NAT———网络地址翻译
路由器NAT教程
ADSL路由方式的NAT(端口映射)
2005-03-04 11:59:00.0 eNet硅谷动力 文章内容彩信发送 ________________________________________
NAT是网络地址翻译就是把公网IP翻译成私有地址, 又叫端口映射或端口转发. 采用路由方式是指ADSL拥有一个动态或固定的公网IP,ADSL直接接在HUB或交换机上,所有的电脑共享上网。这时ADSL的外部地址只有一个,比如61.177.*.*。 而内部的IP是人为设置的,比如ADSL设为192.168.0.1,下面的电脑就依次设为192.168.0.*(*表示1,2,3,...)。
路由器2501的配置:
Current configuration:
version 11.3
no service password-encryption
hostname 2501
ip nat inside source static 10.1.1.2 192.1.1.2
ip nat inside source static 10.1.1.3 192.1.1.3
ip nat outside
注:可以根据实际需要定义多个内部端口及多个外部端口。
实例1:
本实例实现静态NAT地址转换功能。将2501的以太口作为内部端口,同步端口0作为外部端口。其中10.1.1.2,10.1.1.3,10.1.1.4的内部本地地址采用静态地址转换。其内部合法地址分别对应为192.1.1.2,192.1.1.3,192.1.1.4。
点击中间的“Configure Global Address Pools and Reserved Mappings”。
NAT和DMZ的介绍
什么是NA TNA T——网络地址转换,是通过将专用网络地址(如企业内部网Intra net)转换为公用地址(如互联网Inte rnet),从而对外隐藏了内部管理的I P 地址。
这样,通过在内部使用非注册的IP地址,并将它们转换为一小部分外部注册的IP 地址,从而减少了IP地址注册的费用以及节省了目前越来越缺乏的地址空间(即IPV4)。
同时,这也隐藏了内部网络结构,从而降低了内部网络受到攻击的风险。
NAT功能通常被集成到路由器、防火墙、单独的NAT设备中,当然,现在比较流行的操作系统或其他软件(主要是代理软件,如WINROUTE),大多也有着NAT的功能。
NAT设备(或软件)维护一个状态表,用来把内部网络的私有IP地址映射到外部网络的合法IP地址上去。
每个包在NAT设备(或软件)中都被翻译成正确的IP地址发往下一级。
与普通路由器不同的是,NAT设备实际上对包头进行修改,将内部网络的源地址变为NAT设备自己的外部网络地址,而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。
N AT分为三种类型:静态NAT(stati cNAT)、NAT池(pooledNAT)和端口NAT(PA T)。
其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址,而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络,端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
废话说了不少,让我们转入正题,看一下如何利用NAT保护内部网络。
使用网络地址转换NAT,使得外部网络对内部网络的不可视,从而降低了外部网络对内部网络攻击的风险性。
在我们将内部网络的服务使用端口映射到NAT设备(或是软件)上时,NAT设备看起来就像一样对外提供服务器一台服务器一样(如图一)。
下列有关nat的描述
下面有关NAT叙述正确的是( )
(A) NAT是英文“位置转换”的缩写,又称位置翻译
(B) NAT用来实现私有位置与公用网络位置之间的转换
(C) 当内部网络的主机访问外部网络的时候,一定不需要NAT
(D) 位置转换的提出为解决IP位置紧张的问题提供了一个有效途径
答案:ABD
知识拓展:
NAT有3种类型:
(1)静态NAT(Static NAT):内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。
(2)动态地址NAT(Pooled NAT):在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。
(3)网络地址端口转换NAPT(Port-Level NAT):把内部地址映射到外部网络的一个IP地址的不同端口上。
nat的名词解释
nat的名词解释随着互联网的普及和快速发展,我们越来越离不开网络的支持。
而NAT (Network Address Translation,网络地址转换)作为一种关键的网络技术,扮演着连接计算机和网络之间的桥梁,对于我们日常的网络使用和安全起着重要的作用。
一、NAT的定义和作用网络地址转换是一种网络协议,它将私有IP地址转换为公共IP地址(也可以是其他私有IP地址),从而在局域网和广域网之间建立连接。
其基本功能是解决IPv4地址不足的问题。
在IPv4协议中,IP地址由32位二进制数组成,范围是0.0.0.0到255.255.255.255。
然而,由于全球范围内的IP地址有限,导致可分配的公共IP地址数量不足,不能满足每个设备都拥有一个公共IP地址的需求。
因此,私有IP地址的使用被广泛采纳,而NAT则提供了将私有IP地址与公共IP地址相互转换的方法。
通过NAT,局域网中的多个私有IP地址可共享一个公共IP地址,避免了IP 地址的浪费。
当局域网中的某个设备要访问互联网时,NAT将其私有IP地址翻译为公共IP地址,从而使得设备能够和互联网上的其他设备进行通信。
同时,NAT 还起到了对内部网络提供安全保护的作用,因为它能够隐藏内部网络的真实IP地址,增加了攻击者进入网络的难度。
二、NAT的类型NAT技术根据其实现方式和用途的不同分为多种类型,包括静态NAT、动态NAT、PAT(Port Address Translation)等。
1. 静态NAT静态NAT是最简单的NAT形式,它将一个局域网内部的私有IP地址映射为一个公共IP地址。
静态NAT的配置是固定的,一对一的映射关系由网络管理员手动设置,保持不变。
这种方式适合用于内部服务器对外提供服务的场景。
2. 动态NAT动态NAT相对于静态NAT,具有更高的灵活性。
它允许设备动态地从一个地址池中选择可用的公共IP地址,将内部设备的私有IP地址映射到这个公共IP地址上。
VPN vs NAT
NAT 网络地址翻译(Network Address Translation )技术主要是用来解决IPv4地址紧张的问题。
它通过将用户网络内部的网络地址映射成公网地址来达到目的,因为这种方法隐藏了内部地址,因此一个内部网络的机器需要访问外部Internet 网络,这个内部网络只需要少量的外部公网地址就可以了,而不必每台内部机器一个公网地址。
当然因为内网地址信息对外隐藏,形成内外网的隔离,使得外网无法访问内部主机,所以NAT 技术还在一定程度上保证了内部网络的安全。
IPSec作为IPv4技术的一部分是使用最为普遍的VPN标准。
现在随着企业信息化的快速发展,越来越多的用户都在部署基于IPSec的VPN设备,以达到通过Internet上进行多个企业内网安全通信和远程访问内网的需求。
但是很不幸的是,这两种非常重要且应用广泛的技术在一起工作的时候却有许多问题,以致无法使用。
如何让NA T与IPSec 正常地同时工作一直是各个VPN厂商致力解决的问题,现在国际上也有相应的标准和技术出台,一种称为NA T-T(NA T穿越)的技术就是其中典型代表。
好端端的NATNA T技术完成的基本功能就是IP数据包网络地址的转换,如将一个内网的在Internet 上不可路数据由地址192.168.1.200 转换成Internet 上的可以路由的地址202.124.23.65。
很多的网关设备都有NAT功能,如路由器、防火墙,我们可以把它们统一称为NAT 设备。
当NA T设备转换的是源地址时,我们通称称其为SNA T(源地址NA T)。
事实上我们大多数人在公司上Internet 网时都是利用这种方法,简单过程如下当一个内网外出的数据包经过这些NA T设备时,数据包的源地址就会被NAT设备的公网地址所替代,同时NAT 设备会记录地址的映射信息,这样这个数据包就可以被路由从而在Internet 上传输。
当数据包返回到NAT 设备时,有通过记录下的地址映射信息源地址转为原来的数据包地址。
nat 原理
nat 原理网络地址翻译(Network Address Translation,NAT)是一种用于将内部网络地址转换为外部网络地址的技术,在因特网的连接环境中扮演着重要的角色。
简单来说,NAT是一种适用于IPv4地址短缺问题的解决方案。
在因特网上,每个计算机都必须具有唯一的IP地址才能与其他计算机进行通信。
然而,随着因特网上的设备数量不断增加,IPv4地址的数量远远不足以覆盖所有设备,因此就出现了NAT这种技术。
NAT的工作原理NAT技术工作的原理是将一组IP地址隐藏在另一组IP地址后面。
在NAT技术中,有两个IP地址,一个是内部IP地址,又称私有IP地址;另一个是外部IP地址,又称公共IP 地址。
内部IP地址是在组织的内部使用的,不是全局唯一的,而外部IP地址是在因特网上使用的,是全局唯一的。
当内部网络的计算机请求将数据发送到外部网络时,NAT会将源IP地址转换为公共IP 地址,这样数据包就可以顺利地从内部网络发送到外部网络。
当收到了外部网站的回应时,NAT会将目标IP地址转换回内部IP地址,这样回应就可以被正确地发送到请求的计算机。
在进行IP地址转换时,NAT使用一个映射表来记录内部网络中的每台计算机的内部IP 地址和端口号,以及该计算机的对外IP地址和端口号。
每台内部网络中的计算机都被赋予一个内部IP地址,该地址是通过组织的本地网络管理员指定的,例如192.168.0.1或10.0.0.1等。
当服务器收到从外部网络发来的请求时,它会查看该请求并将请求中的目标IP地址与其映射表中的记录进行比对,找到对应的内部计算机,然后将数据包发送回该内部计算机。
NAT的优势和劣势NAT技术的最大优势是能够缓解IPv4地址短缺问题,因为内部网络计算机实际上只使用了一个全局唯一地址,而这使得更多的设备能够通过该地址与外部网络进行通信。
另外,NAT可以提高网络的安全性,因为它隐藏了内部网络计算机的真实IP地址,使得攻击者无法直接攻击内部网络。
isp 封锁路由 NAT NAPT
一.NAT和NAPT解释NAT是dynamic address translation 的缩写,称为动态地址翻译。
NAT技术主要解决IP地址短缺的问题。
最初的意思是在局域网内部使用私有地址,在局域网外部使用少量的公网地址。
这种想法的基础是假定在任何时候局域网内部只有少数计算机需要与外部通讯,可以让这些计算机共享少量的公有地址。
使用NAT技术后,所有NAT地址保存在一个列表中,需要通信的计算机在对外通信时,映射到一个公网地址,并且此地址只能供通信的计算机使用,其他计算机只能等原来通信的计算机结束通信之后才能使用。
NATP是network address port translation 的缩写,称为网络地和端口翻译。
这是在NAT上进行改进的一项技术,只需要一个公网地址即可把局域网内的通信发送到internet。
NATP是使用“端口”进行映射的,NAT是利用“地址”进行映射的。
地址是有限的,而每个地址可以使用的端口范围是1~65535,所以理论上说,1个公网地址可以同时与65535个私网地址的计算机进行端口映射。
二问题解答问:NAT的基本工作原理是,当私有网主机和公共网主机通信的IP包经过NA T网关时,将IP包中的源IP或目的IP在私有IP和NA T的公共IP之间进行转换。
由于NAT实现是私有IP和NA T的公共IP之间的转换,那么,私有网中同时与公共网进行通信的主机数量就受到NA T的公共IP地址数量的限制。
为了克服这种限制,NAT被进一步扩展到在进行IP地址转换的同时进行Port的转换,这就是网络地址端口转换NAPT (Network Address Port Translation)技术。
NAPT与NAT的区别在于,NAPT不仅转换IP包中的IP地址,还对IP包中TCP和UDP的Port进行转换。
这使得多台私有网主机利用1个NA T公共IP就可以同时和公共网进行通信。
为什么NAT会限制主机数量,而NATP不会?感谢回答!答:NAT的特点是在NAT网关上建立一个NA T映射表,里面记录了每个公网IP对应的私网IP的转换。
NAT网络地址翻译
r1(config)#ip nat pool NAT 200.200.200.3 200.200.200.50 netmask 255.255.255.0 r1(config)#access-list 1 permit 10.1.1.0 0.0.0.255 r1(config)#ip nat inside source list 1 pool NAT overload r1(config)#interface f0/0 r1(config-if)#ip nat inside r1(config)#int s0/0 r1(config-if)#ip nat outside r1(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.2
Pc2:10.1.1.2---------->200.200.200.2
X Pc3:10.1.1.3----------> 200.200.200.2?
Pc4:10.1.1.4---------->
2. 动态NAT 动态NAT的特征是内部主机使用地址池中的公网地址 来映射 Dynamic NAT is designed to map a private IP address to a public address. Any IP address from a pool of public IP addresses is assigned to a network host.
Private IP addresses are reserved and can be used by anyone.
私有地址范围(Private Address Range)
NAT操作(NAT Operation)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
随着Internet的飞速发展,网上丰富的资源产生着巨大的吸引力。
接入Internet、访问Internet成为当今信息业最为迫切的需求。
但这受到IP地址的许多限制。
首先,许多局域网在未联入Internet之前,就已经运行许多年了,局域网上有了许多现成的资源和应用程序,但它的IP地址分配不符合Internet 的国际标准,因而需要重新分配局域网的IP地址,这无疑是劳神费时的工作;其二,随着Internet的膨胀式发展,其可用的IP地址越来越少,要想在ISP处申请一个新的IP地址已不是很容易的事了。
这不仅仅是费用的问题,而是IP地址的现行标准IPv4决定的。
当然,随着IPv6的出台,这个问题应当能够得到解决。
但从IPv4到IPv6的升级不是一两天就能完成的。
NAT(网络地址翻译)能解决不少令人头疼的问题。
它解决问题的办法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址,在Internet上使用。
其具体的做法是把IP包内的地址域用合法的IP地址来替换。
NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。
NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。
每个包在NAT设备中都被翻译成正确的IP地址发往下一级,这意味着给处理器带来了一定的负担。
但这对于一般的网络来说是微不足道的,除非是有许多主机的大型网络。
需要注意的是,NAT并不是一种有安全保证的方案,它不能提供类似防火墙、包过滤、隧道等技术的安全性,仅仅在包的最外层改变IP地址。
这使得黑客可以很容易地窃取网络信息,危及网络安全。
NAT有三种类型:静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)。
其中静态NAT设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。
而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。
PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
根据不同的需要,各种NAT方案都是有利有弊。
■使用NAT池
使用NAT池,可以从未注册的地址空间中提供被外部访问的服务,也可以从内部网络访问外部网络,而不需要重新配置内部网络中的每台机器的IP地址。
例如,建立在NT+IIS 服务器上的内部试验子网192.168.0.0,其网络地址属于B类保留地址。
作为企业网的一个子网,其IP地址不分配给企业网上的设备而仅仅局限在试验子网的设备上。
为了使企业网能访问到这个内部网,在网络上增加一条静态路径,使信息能回传给Cisco4700路由器。
其中的路由器可以把内部网和企业网连接起来,使之能相互访问。
在内部网中不要使用RIP 协议,因为使用RIP后,内部网络相对外部来说变得不可见了。
这样,本地信息可以相互访问了,但由于192.168.0.0属于保留地址,故不能直接访问Internet。
所以在路由器中设置一个NAT池,用来翻译来自内部网络的IP包,把它的IP地址映射成地址池(pooledaddresses)中的合法IP地址。
那么,内部网可以访问Internet上的任何服务器,Internet上的任何主机也能通过TCP或UDP访问到内部网。
采用NAT池意味着可以在内部网中定义很多的内部用户,通过动态分配的办法,共享很少的几个外部IP地址。
而静态NAT则只能形成一一对应的固定映射方式。
该引起注意的是,NAT池中动态分配的外部IP地址全部被占用后,后续的NAT翻译申请将会失败。
庆幸的是,许多有NAT功能的路由器有超时配置功能。
例如在上述的Cisco4700中配置成开始15分钟后删除当前的NAT进程,为后续的NAT申请预留出外部IP地址。
通过试验表明,一般的外部连接不会很长,所以短的时间阈值也可以接受。
当然用户可以自行调节时间阈值,以满足各自的需求。
NAT池提供很大灵活性的同时,也影响到网络原有的一些管理功能。
例如,SN MP 管理站利用IP地址来跟踪设备的运行情况。
但使用NAT之后,意味着那些被翻译的地址对应的内部地址是变化的,今天可能对应一台工作站,明天就可能对应一台服务器。
这给SNMP 管理带来了麻烦。
一个可行的解决方案就是把划分给NAT池的那部分地址在SNMP管理平台上标记出来,对于这些不响应管理信号的地址不予报警,如同它们被关掉了一样。
■使用PAT
PAT在远程访问产品中得到了大量的应用,特别是在远程拨号用户使用的设备中。
PAT 可以把内部的TCP/IP映射到外部一个注册IP地址的多个端口上。
PAT可以支持同时连接64500个TCP/IP、UDP/IP,但实际可以支持的工作站个数会少一些。
因为许多Internet 应用如HTTP,实际上由许多小的连接组成。
在Internet中使用PAT时,所有不同的TCP和UDP信息流看起来仿佛都来源于同一个IP地址。
这个优点在小型办公室(SOHO)内非常实用,通过从ISP处申请的一个IP地址,将多个连接通过PAT接入Internet。
实际上,许多SOHO远程访问设备支持基于PPP的动态IP地址。
这样,ISP甚至不需要支持PAT,就可以做到多个内部IP地址共用一个外部IP地址上Internet。
虽然这样会导致信道的一定拥塞,但考虑到节省的ISP上网费用和易管理的特点,用PAT还是很值得的。
■基于NAT的负载平衡
以上所谈论的均是关于使用NAT和PAT来把内部IP地址转换成外部合法的IP地址使用。
下面介绍NAT的另一个运用:作为用于负载平衡的DNS系列服务器(DNSround-robin)的一个替代品。
DNS系列服务器解决了多个IP地址共用一个域名的问题。
它会在响应DNS 申请时跳跃式地寻找可用的IP地址。
达到的效果就是一个域名可以对应多个IP地址。
这种功能可以应用在一个HTTP服务器群中,利用它可以平衡多个服务器的负载。
但是这里还有一个问题,IP客户端会在本地缓冲DNS/IP地址解析,从而使它的后续的申请都会到达同一个IP地址,减弱了DNS系列服务器的作用。
使用基于NAT的负载平衡方案,则可以避免这个问题。
路由器或其它NAT设备把需要负载平衡的多个IP地址翻译成一个公用的IP地址,每个TCP连接被NAT送到一个IP地址,而后续的TCP连接则被NAT送到下一个IP地址。
真正实现了负载平衡。
当然,基于NAT的负载平衡只能在NAT上实现,而不能在PAT上实现。
■安全问题
当NAT改变包的IP地址后,需要认真考虑这样做对安全设施带来的影响。
对于防火墙,它利用IP地址、TCP端口、目标地址以及其它在IP包内的信息来决定是否干预网络的连接。
当使用了NAT之后,可能就不得不改变防火墙的规则,因为NAT改变了源地址和目的地址。
在许多配置中,NAT被集成在防火墙系统之中,提供访问控制和地址翻译的功能。
不要把NAT设在防火墙之外,因为黑客可以轻易地骗过NAT,让NAT认为它是一个授权用户,从而进入网络。
若企业网中使用了VPN(虚拟专用网),并用IPSec进行加密安全保证,那么错误地设置NAT将会破坏VPN的功能。
把NAT放在受保护的VPN内部,而不是在中间。
因为NAT
改变IP包内的地址域,而IPSec规定一些信息是不能被改变的。
若IP地址被改变了,IPSec 就会认为这个包是伪造的,拒绝使用。
虽然NAT带来了许多优越性,例如使现有网络不必重新编址、减少了ISP接入费用,还可以起平衡负载的作用,但NAT潜在地影响到一些网络管理功能和安全设施,这就需要谨慎地使用它。