大家好,下面小编给大家分享一下。很多人还不知道网络地址转换nat这个话题。下面是详细的解释。现在让我们来看看!
第十七章网络地址转换(NAT)
完成本章后,您将能够:①了解地址转换(NAT)的功能和工作原理。
②了解各种NAT术语。
③了解NAT的各种应用:负载均衡和地址交叉;④掌握NAT的配置和调试。
441
,第十七章网络地址转换(NAT)
随着越来越多的计算机接入互联网,IP地址资源日益捉襟见肘。实际上,一般用户很难申请到整个公网C类地址。在ISP中,即使拥有数百台计算机的大型局域网用户也只有几个或十几个公共IP地址。显然,当他们申请公共IP地址时,分配的地址数量远远不能满足网络用户的需求。为了解决这个问题,NAT(网络地址转换)技术应运而生。
NAT技术允许拥有私有IP地址的企业局域网透明连接到互联网等公网,不需要内部主机拥有已注册且日益稀缺的公网IP地址,从而节省了公网IP地址资源,增加了企业局域网内部IP地址划分的灵活性。
我们之前学习的交换和路由技术使我们能够建立企业网络。在本章中,我们将学习NAT的概念和配置方法。学习本章后,您将能够了解NAT的工作原理并配置NAT,使企业网络在没有申请足够合法的公有IP地址的情况下仍然可以连接到互联网,并检查和排除一般NAT故障。
17.1 NAT概念和术语
17.1.1北美概述
1.1的应用。NA T
网络地址转换(NAT)通过将内部网络的私有IP地址转换为全球唯一的公有IP地址,使内部网络能够连接到互联网等外部网络,广泛应用于各种类型的互联网接入方式和网络。原因很简单。NAT不仅解决了IP地址不足的问题,还可以隐藏内网细节,避免来自外网的攻击,起到一定的安全作用。
虽然NAT可以借助一些代理服务器实现,但考虑到运营成本和网络性能,往往在路由器上实现。
在NAT的帮助下,拥有私有保留地址的内部网络通过路由器发送数据包时,私有地址被转换为合法的IP地址,一个局域网只需要少量的地址(甚至一个)就可以满足网络中所有拥有私有地址的计算机与互联网之间的通信需求。
NAT会自动修改IP头中的源IP地址和目的IP地址,在NAT处理过程中会自动完成IP地址验证。有些应用程序将源IP地址嵌入到IP数据包的数据部分,因此需要同时修改数据部分,以匹配IP报头中修改的源IP地址。否则,IP地址嵌入数据包数据部分的应用程序将无法正常工作。不幸的是,思科的NAT可以处理许多应用,但它仍然有一些应用不能得到支持。
2.2的实施。NA T
实现NAT有三种方式:
◇静态翻译(静态翻译)
◇动态翻译(Dynamic Translation)
◇端口地址转换(PAT)
442
,第十七章网络地址转换(NAT)
静态转换是指当内部网络的私有ip地址转换为公有合法IP地址时,IP地址的对应关系是一一对应且不变的,即一个私有IP地址只转换为一个固定的公有IP地址。借助静态转换,外网可以访问内网中的一些特定设备(如服务器)。
动态转换是指当内网私有地址转换为公有地址时,IP地址对应是不确定的、随机的,所有授权访问互联网的私有地址都可以随机转换为任意指定的合法地址。也就是说,只要指定哪些内部地址可以NAT转换,哪些可用的合法IP地址可以作为外部地址,就可以动态转换。动态转换也可以使用多个合法地址集。当ISP提供的法定地址少于网络中的计算机数量时,可以采用动态转换。
端口复用是改变外发数据包的源IP地址和源端口并进行端口转换,即端口地址转换采用端口复用。内部网络中的所有主机可以共享一个合法的外部IP地址来实现互联网接入,从而最大限度地节省IP地址资源。同时可以隐藏网络中的所有主机,有效避免来自互联网的攻击。因此,目前网络中应用最广泛的方式是端口复用。
17.1.2北美测试术语
如前所述,IP地址不足是目前公网面临的一个关键问题。为了充分利用用户的合法IP地址,NAT技术应运而生。
NAT功能允许具有私有(保留)地址的网络连接到公共网络,如Internet。当使用私有地址的“内部”网络通过NAT路由器发送数据包时,私有地址被转换为合法的IP地址,因此这些数据包可以发送到公共网络,如Internet。以前只有防火墙有这些功能。现在路由器基本都有这个功能。
图17.1给出了一个使用NAT处理地址交叉的例子,从中可以很好的解释NAT的工作过程和使用的各种地址术语。在这个例子中,两个独立的网络被合并,如图17.2所示,A公司和B公司合并形成AB公司。遗憾的是,在构建A公司和B公司的网络时,网络设计人员使用了10.1.1.0 空的地址。所以会有很多情况,A公司的网络设备和B公司的网络设备配置了相同的IP地址,也就是地址交叉。
图17.1测试示例
443
,第十七章网络地址转换(NAT)
图17.2公司合并导致的IP地址冲突
在这些情况下,最好的解决方案是重新规划这个合并的网络。但是,这个重新分配地址的过程相当麻烦。NAT可以作为连接两个网络的过渡方案,地址交叉的情况可以转换,直到IP地址重新分配方案完成。
- .允许网络中的地址冲突是最后的手段。这样会给维护和配置带来很多麻烦。
-
主机A所在的内部子网和外部子网使用同一个IP地址段,所以内部子网和外部子网通信时必须进行地址转换。主机A的内部本地地址10.1.1.1必须转换成内部全局地址192.2.2.1才能访问外部子网,外部子网的主机B的外部全局地址10.1.1.1只能被主机A识别,才能建立它们之间的通信。
对于内部主机A和外部主机B之间传输的每个数据包,边界路由器将检查:
◇对于发往内部区域的数据包,目的地址将被内部本地地址替换,源地址将被外部本地地址替换。
◇对于发往外部区域的数据包,源地址将被内部全局地址替换,目的地址将被外部全局地址替换。
也就是说,为了避免地址重叠,边界路由器在这里做了两个方向的地址转换。
结合这个例子,介绍一下NA T的一些相关术语:
◇内部本地IP地址:内部网络中分配给主机的私有IP地址。该地址从RFC 1918中定义的私有地址空中分配(私有互联网空之间的地址分配)或随机选择。
◇内部全局IP地址:合法的IP地址(由网卡或网络服务提供商分配)。它对外代表一个或多个内部本地IP地址。该地址通常从全球统一可寻址地址空分配,该地址通常由互联网服务提供商(ISP)提供。
◇外部全局IP地址:其所有者分配给外部网络上的主机的IP地址。该地址通常也是从全局统一可寻址地址空分配的。
444
,第十七章网络地址转换(NAT)
◇外部本地IP地址:外部主机在内部网络中的IP地址。该地址从内部可寻址地址空分配,可能从RFCl918中定义的保留地址空分配。
◇简单转换条目:将一个IP地址映射到另一个IP地址的转换条目。
◇扩展转换条目:将一个IP地址和端口映射到另一对IP地址和端口的条目。
考虑一个例子。我们出门穿皮鞋,回到家就得穿拖鞋。而且,我们还要为家里来访的客人准备一双拖鞋。客人来了,我们也需要脱下皮鞋,换上拖鞋。
其实NAT地址转换就像这个过程,这些地址就是我们穿的鞋。内部本地地址是我们回家后在家里穿的拖鞋,只能在家里穿,不能出家门,而内部全局地址是我们出门要穿的皮鞋,出门可以脱掉。外部地址是家里来拜访的客人穿的鞋子,外部全局地址是客人穿的皮鞋。到了家里要穿上专门为他准备的拖鞋——对外本地地址,客人走了还要换回自己的皮鞋才出门。其中,我们自己的皮鞋和客人的皮鞋不能混用,我们自己的拖鞋和客人的拖鞋不能混用。这是四种地址之间的关系。
nat的优点和缺点
NA T的典型优势如下:
◇NAT允许内网使用私有地址,通过设置合法地址集,内网可以与互联网进行通信,从而达到节省合法注册地址的目的。
◇NAT可以在规划地址集时减少地址重叠的发生。如果地址方案最初是在私有网络中建立的,因为它不与外部网络通信,所以有可能使用保留地址之外的地址,后来,网络想要连接到公共网络。在这种情况下,如果不进行地址转换,就会发生地址冲突。
◇NAT增强了内部网络与公共网络连接时的灵活性。它可以通过使用多个地址集、备份地址集和负载共享/平衡地址集来确保可靠的公共网络连接。对于网络设计人员来说,内部网络的设计也会变得更加容易,因为在进行地址规划时会有更多的灵活性。
◇NAT支持地址重叠。将私网地址转换成公网地址,一般需要重新设置原地址,所需工作量与需要设置新地址的主机数量有关。如果使用NAT技术,可以不改变原有私网的内部地址,同时对于外网可以支持新的公有地址方案。
当然,NAT也不是没有缺点。地址转换的过程会带来一些功能和性能上的损失,尤其是当IP分组报头包含任何发送IP地址信息的协议或应用时。
NA T的典型缺点如下:
◇NAT增加了延迟。因为每个包头的IP地址都是要转换的,所以包转发时延自然会增加。而且因为现在应用NAT技术时,路由器只能使用处理器交换来转发数据包,所以,传输
445
,第十七章网络地址转换(NAT)
行性能也是需要考虑的一个方面。CPU必须查看每个数据包以决定是否转换地址,然后更改IP报头,甚至TCP报头,这不太可能轻易使用缓存。
◇NAT增加了配置和调试的复杂性。当使用和实现NAT时,不能实现IP包的端到端路径跟踪。在使用NAT地址转换的多跳之后,跟踪数据包的路径将变得非常困难。然而,这可以提供更安全的网络链接,因为黑客将很难甚至不可能跟踪或获得数据包的初始源地址或目的地址。
◇NAT还可能使一些需要使用嵌入式IP地址的应用无法正常工作,因为它隐藏了端到端的IP地址。一些直接使用IP地址而不是合法域名的应用程序可能无法与外部网络资源通信。这个问题有时可以通过实现静态NAT映射来避免。
17.2 NAT应用
17 . 2 . 1 NAT支持的数据流
对于通过NAT发送数据包的终端系统,NAT应该是半透明的。但是很多应用(商业应用或者作为TCP/IP协议族一部分的应用)都是使用IP地址的,数据字段中的信息可能与IP地址相关,或者嵌入在数据字段中。如果NAT转换IP数据包数据部分的地址,但不知道对数据的影响,应用程序可能会被破坏。
表17-1列出了Cisco NAT设备支持的应用程序。相应地列出了在应用数据中携带IP地址信息的应用。NAT知道这些应用程序,并将适当地修改它们的数据。
表17-1 NAT支持的数据流
17.2.2转换内部局域网地址
使用NAT转换内部本地地址就是建立内部本地地址和内部全局地址的映射关系。在以下示例中,内部LAN网段10.1.1.0/24的地址通过NAT转换为内部全局地址192.168.2.0/24。
446
,第十七章网络地址转换(NAT)
在图17.3中,NAT用于将内部私有地址转换为外部合法地址,从中我们可以看到NAT的运行过程。
图17.3内部地址转换过程
以下步骤编号与图17.3中标记的NAT操作步骤编号一致:
(1)网络内部主机10.1.1.1上的用户建立到外部主机B的连接..
(2)当边界路由器收到来自主机10.1.1.1的第一个数据包时,它将检查NAT转换表。
(3)如果已经为此地址配置了静态地址转换,或者已经为此地址建立了动态地址转换,则路由器将继续执行步骤4。否则,路由器将决定转换地址10 . 1 . 1 . 1;路由器将从动态地址集中为其分配一个合法地址,并建立从内部本地地址10.1.1.1到内部全局地址(例如192.168.2.2)的映射。这种类型的转换分录称为简单分录。
(4)边界路由器用选择的内部全局地址192.168.2.2替换内部本地IP地址10.1.1.1,并转发数据包。
(5)主机B收到数据包,回复内部主机10.1.1.1,目的地址为192.168.2.2。
(6)当边界路由器收到目的地址为内部全局地址的数据包时,路由器会使用内部全局地址通过NAT转换表找到内部本地地址。然后,路由器将数据包中的目的地址替换为内部本地地址10.1.1.1,并将数据包转发到内部主机10.1.1.1。主机10.1.1.1接收数据包并继续会话。对于每个数据包,路由器将执行步骤2至5。
17.2.3复用内部局域网(PAT)的地址
重用内部全局地址是通过允许TCP连接或UDP会话的端口转换来保存内部全局地址集中的合法地址。如前所述,当多个不同的内部本地地址映射到同一个内部全局地址时,每个内部主机的TCP或UDP端口号用于区分它们。
447
,第十七章网络地址转换(NAT)
在图17.4中,用一个内部全局地址同时表示多个内部本地地址,这里举例说明了NAT的操作过程。在图中,内部本地地址10 . 1 . 1 . 0/24被多路复用到地址192.168.2.2。在这种情况下,NAT将采用扩展转换条目表。在该表中,IP地址和端口号的组合可以唯一地区分每个内部主机。通过端口区分内部主机实际上是端口地址转换(PAT),它是NAT的一个子集。
图17.4地址复用
下面列出的步骤与图17.3中的NAT操作步骤编号一致:
(1)网络内部主机10.1.1.1上的用户建立到外部主机B的连接..
(2)当边界路由器收到来自内部主机10.1.1.1的第一个数据包时,它将检查其NAT转换表。
(3)如果内部地址没有建立地址转换映射,路由器将决定转换地址;路由器为内部本地地址10.1.1.1建立到内部全局合法地址(如192.168.2.2)的映射。
(4)如果启用了地址重用功能,并且已经存在其他地址转换映射,路由器将再次启用内部全局地址192.168.2.2,以建立内部本地地址的映射。同时,将保留足够的信息来区分这个映射和其他转换条目。这种类型的转换条目(包括IP地址和端口号)称为扩展条目。
(5)边界路由器用选择的内部全局地址192.168.2.2替换内部本地IP地址10 . 1 . 1 . 1,并转发数据包。
(6)主机B收到数据包,回复目的地址为192.168.2.2的内部主机10 . 1 . 1 . 1。
(7)当边界路由器接收到目的地址为内部全局IP地址的数据包时,路由器会使用内部全局地址、协议端口号和外部地址、端口号,从NAT转换表中查找对应的内部本地地址和端口号。然后将目的地址转换为内部本地地址10 . 1 . 1 . 1,并将数据包转发到内部主机。主机10 . 1 . 1 . 1收到数据包并继续会话。对于每个数据包,路由器将执行步骤2和5。
448
,第十七章网络地址转换(NAT)
TCP负载平衡
TCP负载平衡是指使用NAT技术将多个具有外部IP地址的相同服务器表示为一台服务器。在图17.5中,一个外部设备需要连接一个地址为10.1.1.127的服务器,TCP数据包被发送到一个服务器组,这个服务器组用相同的IP地址10.1.1.127表示,NAT以循环的方式依次转换成三个相同服务器的实际地址。实际上,内部有三台对应的服务器,NAT以循环的方式在它们之间分配会话。
在图17.5中,NAT用于将一台虚拟主机映射到多台真实主机,TCP负载均衡的操作过程是通过NAT实现的。
下面的步骤详细解释了如何使用NAT来实现TCP负载均衡。
(1)外部主机B(172.20.7.3)上的用户建立到虚拟主机10.1.1.127的连接。
图17.5基于NA T的TCP负载平衡
(2)边界路由器接收到这个连接请求,为其建立新的地址映射:将下一个真实的内部主机地址(如10.1.1.1)分配给内部全局IP地址10.1.1.127。
(3)边界路由器用选定的真实内部主机地址替换原始目的地址,并转发数据包。
(4)内部主机10.1.1.1接收数据包并响应。
(5)边界路由器收到回复数据包时,利用内部本地地址和端口号以及外部地址和端口号,从NAT转换表中找出对应的内部全局地址(虚拟主机地址)和端口号,然后将snat转换成虚拟主机地址,转发数据包。
(6)对于下一个连接请求,边界路由器将为其分配另一个内部本地地址,如10.1.1.2。
449
,第十七章网络地址转换(NAT)
- .NAT无法知道服务器何时会关闭。即使服务器关闭,NAT也会继续向该地址发送数据包。所以当服务器出现故障或者离线时,就会导致发送到这个服务器的数据包出现黑洞效应。
-
17.3 NAT配置
在配置网络地址转换过程之前,我们必须首先找出内部接口和外部接口,以及在哪个外部接口上启用了NAT。通常情况下,连接到用户内部网络的接口是NAT内部接口,而连接到外部网络(如互联网)的接口是NAT外部接口。
静态NA T的配置
下面通过一个例子说明了静态NAT的配置。假设内部局域网使用的IP地址为192.168.100.1 ~ 192.168.100.254,路由器局域网端口(默认网关)的IP地址为192.168.100.1,子网掩码为255.255.255.0。
网络分配的合法IP地址范围是61.159.62.128-61.159.62.135。WAN中路由器的地址是61.159.62.129,子网掩码是255.255.255.248。
可用于地址转换的地址有61.159.62.130 ~ 61.159.62.134,如图17.6和17.7所示。
图17.6 NAT静态交换网络结构示意图
450
以上解释了网络地址转换nat(网络地址转换nat)这个话题。这篇文章已经分享到这里了,希望对大家有所帮助。如果信息有误,请联系边肖进行更正。
相关导读:网络地址转换nat题目讲解(网络地址转化nat)
相关内容:网络地址转换nat题目讲解(网络地址转化nat)