nat
NAT详解课件(PPT演示)
实例效果
D 内网用户通过NAT服务器成功访问公网资源,
NAT服务器记录转换日志便于排查问题。
05 NAT故障排除与诊断
常见NAT故障现象及原因
01
02
03
无法实现地址转换
可能是由于NAT配置错误、 地址池耗尽或网络设备故 障等原因导致。
网络性能下降
NAT处理过程中可能出现 性能瓶颈,如CPU占用率 高、内存不足等,导致网 络传输延迟和抖动。
在出口路由器上应用NAT 配置,`ip nat inside`和`ip nat outside`分别指定内外 网接口。
动态NAT配置注意事项
确保内部本地地址与内部全 局地址不重叠,以避免地址 冲突。
合理规划公网IP地址池,确 保足够的地址资源供NAT转 换使用。
在配置动态NAT映射时,注 意访问控制列表的匹配条件, 确保需要转换的地址能够被 正确匹配。
03
NAPT(Network Address Port Translation,网络地址 端口转换):除了转换IP地址外,还同时转换端口号,实 现多个私有网络主机共享一个公网IP地址。适用于公网IP 地址资源紧张的场景。
NAT应用场景及优势
应用场景:家庭网络、企业网络、运营商网络等需要实现私 有网络地址与公网地址转换的场景。 优势 缓解IPv4地址短缺问题,提高公网IP地址利用率。 隐藏内部网络结构,提高网络安全性。 实现网络地址与端口的复用,降低网络成本。
NAT技术展望与发展趋势
IPv6与NAT
NAT与云计算
随着IPv6的普及,NAT的需求将逐渐减少 ,但NAT技术仍将在某些场景下发挥作用 。
在云计算环境中,NAT技术可以帮助实现 虚拟机之间和虚拟机与外部网络之间的通 信。
nat基本技术
NAT基本技术一、什么是NAT二、NAT的原理2.1 内网地址和外网地址2.2 NAT的转换过程2.3 NAT的分类三、NAT的应用场景3.1 网络地址转换3.2 网络访问控制3.3 负载均衡3.4 隐藏内部网络拓扑结构四、NAT的优点和缺点4.1 优点4.2 缺点五、NAT的实现方式5.1 静态NAT5.2 动态NAT5.3 PAT六、NAT的配置与管理6.1 NAT的配置步骤6.2 NAT的管理与监控七、NAT与IPv6的关系7.1 NAT与IPv6的冲突7.2 NAT64和DNS64八、NAT的安全性8.1 NAT的安全性问题8.2 NAT的安全加固九、未来发展趋势9.1 IPv6的推广9.2 SDN与NAT的结合十、结论NAT(Network Address Translation)是一种网络技术,用于解决IP地址不足的问题。
本文将全面、详细、完整地探讨NAT基本技术,包括其原理、应用场景、优缺点、实现方式、配置与管理、与IPv6的关系、安全性以及未来发展趋势。
一、什么是NATNAT是一种将内部网络地址转换为外部网络地址的技术,主要用于解决IPv4地址不足的问题。
通过NAT,多个内部设备可以共享一个公网IP地址,从而节省了IP 地址资源。
二、NAT的原理2.1 内网地址和外网地址在NAT中,内网地址指的是在内部网络中使用的私有IP地址,而外网地址则是公网IP地址。
内网地址通常是由私有IP地址段分配,而外网地址则是由ISP (Internet Service Provider)提供。
2.2 NAT的转换过程NAT的转换过程分为两个阶段:出站转换和入站转换。
在出站转换中,内网地址被转换为外网地址,以便与外部网络进行通信。
而在入站转换中,外网地址被转换为内网地址,以便将外部网络的数据传递到正确的内部设备。
2.3 NAT的分类NAT可以分为静态NAT、动态NAT和PAT(Port Address Translation)。
nat技术
PAT的配置
NAT过载(PAT) 一、利用地址池复用 1、ip nat inside source list 访问控制列表 号码 pool 地址池名字 overload 二、利用接口复用 2、ip nat inside source list访问控制列 表号码 interface 外部接口 三、外网地址转换内网地址 ip nat inside source static tcp 内网IP 80 外 网IP 80
5
实验
练习一:当访问 200.1.1.8时,访问 192.168.2.1 练习二:一网段可以 PING通192.168.3.1, 但反向不行 练习三:一网段访问 外网用200.1.1.9和 200.1.1.10 练习四:路由器只有 一个合法地址 200.1.1.1,让一网段 可以访问192.168.3.1
NAT技术的定义
NAT英文全称是Network Address Translation, 称是网络地址转换,它是一个IETF标准,允许一 个机构以一个地址出现在Internet上。NAT将每个 局域网节点的地址转换成一个IP地址,反之亦然。
NAT技术的基本原理和类型
在内部网络中使用内部地址,通过NAT把内部地 址翻译成合法的IP地址在Internet上使用,其具体 的做法是把IP包内的地址用合法的IP地址来替换。 NAT有三种类型: 1、静态NAT(Static NAT) 2、动态地址NAT(Pooled NAT) 3、网络地址端口转换PAT (:开启地址池(转换后的地址) Router(config)#ip nat pool baobao 10.1.1.10 10.1.1.20 netmask 255.255.255.0 第二步:选择合法地址(符合访控的进入转换) Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 第三步:启动NAT转换 Router(config)#ip nat inside source list 1 pool baobao 第四步:指定内部接口 Router(config)#interface fa 0/0 Router(config-if)#ip nat inside 第五步:指定外部接口 Router(config)#interface s 0/0 Router(config-if)#ip nat outside
最细nat讲解
最细nat讲解
NAT(Network Address Translation,网络地址转换)是一种将私有IP
地址转换为公有IP地址的技术,使得私有网络中的设备能够访问互联网。
NAT的工作原理是将内网地址和端口号转换成合法的公网地址和端口号,
建立会话,与公网主机进行通信。
NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发。
NAT的功能主要包括解决IP地址不足的问题、避免来自网络外部的攻击、
隐藏并保护网络内部的计算机等。
NAT还具有宽带分享和安全防护等功能。
在宽带分享方面,NAT使得多个私有网络用户可以共享一个公有IP地址访问互联网,提高了网络资源的利用率。
在安全防护方面,NAT隐藏了内部
网络结构,保护了网络内部的计算机,减少了来自互联网的攻击风险。
需要注意的是,NAT技术也有一些限制和潜在问题。
例如,NAT会改变数
据包的源地址和端口号,导致一些依赖于IP地址和端口号的应用程序无法
正常工作。
此外,NAT也会增加网络延迟和丢包的可能性,尤其是在大型
网络中。
因此,在使用NAT技术时需要权衡利弊,并根据实际需求进行合
理配置。
第4章 网络地址转换(NAT)
第4章网络地址转换(NAT)⏹NAT概述随着网络的发展,公用IP地址的需求与日俱增。
为了缓解公用IP地址的不足,并且保护公司内部服务器的私网地址,可以使用NAT(Network Address Translation,网络地址转换)技术将私网地址转化成为公网地址,缓解IP地址的不足,并且隐藏内部服务器的私网地址。
⏹NAT的概述与现实方式1.NAT概念网络地址转换(NAT)通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上,广泛应用于各种类型的互联网接入方式和各种类型的网络中。
原因很简单,NAT不仅解决了IP地址不足的问题,而且还能够隐藏内部网络的细节,避免来自网络外部的攻击,起到一定的安全作用。
借助于NAT,私有保留地址的内部网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,这样一个局域网只需要少量地址(甚至是一个),即可实现使私有地址网络中的所有计算机与互联网的通信需求。
2.NAT的实现方式NAT的实现方式有以下三种:静态转换(Static Translation)动态转换(Dynamic Translation)端口多路复用(Port Address Translation,PAT)静态转换IP地址的对应关系是一对一且不变的,并没有节约公用IP地址,只是隐藏了主机的真实地址。
动态转换虽然在一定情况下节约了公用IP地址,但是当内部网络同时访问Internet的主机数大于合法地址池中的IP地址数时就不适用了。
端口多路复用可以使所有的内部网络主机共享一个合法的外部IP地址,从而最大限度的节约IP地址资源。
由于动态转换形成的IP地址的对应关系是不确定的、随机的;端口多路复用使用的是端口号的转换,也是不确定的,所以内网服务器不能使用这两种转换方式,这是由于外网用户无法确定服务器合法的公网IP地址,导致无法访问服务器。
这时使用静态转换将私有IP地址转换为固定的合法的IP地址,这样服务器有了固定的合法的公网IP地址,才能实现外网的访问。
nat功能描述
nat功能描述
Nat是Network Address Translation(网络地址转换)的缩写,
是一种实现IPv4地址重用的技术。
它将内部网络中的私有IP
地址转换为公共IP地址,使得多个内部设备可以共享公共IP
地址访问互联网。
Nat功能的描述如下:
1. 地址转换:Nat通过将内部设备的私有IP地址映射为公共
IP地址,实现网络地址的转换。
内部设备可以通过公共IP地
址与外部网络通信,而外部网络只能看到公共IP地址,无法
直接访问内部设备的私有IP地址。
2. IP伪装:Nat可以隐藏内部网络的真实IP地址,提高网络
安全性。
外部网络无法直接了解内部网络的IP地址范围,只
能看到公共IP地址,从而增加了网络的隐私性。
3. 连接复用:Nat可以实现多个内部设备共享一个公共IP地址。
它通过在转换时使用不同的端口号来区分不同的内部设备,从而在公共IP地址上支持多个内部设备与外部网络的通信。
4. 统一出口:Nat将内部设备的请求汇集为一个公共IP地址,从而实现了统一的出口。
这样,对外部网络而言,内部网络的所有设备都通过同一个IP地址与其通信,提高了网络的效率
和管理。
5. 网络管理:Nat可以提供网络管理功能,包括端口转发、负
载均衡等功能。
它可以根据网络需求,将外部网络的请求转发到合适的内部设备上,从而实现灵活的网络管理。
总之,Nat功能可以提供IPv4地址重用、网络安全性、多设备共享公共IP地址、统一出口和网络管理等功能,使得内部网络能够更好地与外部网络通信和管理。
nat名词解释
nat名词解释
名词“nat”有多个不同的含义和解释。
以下是其中几个常见的解释:
1. NAT(网络地址转换):网络地址转换是一种网络通信协议,用于将一个或者多个私有网络IP地址转换为公共网络IP 地址。
通过NAT,多台设备可以通过公共网络共享一个公共IP地址。
这种技术广泛应用于家庭和企业网络中,以提高网络连接的安全性和效率。
2. NAT(National Air Transportation Association):国家航空运输协会是美国一家非营利组织,代表着美国通用航空行业的利益。
该组织致力于促进航空业的发展和安全,并与政府和其他相关组织合作,制定行业标准和政策。
3. NAT(New Age Traveler):新时代旅行者是一种子文化群体,主要由年轻人组成,他们崇尚自由、和平和反消费主义。
他们通常生活在流浪之中,居无定所,以旅行为生,依靠自己的能力和人际关系获得生活所需。
4. NAT(Neutrophil-Activating Protein):中性粒细胞活化因子是一种蛋白质,它在免疫系统中发挥重要作用。
中性粒细胞是一类白细胞,主要负责人体防御细菌和炎症反应。
中性粒细胞活化因子能够激活中性粒细胞,增强它们对微生物的杀伤能力。
总而言之,“nat”是一个具有多重含义和解释的名词,其含义根据上下文和领域而有所不同。
Nat定义、作用、优缺点、种类、配置
Nat 的定义、作用、优缺点、种类、配置nat,地址转换协议,它是在现在地址比较稀缺的情况下,解决私有地址如何上公网的问题。
它有以下优点:1、缓解地址空间不足2、对外隐藏内网缺点:1、每个数据都要经过nat检查,导致延时2、无法实现端到端跟踪,有些应用会受影响进行nat配置时,我们首先要明白里口和外口的概念。
一般在路由器或防火墙上面,将面向内网的定义为内口,将连接外网的定义为外口。
在实际的运用中,有两种情况:一、用户主动发起对公网的连接这种情况下,用户从定义的内口进入路由器差路由表找出口,如果符合内口进外口出的条件,切符合nat转换条件则转换源ip地址,并记录相关信息,即先路由后nat。
回来的数据基于已经存在的nat转换表进行转换目标ip,转换后的数据再查路由表找出口,即先nat后路由。
二、对外提供服务如果内网有服务器对外提供服务,一般会分配公网地址,如果是私有地址则在路由器上创建nat转换关系。
nat的配置一、动态nat。
此即地址复用技术,分配一段公有地址池,当有用户数据要访问公网时则分配一个公有地址。
1、定义里外口int 0/0no ship addip nat inside2.定义转换的用户列表access-list 1 deny 192.168.1.10access-list 1 permit 192.168.1.0 0.0.0.2553定义共有地址池ip nat pool bluefox 起始地址结束地址子网掩码4 定义如何转换ip nat inside source list 1 pool bluefox 用bluefox地址池的地址转换内部的源地址,内口进外口出二、端口地址转换。
解决没有固定公有地址,无法形成地址池的问题,即用一个公有地址进行共享使用ip nat inside source list 1 interface s1/0 overload(在前面的内容后面加一个overload)希望对你有用。
NAT的基本原理与应用
确保NAT只对必要的网络流量进行转换,避 免安全漏洞。
端口管理
合理规划和管理NAT端口池,避免端口冲突 和耗尽。
性能考虑
合理配置NAT规则,避免对网络性能产生过 大影响。
NAT配置的常见问题及解决方案
问题1
无法访问外部网络
解决方案
检查NAT规则是否正确配置,确保内 部网络设备使用的IP地址和端口号与 NAT规则匹配。
NAT的主要类型
1 2
静态NAT
将私有IP地址静态映射到公共IP地址,适用于固 定设备或服务器。
动态NAT
将多个私有IP地址映射到少量公共IP地址,适用 于大量设备共享少量公网IP的情况。
3
端口NAT
通过改变传输层端口号来实现地址转换,适用于 需要同时映射多个私有IP地址的情况。
NAT的工作原理
网络安全防护
• NAT技术可以提供一定的网络安全防护功能。通过 将内部私有IP地址转换为外部公有IP地址,NAT技术 可以隐藏内部网络结构,防止黑客攻击和入侵。同 时,NAT技术还可以实现流量过滤和访问控制,提 高网络安全性能。
03
NAT的配置与实现
NAT的配置步骤
确定NAT需求
明确需要使用NAT的场景和目的,例如 将私有IP地址转换为公共IP地址。
缓解IPv4地址不足的问题
随着互联网的普及和发展,IPv4地址资源逐渐耗尽,NAT技 术可以有效缓解IPv4地址不足的问题。通过将多个私有IP地 址映射到一个公有IP地址,NAT技术可以实现复用IP地址, 节省地址资源。
NAT技术可以帮助实现网络地址转换,将私有IPv4地址转换 为IPv6地址。随着IPv6的推广和应用,NAT技术可以帮助实 现IPv4到IPv6的过渡,促进网络的升级和发展。
网络地址转换(NAT)的简介
网络地址转换(NAT)的简介首先,要了解NAT 是一个过程,而不是一个结构化协议!1、IP NAT术语内部本地网络指的是连接到属于私有LAN的路由器接口的网络。
对于内部网络中的主机发送到外部目的地的分组,必须对其中的IP地址进行转换。
外部全局网络指的是与LAN外部的路由器相连的网络,它们不能识别LAN中主机的私有地址。
内部本地地址指的是内部网络主机配置的私有IP地址。
使用这种地址的分组离开内部网络前,必须对其地址进行转换。
内部全局地址指的是外部网络看到的内部主机的IP地址,这是转换后的IP地址。
外部本地地址是本地网络发送分组时使用的目标地址,它通常与外部全局地址相同。
外部全局地址是外部主机实际使用的公有IP地址,这种地址是从全局可路由地址空间分配的。
2、静态和动态NAT使用NAT的优点之一是,无法从公共Internet直接访问主机。
然而,如果需要从Internet访问内部网络中一台或多台主机运行的服务以及其他设备,该怎么办呢?从Internet访问本地主机,方法之一是给该设备指定静态地址转换。
静态转换可确保特定主机的私有IP地址总是转换为同一个全局IP地址,还将确保其他本地主机的IP地址不会转换为该注册地址。
这称为静态NAT。
动态NAT指的是路由器被配置成动态地给内部私有网络设备分配全局地址池中的IP地址。
只要会话没有关闭,路由器就将监控该内部全局地址,并向发起会话的内部设备发送确认。
会话结束时,路由器将内部全局地址归还到地址池。
动态NAT让内联网中使用私有IP地址的主机能够访问公共网络(如Internet);而静态NAT让公共网络中的主机能够访问私有网络中的特定主机。
这意味着配置NAT以便用户能够访问外部网络时,应配置动态NAT;如果希望外部主机能够访问内部网络中的设备,应使用静态NA T。
必要时,可同时部署这两种NAT方法。
3、基于端口的网络地址转换(PAT)如果机构注册的IP地址池很小甚至只有一个IP地址,仍可以通过NAT重载(端口地址转换(P AT))机制,使多个用户可以同时访问公共网络。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
NAT技术白皮书NAT技术白皮书关键词:NAT,NAPT,ALG,EASY IP,DNS mapping摘要:本文对NAT技术产生的背景、原理以及实现方式等进行了整体介绍,其中包括各种NAT转换方式的使用方法、适用范围和组网方案等。
缩略语:1 概述1.1 产生背景随着Internet的发展和网络应用的增多,IPv4地址枯竭已成为制约网络发展的瓶颈。
尽管IPv6可以从根本上解决IPv4地址空间不足问题,但目前众多网络设备和网络应用大多是基于IPv4的,因此在IPv6广泛应用之前,一些过渡技术(如CIDR、私网地址等)的使用是解决这个问题最主要的技术手段。
其中,使用私网地址之所以能够节省IPv4地址,主要是利用了这样一个事实:一个局域网中在一定时间内只有很少的主机需访问外部网络,而80%左右的流量只局限于局域网内部。
由于局域网内部的互访可通过私网地址实现,且私网地址在不同局域网内可被重复利用,因此私网地址的使用有效缓解了IPv4地址不足的问题。
当局域网内的主机要访问外部网络时,只需通过NAT技术将其私网地址转换为公网地址即可,这样既可保证网络互通,又节省了公网地址。
说明:●IANA保留以下三个网段中的地址作为私网地址:10.0.0.0/8、172.16.0.0/12和192.168.0.0/16。
●使用私网地址的主机不能直接访问Internet,而在Internet上也不能直接访问使用私网地址的主机。
1.2 技术优点作为一种过渡方案,NAT通过地址重用的方法来满足IP地址的需要,可以在一定程度上缓解IP地址空间枯竭的压力。
它具备以下优点:●对于内部通讯可以利用私网地址,如果需要与外部通讯或访问外部资源,则可通过将私网地址转换成公网地址来实现。
●通过公网地址与端口的结合,可使多个私网用户共用一个公网地址。
●通过静态映射,不同的内部服务器可以映射到同一个公网地址。
外部用户可通过公网地址和端口访问不同的内部服务器,同时还隐藏了内部服务器的真实IP地址,从而防止外部对内部服务器乃至内部网络的攻击行为。
●方便网络管理,如通过改变映射表就可实现私网服务器的迁移,内部网络的改变也很容易。
2 NAT技术实现NAT的基本原理是仅在私网主机需要访问Internet时才会分配到合法的公网地址,而在内部互联时则使用私网地址。
当访问Internet的报文经过NAT网关时,NAT网关会用一个合法的公网地址替换原报文中的源IP地址,并对这种转换进行记录;之后,当报文从Internet侧返回时,NAT网关查找原有的记录,将报文的目的地址再替换回原来的私网地址,并送回发出请求的主机。
这样,在私网侧或公网侧设备看来,这个过程与普通的网络访问并没有任何的区别。
2.1 NAT实现方式2.1.1 Basic NAT方式Basic NAT方式属于一对一的地址转换,在这种方式下只转换IP地址,而对TCP/UDP协议的端口号不处理,一个公网IP地址不能同时被多个用户使用。
图1 Basic NAT方式原理图如图1所示,Basic NAT方式的处理过程如下:(1)NAT设备收到私网侧主机发送的访问公网侧服务器的报文。
(2)NAT设备从地址池中选取一个空闲的公网IP地址,建立与私网侧报文源IP地址间的NAT 转换表项(正反向),并依据查找正向NAT表项的结果将报文转换后向公网侧发送。
(3)NAT设备收到公网侧的回应报文后,根据其目的IP地址查找反向NAT表项,并依据查表结果将报文转换后向私网侧发送。
说明:由于Basic NAT这种一对一的转换方式并未实现公网地址的复用,不能有效解决IP地址短缺的问题,因此在实际应用中并不常用。
2.1.2 NAPT方式由于Basic NAT方式并未实现地址复用,因此并不能解决公网地址短缺的问题,而NAPT方式则可以解决这个问题。
NAPT方式属于多对一的地址转换,它通过使用“IP地址+端口号”的形式进行转换,使多个私网用户可共用一个公网IP地址访问外网,因此是地址转换实现的主要形式。
图2 NAPT方式原理图如图2所示,NAPT方式的处理过程如下:(1)NAT设备收到私网侧主机发送的访问公网侧服务器的报文。
(2)NAT设备从地址池中选取一对空闲的“公网IP地址+端口号”,建立与私网侧报文“源IP地址+源端口号”间的NAPT转换表项(正反向),并依据查找正向NAPT表项的结果将报文转换后向公网侧发送。
(3)NAT设备收到公网侧的回应报文后,根据其“目的IP地址+目的端口号”查找反向NAPT 表项,并依据查表结果将报文转换后向私网侧发送。
2.1.3 NAT Server方式出于安全考虑,大部分私网主机通常并不希望被公网用户访问。
但在某些实际应用中,需要给公网用户提供一个访问私网服务器的机会。
而在Basic NAT或NAPT 方式下,由于由公网用户发起的访问无法动态建立NAT表项,因此公网用户无法访问私网主机。
NAT Server(NAT内部服务器)方式就可以解决这个问题——通过静态配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,NAT设备可以将公网地址“反向”转换成私网地址。
图3 NAT Server方式原理图如图3所示,NAT Server方式的处理过程如下:(1)在NAT设备上手工配置静态NAT转换表项(正反向)。
(2)NAT设备收到公网侧主机发送的访问私网侧服务器的报文。
(3)NAT设备根据公网侧报文的“目的IP地址+目的端口号”查找反向静态NAT表项,并依据查表结果将报文转换后向私网侧发送。
(4)NAT设备收到私网侧的回应报文后,根据其“源IP地址+源端口号”查找正向静态NAT 表项,并依据查表结果将报文转换后向公网侧发送。
2.1.4 EASY IP方式EASY IP方式是指直接使用接口的公网IP地址作为转换后的源地址进行地址转换,它可以动态获取出接口地址,从而有效支持出接口通过拨号或DHCP方式获取公网IP地址的应用场景。
同时,EASY IP方式也可以利用访问控制列表来控制哪些内部地址可以进行地址转换。
EASY IP方式特别适合小型局域网访问Internet的情况。
这里的小型局域网主要指中小型网吧、小型办公室等环境,一般具有以下特点:内部主机较少、出接口通过拨号方式获得临时公网IP地址以供内部主机访问Internet。
对于这种情况,可以使用EASY IP方式使局域网用户都通过这个IP地址接入Internet。
图4 EASY IP方式原理图如图4所示,EASY IP方式的处理过程如下:(1)NAT设备收到私网侧主机发送的访问公网侧服务器的报文。
(2)NAT设备利用公网侧接口的“公网IP地址+端口号”,建立与私网侧报文“源IP地址+源端口号”间的EASY IP转换表项(正反向),并依据查找正向EASY IP表项的结果将报文转换后向公网侧发送。
(3)NAT设备收到公网侧的回应报文后,根据其“目的IP地址+目的端口号”查找反向EASY IP表项,并依据查表结果将报文转换后向私网侧发送。
1.1.2 DNS Mapping方式在某些应用中,私网用户希望通过域名访问位于同一私网的内部服务器,而DNS 服务器却位于公网。
由于通常DNS响应报文中携带的是内部服务器的公网IP地址,因此若不在NAT设备上进行处理,私网用户将无法通过域名访问到内部服务器。
这个问题可以使用DNS Mapping方式来解决,通过配置“域名—公网IP地址—公网端口—协议类型”映射表,建立内部服务器的域名与其公网信息间的对应关系。
图5 DNS Mapping方式原理图如图5所示,私网用户Host希望通过域名方式访问Web服务器。
当NAT设备收到DNS响应报文后,先根据其中携带的域名查找DNS Mapping映射表,再根据“公网IP地址—公网端口—协议类型”查找Web服务器,然后将DNS响应报文中的公网IP地址替换成Web服务器的私网IP地址。
这样,Host收到的DNS响应报文中就携带了Web服务器的私网IP地址,从而可以通过域名来访问Web服务器。
2.2 ALG机制2.2.1 ALG机制简介通常情况下,NAT只改变IP报文头部地址信息,而不对报文载荷进行分析,这对于普通的应用层协议(如Telnet)来说,并不会影响其业务的开展;然而有一些应用层协议,其报文载荷中可能也携带有地址或端口信息,若这些信息不能被有效转换,就可能导致问题。
譬如,某些应用层协议会在客户端与服务器之间协商端口号,然后服务器使用协商出的端口号向客户端发起连接。
如果NAT设备对二者的协商过程一无所知,那么当服务器向客户端发起连接时,就会因为在NAT设备上找不到内部与外部的IP地址/端口号对应关系而造成连接失败。
这个问题可以通过应用级网关(ALG)机制来解决。
ALG是特定应用协议的转换代理,它通过对IP报文的载荷进行解析,改变封装在其中的地址和端口信息,并完成其它必要的工作以使应用协议可以穿越NAT。
ALG机制可处理的应用层协议包括DNS、FTP、H.323、ILS和SIP等,下面以FTP协议为例介绍ALG处理的过程。
2.2.2 FTP协议的ALG处理在FTP工作过程中,客户端与服务器之间将建立两条TCP连接:一条为控制连接,负责传输诸如用户指令和参数等控制信息,其中包括发起数据连接时要用到的端口信息;另一条为数据连接,负责在服务器与客户端之间建立数据通道以传送文件。
FTP可分为主动和被动两种模式,根据所采用的模式以及服务器/客户端的位置来决定是否需要进行ALG处理:1. 主动模式在主动模式下,在由客户端发起控制连接中,客户端将指定的端口通过PORT指令发送给服务器,然后由服务器向该端口发起数据连接,因此:●当客户端位于公网而服务器位于私网时,由于客户端向服务器通告的是公网地址和端口,服务器可直接向其发起数据连接,因此无需在控制连接中进行ALG处理;●当客户端位于私网而服务器位于公网时,由于客户端向服务器通告的是私网地址和端口,因此需在控制连接中通过ALG处理将其转换为公网地址和端口,以供服务器发起数据连接所用,其过程如图6所示。
图6 主动模式下的ALG处理(1)首先,由客户端向服务器发送PORT指令,以向服务器通知发起数据连接所应使用的地址和端口(IP 1,Port 1);(2)NAT设备收到该指令后,将其中所携带的私网地址和端口(IP 1,Port 1)替换为公网地址和端口(IP 2,Port 2),并据此创建相应的NAPT表项——此过程即为ALG处理;(3)服务器收到该指令后,主动向公网地址和端口(IP 2,Port 2)发起数据连接,并在通过NAT设备时被转化为私网地址和端口(IP 1,Port 1)。
2. 被动模式在被动模式下,在由客户端发起控制连接中,客户端向服务器发送PASV请求来通知服务器它将发起被动模式,服务器再将指定的端口通过PASV响应发送给客户端,然后由客户端向该端口发起数据连接,因此:●当服务器位于公网而客户端位于私网时,由于服务器向客户端通告的是公网地址和端口,客户端可直接向其发起数据连接,因此无需在控制连接中进行ALG处理;●当服务器位于私网而客户端位于公网时,由于服务器向客户端通告的是私网地址和端口,因此需在控制连接中通过ALG处理将其转换为公网地址和端口,以供客户端发起数据连接所用,其过程如图7所示。