NAT技术的实现与应用
一。NAT技术简介
随着网络的发展,网络地址转换(NAT,Network Address Translation)在网络建设中正发挥着不可替代的作用。从本质上来说,NAT的出现是为了缓解lP 地址不足的问题;而在实际应用中,NAT还具备一些衍生功能,诸如隐藏并保护网络内部的计算机,以避免来自网络外部的攻击、方便内部网络地址规划,等等。
二。NAT技术的基本原理。
随着接入Internet的计算机数量的不断猛增,IP地址资源也就显得愈加紧张。在实际应用中,一般用户几乎申请不到整段的C类和B类IP地址。当我们的企业向ISP申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求。为了缓解供给和需求不可调和的矛盾,使用NAT技术便成为了企业和ISP的必然选择。
企业使用NAT时,一般认为应当使用RFC1918规定的三段私有地址部署企业内部网络。当企业内部设备试图以私有地址为源,向外部网络(Internet)发送数据包的时候,NAT可以对IP包头进行修改,先前的源IP地址-私有地址被转换成合法的公有IP地址(前提是,该共有IP地址应当是企业已经从ISP申请到的合法公网IP),这样,对于一个局域网来说,无需对内部网络的私有地址分配做大的修改,就可以满足内网设备和外网通信的需求。由于设备的源IP地址被NAT替换成了公网IP地址,设备对于外网用户来说就显得“不透明”,达到了保证设备安全性的目的。在这种情况下,内部私有地址和外部公有地址是一一对应的。甚至,我们只需使用少量公网IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
三。企业实现NAT的常用方式
在企业网络中,NAT的实现方式有三种,即静态转换NAT、动态转换NAT 以及端口多路复用(PAT)。下面的章节里将一一介绍。
1.静态转换
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。私有地址和公有地址的对应关系由管理员手工指定。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问,并使该设备在外部用户看来变得“不透明”。
2.动态转换
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对并不是一一对应的,而是随机的。所有被管理员授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。每个地址的租用时间都有限制。这样,当ISP提供的合法IP地址略少于网络内部的计算机数量时,可以采用动态转换的方式。
3.端口多路复用(Port address Translation,PAT)
通过使用端口多路复用,可以达到一个公网地址对应多个私有地址的一对多转换。在这种工作方式下,内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,来自不同内部主机的流量用不同的随机端口进行标示,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用
方式。
四。如何让你的NAT开始工作?
1)。静态地址转换的实现
假设内部局域网使用的lP地址段为192.168.12.1~192.168.12.254,路由器局域网端口(即默认网关)的IP地址为192.168.0.1/24.网络分配的合法公有IP地址范围为11.11.11.128~11.11.11.135,路由器在广域网中的IP地址为11.11.11.129,子网掩码为255.255.255.248.可用于转换的IP地址范围为11.11.11.130~11.11.11.134.要求将内部网止192.168.12.2~192.168.12.4分别转换为合法IP地址11.11.11.130~11.11.11.132.
第一步,设置外部端口。
在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT.通常情况下,连接到用户内部网络的接口是NAT 内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。
interface serial 0 ip address 11.11.11.129 255.255.255.248 ip nat outside
第二步,设置内部端口。
interface ethernet 0 ip address 192.168.0.1 255.255.255.0 ip nat inside
第三步,在内部本地与内部合法地址之间建立静态地址转换。
ip nat inside source static 内部本地地址内部合法地址
示例:ip nat inside source static 192.168.12.2 11.11.11.130//将内部网络地址192.168.12.2转换为合法IP地址11.11.11.130 ip nat inside source static 192.168.12.3 11.11.11.131//将内部网络地址192.168.12.3转换为合法IP地址11.11.11.131 ip nat inside source static 192.168.12.4 11.11.11.132//将内部网络地址192.168.12.4转换为合法IP地址11.11.11.132这样,静态地址转换配置完毕。
2)。动态地址转换的实现
假设内部网络使用的IP地址段为172.16.100.1~172.16.100.254,路由器局域网端口(即默认网关)的IP地址为172.16.100.1,子网掩码为255.255.255.0.网络分配的合法IP地址范围为11.11.11.128~11.11.11.191,路由器在广域网中的IP 地址为11.11.11.129,子网掩码为255.255.255.192,可用于转换的IP地址范围为11.11.11.130~11.11.11.190.要求将内部网址172.16.100.1~172.16.100.254动态转换为合法IP地址11.11.11.130~11.11.11.190.
第一步,设置外部端口。
设置外部端口命令的语法如下:
ip nat outside
示例:interface serial 0//进入串行端口serial 0 ip address 11.11.11.129 255.255.255.248//将其IP地址指定为11.11.11.129,子网掩码为255.255.255.248 ip nat outside //将串行口serial 0设置为外网端口
注意,可以定义多个外部端口。
第二步,设置内部端口。
设置内部接口命令的语法如下:
ip nat inside
示例:interface ethernet 0 //进入以太网端口Ethernet 0 ip address 172.16.100.1 255.255.255.0 // 将其IP地址指定为172.16.100.1,子网掩码为255.255.255.0 ip nat inside //将Ethernet 0 设置为内网端口。
注意,可以定义多个内部端口。
第三步,定义合法IP地址池。
定义合法IP地址池命令的语法如下:
ip nat pool 地址池名称起始IP地址终止IP地址子网掩码
其中,地址池名字可以任意设定。
示例:ip nat pool ccxx 11.11.11.130 11.11.11.190 netmask 255.255.255.192//指明地址缓冲池的名称为ccxx,IP地址范围为11.11.11.130~11.11.11.190,子网掩码为255.255.255.192.
第四步,定义内部网络中允许访问Internet的访问列表。
定义内部访问列表命令的语法如下:access-listl 标号permit 源地址通配符(其中,标号为1~99之间的整数)
access-listl permit 172.16.100.0 0.0.0.255 //允许访问Internet的网段为172.16.100.0~172.16.100.255,通配符为0.0.0.255.
第五步,实现网络地址转换。
在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。命令语法如下:ip nat inside source list 访问列表标号pool 内部合法地址池名字
示例:ip nat inside source list 1 pool ccxx
至此,动态地址转换设置完毕。
3)。端口复用动态地址转换(PAT)
内部网络使用的IP地址段为10.100.100.1~10.100.100.254,路由器局域网端口的IP地址为10.100.100.1,子网掩码为255.255.255.0.网络分配的合法IP地址范围为11.11.11.0~11.11.11.3,路由器广域网接口中的IP地址为11.11.11.1,子网掩码为255.255.255.252,可用于转换的IP地址为11.11.11.2.要求将内部网址10.100.100.1~10.100.100.254 转换为合法IP地址11.11.11.2.
第一步,设置外部端口。
interface serial 0 ip address 11.11.11.1 255.255.255.252 in nat outside
第二步,设置内部端口。
interface ethernet 0 ip address 10.100.100.1 255.255.255.0 ip nat inside
第三步,定义合法IP地址池。
in nat pool ccxx 11.11.11.2 11.11.11.2 netmask 255.255.255.252
// 指明地址缓冲池的名称为ccxx,由于我们做的是PAT,所以地址池里完全可以只有1个公网IP地址
第四步,定义内部访问列。
access-list 1 permit 10.100.100.0 0.0.0.255允许访问Internetr的网段为10.100.100.0~10.100.100.255,子网掩码为/24
第五步,设置复用动态地址转换。
在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。命令语法如下:ip nat inside source list访问列表号pool内部合法地址池名字overload
示例:ip nat inside source list1 pool ccxx overload //以端口复用方式,将访问列表1中的私有IP地址转换为onlyone IP地址池中定义的合法IP地址。Overload 关键词是这条命令的重点。
NAT网络地址转换技术的应用与实现
编号:_______________ 商丘科技职业学院 毕业论文 题目: NAT技术在网络中的应用与实现 系别计算机科学系 专业 学生姓名 成绩 指导教师 2011年 4月
商丘科技职业学院毕业论文 摘要 随着互联网的普及,IP地址缺乏问题日益恶化,为了缓解问题,在IP地址分配和保留IP地址方面提出了许多办法,甚至提出新一代的IPv6技术从根本上解决地址空间问题。但由于多方面的原因,NA T成为了事实上广泛使用的解决方法,是我们至今在互联网上没有使用完合法IPv4地址的真实原因。它主要思想是把本地的私有IP地址映射到公网的合法IP地址,以缓解可用IP地址空间的消耗。本课程设计主要对NAT技术进行系统分析,并举出一个应用实例,在网络模拟器中将其具体实现,深入了解其工作原理与数据包每次被修改的情况,了解技术存在的缺点。 关键词:IP地址分配保留IP地址 NAT
NAT技术在网络中的应用与实现 目录 绪论 (1) 第1章背景简述 (2) 1.1IP地址现状 (2) 1.2现存解决方案 (2) 第二章NAT技术分析 (3) 2.1NAT类型 (3) 2.2NAT术语 (4) 2.3NAT工作原理 (4) 第三章NAT的应用实例 (6) 3.1实例描述 (6) 3.2实例的设计方案 (7) 3.3实例的配置重点 (8) 3.4实例的分析 (10) 结束语 (12) 参考文献 (13)
商丘科技职业学院毕业论文 绪论 随着互联网的普及,接入网络的计算机数量增长非常迅速,目前使用的IPv4地址空间有限,可用的公网合法IP非常短缺。人们为了缓解日益恶化的地址缺乏问题,在IP地址的分配和保留IP地址方面采取了许多办法。现存的解决办法包括ISP方面对公网地址的动态分配与回收、使用DHCP动态分配与回收、可变长子网掩码(VLSM)[1]技术、无类域间路由(CIDR)技术,甚至提出新一代的IPv6[3]技术从根本上解决地址空间问题,但由于多方面的原因,IPv6到目前还没有得到普及,而网络地址转换(NA T)[2]技术的使用,是我们至今在互联网上没有使用完合法IPv4地址的真实原因。它主要思想是把本地的私有IP地址映射到公网的合法IP 地址,以缓解可用IP地址空间的消耗。虽然,它没有像IPv6那种从根本上解决问题,但在IPv6没有得到普及的今天,成为了事实上广泛使用的解决方法。
NAT技术
NAT技术
目录 第1章NAT协议及其应用 (3) 1.1 NA T技术相关术语介绍 (3) 1.2 NA T技术介绍 (4) 1.3 典型应用 (6)
第1章NAT协议及其应用 本节主要介绍NA T(network address translate 网络地址转换)的原理及实现。 本节主要内容: ●NA T技术相关术语介绍 ●NA T技术介绍 ●典型应用 1.1NAT技术相关术语介绍 内部本地地址(IL,Inside local)——分配给内部设备的地址。这些地址不会对外公布。 内部全局地址(IG,Inside global)——一通过这个地址,外部可以知道内部设备。 外部全局地址(OG,Outside global)——分配给外部设备的地址。这些地址不会向内部公布。 外部本地地址(OL,Outside local)——通过这个地址,内部设备可以知道外部设备。 地址池——可用地址的地址范围定义。在定义一个地址池以后,当内部网络与外部通信时,系统将从地址池中选择一个可用地址进行地址的转换;地址池的定义包括地址范围、掩码等定义。 静态转换——在内部本地地址与内部全局地址之间建立起一个一一对应的关系,比如,当需要给一台内部主机设定一个唯一的全局地址时,可使用静态转换。 动态转换——动态转换一般在内部本地地址与全局地址之间建立一个映射,地址的映射关系并非事先就确定好的,在需要建立一个转换时在地址池中选择一个可用地址建立转换关系。 重载——对于地址池中的地址,又分为可重载与不可重载两种情形。重载允许同时将多个本地地址映射到同一个全局地址,而通过所使用的端口来区分。 负载均衡——当存在多台主机同时承担同一件工作时,(如对于许多大的站点,可能存在多台Web Server或者FTP服务器、邮件服务器等),存在一个任务的均衡协调问题,以求各主机上分担的负载尽量平衡。NA T可以从某种程度上达到这一目的。
NAT技术基本原理及其在实际中的应用
2009年1月第14卷第1期 西 安 邮 电 学 院 学 报 JOURNAL OF XI ’AN UN IV ERSIT Y OF POST AND TEL ECOMMUN ICA TIONS Jan.2009 Vol 114No 11 收稿日期:2008-10-21 作者简介:李广华(1981-),男,河南洛阳人,西安邮电学院通信技术研究所硕士研究生; 朱志祥(1959-),男,天津人,西安邮电学院通信技术研究所教授; 李振兴(1976-),男,山西太原人,西安邮电学院通信技术研究所硕士研究生。 NA T 技术基本原理及其在实际中的应用 李广华,朱志祥,李振兴 (西安邮电学院通信技术研究所,陕西西安 710061) 摘要:网络地址翻译(NA T )技术是Internet 上最常见的网络技术之一。正确检测识别NA T 的具体实现形式,无论对于网络安全还是网络应用都是十分必要的。论文给出了NA T 技术的基本原理和类型,深入分析了NA T 穿越技术在P2P 中的应用,并描述应用程序穿越中间设备建立P2P 通讯时可能产生的安全问题。关键词:NA T ;公有地址;私有地址;地址映射;地址翻译 中图分类号:TP393 文献标识码:A 文章编号:1007-3264(2009)01-0091-05 随着Internet 的飞速发展,网上丰富的资源产生着巨大的吸引力,接入Internet 、访问Internet 已经成为大众需求。这样就面临两个最迫切的问题:IP 地址的匮乏和路由规模的扩大。对此,长期的和 短期的解决方案都有所发展,那就是网络地址转换(NA T )和IPv6技术。 几年前,人们就意识到目前的IPv4地址空间将会耗尽。在IPv6技术上在研究中切还未完全取代现有的IPv4的情况下,短期解决方案NA T 技术对于缓解目前的地址缺乏问题,具有积极意义。NA T 核心就是要把一个私有地址域里的地址转换为可路由的全局因特网地址,这样就使得内部主机访问因特网得以实现。 1 基本原理及其类型 1.1 基本原理 NA T (Network Address Translation ,网络地址 转换),它允许一个机构以一个公有IP 地址出现在Internet 上。将局域网内每个节点的私有地址转换 成一个公有IP 地址,反之亦然。而且,它可以应用于防火墙技术,把个别地址隐藏起来不被外界发现, 使外界无法直接访问内部网络设备。同时,它可以帮助网络超越地址的限制,合理地安排网络中的公有Internet 地址和私有IP 地址的使用。 NA T 技术能帮助解决令人头疼的IP 地址紧缺 的问题,实现公网地址和私网地址之间的映射,而且能使内部和外部的网络隔离,提供一定程度的网络安全保障。它解决问题的办法是:在内部网络中使用内部地址,通过NA T 把内部地址翻译成合法的IP 地址在Internet 上使用,其具体的做法是把IP 包 内的地址域用合法的外部IP 地址来替换。工作的基本流程可以从两个方面来概括: (1)当私网内的IP 包经NA T 流入公网时,NA T 将此IP 包的源IP 地址改为NA T 接口上的一 个公网地址。 (2)当公网中的IP 包经NA T 访问私网资源时,NA T 将此IP 包目的地址改为某一私网IP 地址。 下面通过一个网络结构图举例说明NA T 技术工作流程。网络结构图,如图1所示。 由图1可见,NA T A 后的主机A (内网地址为192.168.2.50)需要向公网中的Proxy 通信,主机从5000端口发送消息至NA T A 。NA T A 发现此IP 地址,从空闲的端口中分配一个给这个连接(比如
NAT技术的原理与实现
NAT技术的原理与实现 NAT, 原理, 技术 一.NAT技术简介 随着网络的发展,网络地址转换(NAT,Network Address Translation)在网络建设中正发挥着不可替代的作用。从本质上来说,NAT的出现是为了缓解lP地址不足的问题;而在实际应用中,NAT还具备一些衍生功能,诸如隐藏并保护网络内部的计算机,以避免来自网络外部的攻击、方便内部网络地址规划,等等。 二.NAT技术的基本原理。 随着接入Internet的计算机数量的不断猛增,IP地址资源也就显得愈加紧张。在实际应用中,一般用户几乎申请不到整段的C类和B类IP地址。当我们的企业向ISP申请IP 地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求。为了缓解供给和需求不可调和的矛盾,使用NAT技术便成为了企 业和ISP的必然选择。 企业使用NAT时,一般认为应当使用RFC1918规定的三段私有地址部署企业内部网络。当企业内部设备试图以私有地址为源,向外部网络(Internet)发送数据包的时候,NAT可以对IP包头进行修改,先前的源IP地址-私有地址被转换成合法的公有IP地址(前提是,该共有IP地址应当是企业已经从ISP申请到的合法公网IP),这样,对于一个局域网来说,无需对内部网络的私有地址分配做大的修改,就可以满足内网设备和外网通信的需求。由于设备的源IP地址被NAT替换成了公网IP地址,设备对于外网用户来说就显得“不透明”,达到了保证设备安全性的目的。在这种情况下,内部私有地址和外部公有地址是一一对应的。甚至,我们只需使用少量公网IP地址(甚至是1个)即可实现私有地址网 络内所有计算机与Internet的通信需求。 三.企业实现NAT的常用方式 在企业网络中,NAT的实现方式有三种,即静态转换NAT、动态转换NAT 以及端口 多路复用(PAT)。下面的章节里将一一介绍。 1.静态转换 静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。私有地址和公有地址的对应
NAT及NAT打洞技术
NAT及NAT打洞技术 一、什么是NAT?为什么要使用NAT? NAT是将私有地址转换为合法IP地址的技术,通俗的讲就是将内网与内网通信时怎么将内网私有IP地址转换为可在网络中传播的合法IP地址。NAT的出现完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。 二、NAT的分类 STUN标准中,根据内部终端的地址(LocalIP:LocalPort)到NAT出口的公网地址(PublicIP:PublicPort)的影射方式,把NAT分为四种类型: 1、Full Cone NAT: 内网主机建立一个socket(LocalIP:LocalPort) 第一次使用这个socket给外部主机发送数据时NAT会给其分配一个公网(PublicIP:PublicPort),以后用这个socket向外面任何主机发送数据都将使用这对(PublicIP:PublicPort)。此外,任何外部主机只要知道这个(PublicIP:PublicPort)就可以发送数据给(PublicIP:PublicPort),内网的主机就能收到这个数据包。 2、Restricted Cone NAT: 内网主机建立一个socket(LocalIP:LocalPort) 第一次使用这个socket给外部主机发送数据时NAT会给其分配一个公网(PublicIP:PublicPort),以后用这个socket向外面任何主机发送数据都将使用这对(PublicIP:PublicPort)。此外,如果任何外部主机想要发送数据给这个内网主机,只要知道这个(PublicIP:PublicPort)并且内网主机之前用这个socket曾向这个外部主机IP发送过数据。只要满足这两个条件,这个外部主机就可以用自己的(IP,任何端口)发送数据给(PublicIP:PublicPort),内网的主机就能收到这个数据包。 3、Port Restricted Cone NAT: 内网主机建立一个socket(LocalIP:LocalPort) 第一次使用这个socket给外部主机发送数据时NAT会给其分配一个公网(PublicIP:PublicPort),以后用这个socket向外面任何主机发送数据都将使用这对(PublicIP:PublicPort)。此外,如果任何外部主机想要发送数据给这个内网主机,只要知道这个(PublicIP:PublicPort)并且内网主机之前用这个socket曾向这个外部主机(IP,Port)发送过数据。只要满足这两个条件,这个外部主机就可以用自己的(IP,Port)发送数据给(PublicIP:PublicPort),内网的主机就能收到这个数据包。 4、Symmetric NAT: 内网主机建立一个socket(LocalIP,LocalPort),当用这个socket第一次发数据给外部主机1时,NAT为其映射一个(PublicIP-1,Port-1),以后内网主机发送给外部主机1的所有数据都是用这个(PublicIP-1,Port-1),如果内网主机同时用这个socket给外部主机2发送数据,NAT会为其分配一个(PublicIP-2,Port-2), 以后内网主机发送给外部主机2的所有数据都是用这个(PublicIP-2,Port-2).如果NAT有多于一个公网IP,则PublicIP-1和PublicIP-2可能不同,如果NAT只有一个公网IP,则Port-1和Port-2肯定
NAT技术的实现与应用
一。NAT技术简介 随着网络的发展,网络地址转换(NAT,Network Address Translation)在网络建设中正发挥着不可替代的作用。从本质上来说,NAT的出现是为了缓解lP 地址不足的问题;而在实际应用中,NAT还具备一些衍生功能,诸如隐藏并保护网络内部的计算机,以避免来自网络外部的攻击、方便内部网络地址规划,等等。 二。NAT技术的基本原理。 随着接入Internet的计算机数量的不断猛增,IP地址资源也就显得愈加紧张。在实际应用中,一般用户几乎申请不到整段的C类和B类IP地址。当我们的企业向ISP申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求。为了缓解供给和需求不可调和的矛盾,使用NAT技术便成为了企业和ISP的必然选择。 企业使用NAT时,一般认为应当使用RFC1918规定的三段私有地址部署企业内部网络。当企业内部设备试图以私有地址为源,向外部网络(Internet)发送数据包的时候,NAT可以对IP包头进行修改,先前的源IP地址-私有地址被转换成合法的公有IP地址(前提是,该共有IP地址应当是企业已经从ISP申请到的合法公网IP),这样,对于一个局域网来说,无需对内部网络的私有地址分配做大的修改,就可以满足内网设备和外网通信的需求。由于设备的源IP地址被NAT替换成了公网IP地址,设备对于外网用户来说就显得“不透明”,达到了保证设备安全性的目的。在这种情况下,内部私有地址和外部公有地址是一一对应的。甚至,我们只需使用少量公网IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。 三。企业实现NAT的常用方式 在企业网络中,NAT的实现方式有三种,即静态转换NAT、动态转换NAT 以及端口多路复用(PAT)。下面的章节里将一一介绍。 1.静态转换 静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。私有地址和公有地址的对应关系由管理员手工指定。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问,并使该设备在外部用户看来变得“不透明”。 2.动态转换 动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对并不是一一对应的,而是随机的。所有被管理员授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。每个地址的租用时间都有限制。这样,当ISP提供的合法IP地址略少于网络内部的计算机数量时,可以采用动态转换的方式。 3.端口多路复用(Port address Translation,PAT) 通过使用端口多路复用,可以达到一个公网地址对应多个私有地址的一对多转换。在这种工作方式下,内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,来自不同内部主机的流量用不同的随机端口进行标示,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用
浅谈对NAT技术的理解
浅谈对NAT技术的理解 NAT的原理 NAT技术能够让由私有IP构成的局域网内所有的计算机通过一台具有公网IP和NAT功能的网络设备联入公网(Internet),也就是说一个局域网就只需要一个或很少几个公网IP就行了,从而达到了节约公网IP地址的目的。 内网IP的数据包是根本不可能在公网上传播的,因为公网上的路由器都是屏蔽掉了这些私网IP的,私有IP本来就是人为保留出来专供私有网络通信用的。从另一个角度说,即使私有数据包能够到达公网目标地址,目标地址的响应包也不可能返回真正的源地址,因为源地址是私有IP,目标发送的响应包一种可能是被目标地址所在的拥有相同网络号的内网接收,一种可能就是这种子网不存在,数据包被抛弃。所以内网数据包在进入公网之前,必须被转换成公网IP,这就是NAT的功能,而且NAT技术发展到现在,已不仅局限于翻译IP地址,现在实际转换时,它不仅转换IP地址,还会对TCP/UDP端口进行转换。由于这个功能,NAT 通常都位于网关计算机上,起着一种路由器的作用。 下面是NAT转换机制的基本过程(假如局域网192.168.0.0的NAT设备公网IP是218.70.201.185,私有IP是192.168.0.1,现在客户机192.168.0.88要通过NAT设备访问https://www.sodocs.net/doc/92735917.html,的网页,https://www.sodocs.net/doc/92735917.html,的IP是202.43.216.55)。 当客户机192.168.0.88通过IE向https://www.sodocs.net/doc/92735917.html,发出请求时,它发出的数据包含有下面的信息: 源地址和源端口:192.168.0.88:1234 目标地址和目标端口:202.43.216.55:80 当这个数据包到达NAT设备时,它会检测到这个数据包是要发向公网的,所以它会对源IP地址和端口进行修改(转换),并在映射表中新建IP和端口的映射条目,然后再把修改的数据包转发出去,下面就是修改后数据包的相关信息: 源:218.70.201.185:8999 目标:202.43.216.55:80 (无需变) 当https://www.sodocs.net/doc/92735917.html,响应时,它会把数据包发给NAT设备,它的数据包含有下面的信息:源:202.43.216.55:80 目:218.70.201.185:8999 当NAT设备收到响应时,它会检查它的IP地址/端口映射表,并且会找到218.70.201.185:8999与192.168.0.88:1234的映射条目,于是它又修改数据包,然后把数据包转发给192.168.0.88。相关数据包信息如下: 源:202.43.216.55:80 目:192.168.0.88:1234 从上面可以看出,最开始发起连接的内网计算机(这里是192.168.0.88)对网关进行NAT的转换工作是一无所知的,它根本就不知道网关对它的数据包“做了手脚”,上面所讲的可以说是最理想的转换,这种转换对IP地址和端口信息只存在于IP首部和TCP/UDP首部的数据包是非常适合的,但恰恰这个世界是复杂的,网络世界也不例外,每种技术都会有它的缺陷,下面就来看看NAT所面临的网络连接问题。
NAT技术实现原理和应用
科 技 天 地 48 INTELLIGENCE ························NAT 技术实现原理和应用 天津工业大学计算机与软件学院网络工程 06级 李亚珩 摘 要:为解决IPV4地址空间不足的问题,出现了网络地址转换(NAT)标准, 就是将某些IP 地址留出来供专用网络重复使用。它在方便网络代理者进行客户端配置的同时,也为用户私自共享上网提供了方便。本文将全面介绍NAT 技术实验原理和应用。 关键词:NAT 技术 IPV4地址 公用地址 专用地址 一、NAT 的定义和产生的背景 NAT(Network Address Translation)网络地址转换是一个IETF 标准,用于专用地址的内部网和使用公用地址的Internet 之间。内部网的传出数据包通过NAT 将其专用地址转换为公用地址。而来自Internet 的传入数据包则由NAT 将其公用地址转换为专用地址。使用NAT 不仅能节约公用IP 地址,并用大大降低了组织的Internet 接入成本。NAT 技术是近年来随着网络及网络共享的发展而发展起来的一门新技术,由于IPV4 地址空间不足,无网络访问权限,因此采用NAT 技术解决了地址不足问题,参见下图: 1、专用地址:专用地址是保留给组织内部私有网络使用的IP 地址,不用用于Internet 通信,可以被不同组织重复使用。 2、公用地址: 公用地址用于Internet,可以在Internet 中随意访问。因此,要在Internet 上通信,必须使用由LANA(Internet Assigned Numbers, Internet 号码分配机构)分配的公用地址。 二、NAT 技术的分类 静态NAT,动态NAT,端口NAT(PAT)1、静态NAT 内部网络中的每个主机都被永久的映射成外部网络中的某个合法地址[1]。 2、动态NAT 在外部网络中定义了合法地址后,采用动态分配的方法映射到内部网络。动态地址NAT 仅是转换IP 地址,它为内部网络IP 地址分配一个临时外部IP 地址,主要应用于拨号,对于频繁的远程联接也可以采用动态NAT。 3、端口NAT(PAT) PAT 普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP 地址后面。 上述三种NAT 技术的类型都有各自的独特之处,在实际就用中也有不同的用处,三种类型NAT 技术的实现原理以及其不同点参照以下表1: 静态NAT 动态NAT 网络地址端口转换NAPT 实现原理 将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址转换IP 地址,为每一个内部的IP 地址分配一个子临时的外部IP 地址 将中小型的网络隐藏在一个合法的IP 地址后面 优点设置简单且容易实现可用于拨号和远程联接可将内部连接映射到外部网络中的一个单独的IP 地址上适用范围 内部网 远程联接 小型办公室 表1 三种NAT 技术的比较三、NAT 的工作过程 1、NAT 的客户端需要与Internet 通信,于是将数据包发给NAT 服务器; 2、NAT 服务器将数据包中的源端口号和专用IP 地址转换为其自己的端口号和公用IP 地址,然后将数据包发给Internet 上的主机,同时将源端口号和专用IP 地址与其自己的端口号和公用IP 地址的映射关系记录下来,以便后续过程使用; 3、Internet 上的主机将因应发送给NAT 服务器的公用IP 地址; 4、NAT 服务器将所收到的数据包的目的端口号和公用IP 地址根据映射关系转换为客户机的端口号和专用IP 地址并转发给客户机。 四、结束语 NAT 技术一开始是作为解决Internet 地址空间不足而提出的一种短期暂时的解决方案, NAT 技术可以给我们带来各种好处。随着NAT 技术的深入研究,它的应用领域也在逐步扩展,但NAT 技术对一些管理和安全机制的潜在威胁仍在。或许随着IPV6技术发展的相当成熟时,以致于将把现有的IPV4网络代替时,NAT 技术也可能就会消失,也有可能会继续延续下去。 参考文献: [1] 刘丽波:《浅析网络地址转换技术》,《长沙通信职业技术学院学报》,2007年第2期。 [2] 黄明泰:《用sFlow 技术管好网络》,《中国计算机用户》,2004年第46期。 [3] 傅坚、胡正名、杨义先:《IPSec 协议与网络地址转换的融合》,《计算机应用研究》,2003年第2期。
NAT与PAT技术解析
NAT与PAT技术解析 IP地址IP地址耗尽促成了CIDR的开发,但是CIDR开发的主要目的是为了有效的使用现有的INTERNET地址,而同时根据RFC1631(IP NETWORK ADDRESS TRANSLATOR)开发的NATNAT却可以在多重的INTERNET子网中使用相同的IP地址,用来减少注册IP地址的使用。NAT的分为:静态NAT、动态NAT、端口NAT(PAT)。静态NAT:内部网络中的每个主机都被永久的映射成外部网络中的某个合法地址;动态NAT:在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络;PAT:是人们比较熟悉的一种转换方式。PAT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。PATT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT 设备选定的TCP端口号。也就是采用port multIPlexing 技术,或改变外出数据的源port 的技术将多个内部IP地址映射到同一个外部地址。网络地址转换 (NAT) 是一个 Internet 工程任务组 (Internet Engineering Task Force,IETF) 标准,用于允许专用网络上的多台PC (使用专用地址段,例如 10.0.x.x、192.168.x.x、172.x.x.x) 共享单个、全局路由的 IPv4 地址。IPv4 地址日益不足是经常部署 NAT 的一个主要原因。Windows XP 和 Windows Me 中的“Internet 连接共享”及许多 Internet 网关设备都使用 NAT,尤其是在通过DSL 或电缆调制解调器连接宽带网的情况下。NAT 对于解决 IPv4 地址耗费问题 (在 IPv6 部署中却没必要) 尽管很有效,但毕竟属于临时性的解决方案。这种 IPv4 地址占用问题在亚洲及世界其他一些地方已比较严重,且日渐成为北美地区需要关注的问题。这就是人们为什么长久以来一直关注使用 IPv6 来克服这个问题的原因所在。除了减少所需的 IPv4 地址外,由于专用网络之外的所有主机都通过一个共享的 IP 地址来监控通信,因此 NAT 还为专用网络提供了一个隐匿层。NAT 与防火墙或代理服务器不同,但它确实有利于安全。NAT使用的几种情况:1.连接到INTERNE,但却没有足够的合法地址分配给内部主机;2.更改到一个需要重新分配地址的ISP;3.有相同的IP地址的两个INTRANET合并;4。想支持负载均衡(主机);NAT有4种用法:1.TRANSLATION INSIDE LOCAL ADDRESS ----------- 将内部地址一对一的翻译成外部地址;2.OVERLOADING INSIDE GLOBAL ADDRESS --------- 将内部地址多对一的翻译成外部地址,通过地址加端口号的方式区别不同的本地地址。这种方式就是所谓的PAT[/color:43aa144927];3.TCP LOAD DISTRIBUTING ---- 提供在多个、利用率高的主机之间进行负载分担的方法;4.HANDLING OVERLAPPING NETWORK ---- 这种方法主要用于两个INTRANET的互联.NAT的地址转换是指每个内网地址都被转换成IP地址+源端口的方式,这需要公网IP地址为多个。而PAT由于IP地址不足够,就会出现内网地址被转换成IP地址+端口段的形式,这样的公网IP地址通常只是一个。举个例子:NAT192.168.0.2:4444 ----〉202.116.100.5:4444192.168.0.3:5555 ----〉202.116.100.6:5555192.168.0.10:1233 ---〉202.116.100.5:1233PAT192.168.0.2:4444 ----〉202.116.100.5:50003192.168.0.3:5555 ----〉202.116.100.5:50004192.168.0.10:1233 ---〉202.116.100.5:50005简单来说,PAT―多对1,NAT―多对多.
NAT技术超详细
NAT 技术(一) 一、概述 NAT 技术,中文翻译为网络地址转换。该技术产生的原因:IPv4地址危机,在Internet 上应用广泛的IPv4技术,由于其先天性不足,在九十年代初期时,已经预计到了IPv4地址不足,从而开始开发IPv6技术。但开发IPv6需要足够的时间,为了延长IPv4技术的使用时间,产生了NAT 技术。 二、工作原理 修改IP 数据包中的源IP 地址,或目的IP 地址。主要目的是把RFC1918所提议的私有地址转变成在Internet 上可路由的公有合法地址。对于某些有限的应用(如DNS 、FTP 等),它也可以修改IP 数据包有效载荷中的地址。由于应用的复杂性,NAT 目前支持的应用有限,当然,如果需要,完全可以针对新的应用做相应的开发工作。 从配置了NAT 技术的一台路由器上,把整个网络分成两部分:内部网络和外部网络。 NAT 技术中有四个术语: 内部本地地址----局域网内部主机的拥有的一个真实地址,一般来说是一个私有地址 内部全局地址----对于外部网络来说,局域网内部主机所表现的IP 地址。 外部本地地址----外部网络主机的真实地址。 外部全局地址----对于内部网络来说,外部网络主机所表现的IP 地址。 对于网络地址转换技术来讲,最重要的一点是,在配置NAT 的路由器上形成了NAT 转换表,这个转换表的形成是非常关键的。配置NAT 后,能形成正确的转换表,那么我们的工作就算成功了。 三、基本配置 1、 静态转换: Router(config)#ip nat inside source static 内部本地地址 内部全局地址 2、 动态转换: Router(config)#ip nat pool 地址池 起始地址 最后地址 netmask 子网掩码 Router(config)#access-list 表号 permit 网络号 反掩码 Router(config)#ip nat inside source list 表号 pool 地址池 3、 PAT : Router(config)#access-list 表号 permit 网络号 反掩码 Router(config)#ip nat inside source list 表号 interface 外部接口 四、简单案例 如下图所示,一个中小型企业网络,使用一台路由器和外部相连接,企业有W WW 服务器和FTP 服务器,用来提供给外部用户访问。企业内部员工也需要和Internet 连接。如果企业能够申请到多个公网地址(六个公网地址:202.1.1.1-202.1.1.6)。 h t t p ://h i .b a i d u .c o m /r u i j i e v i d e o 本人整理并非原创!!!
NAT技术及其应用
NAT技术及其应用 电子科技大学通信学院李帆 01-8-3 上午 10:16:11 1.背景: 随着Internet的飞速发展,越来越多的用户加入到互联网的使用中。目前全球上网人数已经超过 4亿,到2005年将达到10亿,2010年达到30亿。而目前的4.8亿移动电话用户到2003年也会猛增 到10亿。 如此惊人的增长速度,使得网络本身的发展遇到了障碍,最主要的两个问题是: 一:路由表的快速增长。有数据表明,1990年,只有大约5000条路由被存放在路由表中,到1995 年,这个数字达到了35,000,而2000年则达到了120,000条,而且这个数值会保持60%~100%的增长 率。这使得大量的网络设备由于处理速度跟不上而很快被淘汰。 二: IP地址即将耗尽。现在广泛采用的IPv4设计于1981年,使用32位二进制数。从95年开 始全球的IP地址以平均每年6000万~8000万的速度被消耗。直到目前,IPv4所提供的40亿个地址 以被用去了一半。有专家预测,2005年,全球地址将全部用完。 面对这些问题,业界提供了大量的解决方案。对于路由表膨胀的问题,可以使用VLSM,CIDR等技 术以及各种路由协议的特性来缓解。 而对于IP地址的耗尽问题,IPv6应该是最终的解决手段。但是,由于现有网络都是使用IPv4, 几乎所有的现有设备都不支持IPv6,要升级设备需要大量的资金,而且改造整个网络也是一项浩大而 且复杂的工程。同时,虽然亚太和欧洲地区的地址资源稀缺,但是美国拥有充沛的地址资源,所以很 多大型美国厂商如cisco等并不急于推行IPv6。各种因素的作用,延缓了IPv6的实施。所以IPv6 的全面实现还需要一段很长的时间。 这样,就需要一种过渡的解决手段,来暂时的解决IP地址耗尽的问题。 2.NAT技术的出现及简介 NAT(Network address translation)(RFC 1631中作出规定)作为这样一种过渡解决手段,可 以用来减少对全球合法注册地址的需求。简单的说,NAT就是在内部专用网络中使用内部地址(不可 路由),而当内部节点要与外界网络发生联系时,就在边缘路由器或者防火墙处,将内部地址替换成 全局地址——合法地址(可路由),从而在外部公共网上正常使用。 这里需要解释一下,内部地址,是指在内部网络中分配给节点的私有IP地址,这个地址只能在内 部网络中使用,不能被路由。虽然内部地址可以随机挑选,但是通常使用的是RFC 1918中定义的专 用地址:10.0.0.0~10.255.255.255,172.16.0.0~172.16.255.255,192.168.0.0~192.168.255.255。 全局地址,是指合法的IP地址,它是由NIC或者网络服务提供商分配的地址,对外代表一个或多个 内部局部地址,是全球统一的可寻址的地址(可路由)。 NAT的主要作用是节约地址空间。在任一时刻,如果内部网络中只有少数节点与外界建立连接, 那么就只有少数的内部地址需要被转化成全局地址,可以减少对合法地址的需求。同时,还可以使多 个内部节点共享一个外部地址,使用端口进行区分(NAPT),这样就能更有效的节约合法地址。 除了节约地址,NAT还能简化配置,增加网络规划的灵活性。使用NAT,可以在规划地址时有更大
华为NAT技术
知识储备 公有地址和私有地址 访问控制列表 NAT的概念 动态(basic NAT、NAPT、Easy IP) 静态(一一对应) NAT Server(也叫端口映射) 华为NAT的分类 NAT的分类只区别于获得的IP地址来自于哪里,哪些设备获得IP;basic NAT //配置ACL规则,允许校园网中192.168.1.0/24网段的主机访问外网。 acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 //配置地址池 nat address-group 1 202.1.1.50 202.1.1.100 //在外网接口上绑定 nat outbound 2000 address-group 1 NAPT //配置ACL规则,允许校园网中192.168.1.0/24网段的主机访问外网。 acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255
//配置地址池 nat address-group 1 202.1.1.50 202.1.1.50 //在外网接口上绑定 nat outbound 2000 address-group 1 Easy IP 不需要地址池,直接在外网接口上指定; nat outbound 2000 //在出接口上做Easy IP 方式的NAT 静态NAT 直接在出接口上配置 nat static global 211.1.1.6 inside 192.168.1.2 NAT Server(端口映射) nat server protocol tcp global 202.10.1.3 www inside 192.168.0.100 8080