络连接方式选择“桥接”2、在VMware菜单里，选择“编辑”---“虚拟网络设置”---“主机虚拟网络映射”---“VMnet0”，选择一个真实的网络适配器进行桥接（不要自动选择）3、在真实主机上，“网上邻居”右键属性，找到上一步选择的网络适配器相应的网络连接，更改其IP地址为“192.168.0.1”，子网掩码“255.255.255.0”，其他为空即可4、在虚拟机上更改本地连接的IP地址为“192.168.0.2”，子网掩码“255.255.255.0”，，网关“192.168.0.1”，DNS服务器“202.102.224.68”5、在主机上将用来上互联网的连接共享即可实现虚拟机通如果想让虚拟主机拨号主机共享，就把3、4两步在虚拟机对调设置2.nat :这种模式下虚拟机系统经过虚拟机网络的特别转换，共享真实主机的IP上网。

《网络互联技术》练习题第八章：网络地址转换参考答案一、填空题1、_网络地址转换_是用于将一个地址域（如企业内部网Intranet）映射到另一个地址域（如国际互联网Internet）的标准方法。

2、网络地址转换共有四种类型，它们是：静态地址转换、动态地址转换、_端口地址转换_和TCP负载均衡。

二、选择题1、网络地址和端口翻译（NAPT）用（ C ），这样做的好处是（ D ）。

（1）A、把内部的大地址空间映射到外部的小地址空间B、把外部的大地址空间映射到内部的小地址空间C、把内部的所有地址映射到一个外部地址D、把外部的所有地址映射到一个内部地址（2）A、可以快速访问外部主机B、限制了内部对外部主机的访问C、增强了访问外部资源的能力D、隐藏了内部网络的IP配置2、NAT（网络地址转换）的功能是什么？（ D ）A、将IP协议改为其它网络协议B、实现ISP（因特网服务提供商）之间的通讯C、实现拨号用户的接入功能、D、实现私有IP地址与公共IP地址的相互转换3、如果企业内部需要连接入Internet的用户一共有400个，但该企业只申请到一个C类的合法IP地址，则应该使用哪种NAT方式实现（ C ）。

A、静态NATB、动态NATC、PATD、TCP负载均衡4、Tom的公司申请到5个IP地址，要使公司的20台主机都能联到INTERNET上，他需要防火墙的那个功能？( B )A、假冒IP地址的侦测B、网络地址转换技术C、内容检查技术D、基于地址的身份认证三、多项选择题1、下列关于地址转换的描述，正确的是（ ABD ）。

A、地址转换有效地解决了因特网地址短缺所面临的问题B、地址转换实现了对用户透明的网络外部地址的分配C、使用地址转换后，对IP包加密、快速转发不会造成什么影响D、地址转换为内部主机提供了一定的“隐私”保护E、地址转换使得网络调试变得更加简单2、下面有关NAT叙述正确的是（ ABD ）。

A、NAT是英文“地址转换”的缩写，又称地址翻译B、NAT用来实现私有地址与公用网络地址之间的转换C、当内部网络的主机访问外部网络的时候，一定不需要NATD、地址转换的提出为解决IP地址紧张的问题提供了一个有效途径3、下列关于地址池的描述，正确的说法是（ BC ）。

不错的。

如何将两个好技术共用但又使它们相安无事,是很多人正在思考的问题。

网络安全IPsec(IP Security)和网络地址转换NAT（Net Address Translation）应用已经十分广泛了，但是要使它们运行在一起，却不是一件容易的事。

从IP的角度来看，NAT对IP的低层进行了修改，对IP是一种背叛；而从应用的角度来看，网络管理人员必须要处理网络地址的问题，NAT使用户可以采取多种方式把自己的网络和主机对外部公共网络隐藏起来，是一种好的工具，现在，无论是大企业还是中小企业都在使用它。

与NAT类似，IPsec也是一种好工具，它使用户可以安全地通过Internet联接到远程终端。

然而，由于IPsec协议架构本身以及缺乏支持IPsec的NAT设备，当IPsec和NAT在一起运行时就会出现很多问题。

解决这些问题最简单的办法，就是再增加一个路由器来运行NAT和虚拟专用网VPN。

可是，对于多数情况来说并没有多余的路由器来执行这一功能，因此，要解决两者共存的问题，就必须对IPsec和NAT 有一定的了解。

NAT的基本原理和类型NAT能解决令人头痛的IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。

它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。

NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。

NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。

每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这意味着给处理器带来了一定的负担。

但对于一般的网络来说，这种负担是微不足道的。

NAT有三种类型：静态NAT、动态地址NAT、网络地址端口转换NAPT。

其中静态NAT 设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。

NET-“src-nat”和“dst-nat”其中dst指：destination ：目的，目标其中src指：source：来源, 根源网络地址转换(NAT,Network Address Translation)src-nat是源地址转换,其作用是将ip数据包的源地址转换成另外一个地址,首先我们说一下snat中几个参数的含义,action，这是说明用的哪种转换方式,通常我们用masqurade，nat这两种,在特殊情况下用accept(主要是内网中有公网地址存在的情况)方法，protocol说明对哪些传输协进行转换(通常有tcp,udp等),out-interface说明通过哪一个网卡进行转换(通常是外网卡outside)，to-src-address是将源地址伪装成哪些地址(可以是一个也可以是很多个),to-src-pot是将源端口伪装成哪些端口(可以是一个也可以是很多个),dst-address是指发向哪些主机的数据包要进行伪装(可以一个可以多个)，dst-port是指发向哪些端口的数据包进行伪装(可以一个可以多个)，src-address是指对哪些源地址进行伪装(可以一个可以多个),src-port是指从哪些源端口发出的数据包进行伪装(可以一个可以多个)下面的论述中,ACTION(转换方式)都是以NAT为例.再综合网上其它的相关资料，以我现有的理解，和具体的试验,再作些补充：要做src-nat，除了指明协议\端口\转换成什么地址外,还要谈到是在那块网卡(接口)上做这个“源地址地址转换”。

比如，要让内网的电脑通过ros访问外网，那么就由与公网连接的网卡做snat，在添加src-nat 规则时，general页的out-interface就应选"外网卡",当然,用默认设置"all"也就包含了"外网卡",但这不利于理解src-nat理解了src-nat ,dst-nat就很好理解了,src-nat是ros将内网电脑发出的数据包的地址中的源地址进行转换然后发往外网,在数据包中,被转换的地址是源地址,所以叫源地址转换.而dst-nat则刚好相反,它是ros将公网发来的数据包的地址中的目的地址进行转换(当然这个目的地址就是ros的公网ip),然后发给内网的电脑,在数据包中,被转换的地址是目的地址,所以叫目的地址转换.同样,dst-nat除了指定转换后的地址外,也将涉及是在那块网卡(接口)上进行,例如,要将公网发给ros的a端口的数据包转给内网ip为b的c端口,那么设置好a\b\c的值后,在dst-nat规则general 页的in-interface里,应选择与b地址网段相连的网卡(接口),显然这是一块内网卡,当然,用默认设置"all"也就包含了这块"内网卡",但这不利于理解DST-nat到这里可以明白什么是端口映射了,它就是dst-nat中的一条转换规则.再来谈"回流",引用一段文字--"什么叫回流呢，就是当内网有服务映射到网关后,内网主机也可以用网关外部地址访问"由上面的定义可以清楚"回流"要完成的操作:1、内网电脑向ros发送目的地址为公网ip的数据包（当然这个IP就是ROS的公网IP）.2、ros通过源地址转换规则(SRC-NAT)中选定的A网卡(接口)将数据包地址中的源地址转换为公网IP(目的地址不变,仍为公网IP)3、ROS通过目的地址转换规则(DST-NAT)中选定的B网卡(接口)将数据包地址中的目的地址转换为内网地址,然后发给相应的内网电脑.但是问题来了,如果A网卡(接口)将数据包地址转换后就往公网发送,那么数据包就无法再回到路由器并转发给内网了.如果能让数据包不出路由器,在路由器内完成SRC-NAT和DST-NAT这两种地址转换,那么就可以实现回流了.呵呵,让A=B就可以实现了.就是说,添加一条SRC-NAT和一条DST-NAT规则,而这两条规则中所指定的网卡都是与内网相连的同一块网卡.ROS限速讲解[告诉你英文的意思是什么]一般我们用ros限速只是使用了max-limit，其实ros限速可以更好的运用。