收藏
下载资源

网络地址转换实现方式(NAT)

上传人:宝路 文档编号:23516921 上传时间:2017-12-01 格式:DOCX 页数:30 大小:87.57KB
返回 下载 相关 举报
网络地址转换实现方式(NAT)_第1页
第1页 / 共30页
网络地址转换实现方式(NAT)_第2页
第2页 / 共30页
网络地址转换实现方式(NAT)_第3页
第3页 / 共30页
网络地址转换实现方式(NAT)_第4页
第4页 / 共30页
网络地址转换实现方式(NAT)_第5页
第5页 / 共30页
点击查看更多>>
资源描述

《网络地址转换实现方式(NAT)》由会员分享,可在线阅读,更多相关《网络地址转换实现方式(NAT)(30页珍藏版)》请在金锄头文库上搜索。

1、网络地址转换(NAT)简介NAT 概述NAT(Network Address Translation,网 络 地址转换)是将 IP 数据包头中的 IP 地址转换为 另一个 IP 地址的过 程。在实际应用中, NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有 IP 地址代表较多的私有 IP 地址的方式,将有助于减缓可用 IP 地址空间的枯竭。 说明: 私有 IP 地址是指内部网络或主机的 IP 地址,公有 IP 地址是指在因特网上全球唯一的 IP 地址。 RFC 1918 为私有网络预留出了三个 IP 地址块,如下: A 类:10.0.0.010.255.255.255 B

2、 类:172.16.0.0172.31.255.255 C 类:192.168.0.0192.168.255.255 上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP 或注册中心申请而在公司或企 业内部自由使用。 NAT 工作流程如右图这个 client 的 gateway 设定为 NAT 主机,所以当要连上 Internet 的时候,该封包就会被送到 NAT 主机,这个时候的封包 Header 之 source IP 为 192.168.1.100 ; Nat-流程 1而透过这个 NAT 主机,它会将 client 的对外联机封包的 source IP ( 192.168.1.

3、100 ) 伪装成 ppp0 ( 假设为拨接情况 )这个接口所具有的公共 IP ,因为是公共 IP 了,所以这个封包就可以连上 Internet 了!同时 NAT 主机并且会记忆这个联机的封包是由哪一个 ( 192.168.1.100 ) client 端传送来的; Nat 流程 2由 Internet 传 送回来的封包,当然由 NAT 主机来接收了,这个时候, NAT 主机会去查询原本记录的路由信息,并将目标 IP 由 ppp0 上面的公共 IP 改回原来的 192.168.1.100 ; 最后则由 NAT 主机将该封包传送给原先发送封包的 Client 。 NAT 架设需求由前面 NAT(

4、 Network Address Translation ) 的介绍,我们知道他可以作为频宽分享的主机,当然也可以管理一群在 NAT 主机后面的 Client 计算机。所以 NAT 的功能至少有这 两项: 频宽分享:这是 NAT 主机的最大功能。 安全防护:NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了!外界在进行 portscan 的时候,就侦测不到源Client 端的 PC 。 编辑本段 NAT 技术背景NAT 技术的产生虽然 NAT 可以借助于某些 代理服务器来实现,但考虑

5、到运算成本和网络性能,很多时候都是在路由器上来实现的。 随着接入 Internet 的计算机数量的不断猛增,IP 地址资源也就愈加显得捉襟见肘。事实上,除了中国教育和科研计算机网(CERNET)外,一般用户几乎申请不到整段的 C 类 IP 地址。在其他 ISP 那里,即使是拥有几百台计算机的大型局域网用户,当他们申请 IP 地址时,所分配的地址也不过只有几个或十几个 IP 地址。显然,这样少的 IP地址根本无法满足网络用户的需求,于是也就产生了 NAT 技术。 NAT 技术的作用借助于 NAT,私有(保留)地址的内部网络通过路由器发送数据包时,私有地址被转换成合法的 IP 地址,一个局域网只需

6、使用少量IP 地址(甚至是 1 个)即可实现私有地址网络内所有计算机与 Internet的通信需求。 NAT 将自动修改 IP 报文的源 IP 地址和目的 IP 地址,Ip 地址校验则在 NAT 处理过程中自动完成。有些应用程序将源 IP 地址嵌入到 IP 报文的数据部分中,所以还需要同时对报文的数据部分进行修改,以匹配 IP 头中已经修改过的源 IP 地址。否则,在 报文数据都分别嵌入 IP 地址的应用程序就不能正常工作。 NAT 技术实现方式NAT 的实现方式有三种,即静态转换 Static Nat、动态转换Dynamic Nat 和端口多路复用 OverLoad。 静态转换是指将内部网络

7、的私有 IP 地址转换为公有 IP 地址,IP地址对是一对一的,是一成不变的,某个私有 IP 地址只转换为某个公有 IP 地址。借助于 静态转换,可以 实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有 IP 地址转换为公用 IP 地址时,IP 地址是不确定的,是随机的,所有被授 权访问上 Internet 的私有 IP地址可随机转换为任何指定的合法 IP 地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当 ISP提供的合法 IP 地址略少于网络内部的计算机数量时。可

8、以采用动态转换的方式。 端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口 地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部 IP 地址实现对 Internet 的访问,从而可以最大限度地节约 IP 地址资源。同 时,又可隐藏网络内部的所有主机,有效避免来自internet 的攻击。因此,目前网络中应用最多的就是端口多路复用方式。网络地址转换(NAT)的实现在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用

9、 NAT。通常情况下,连接到用户内部网络的接口是 NAT 内部接口,而连接到外部网络(如 Internet)的接口是 NAT 外部接口。 1).静态 地址转换的实现 假设内部局域网使用的 lP 地址段为 192.168.0.1192.168.0.254,路由器局域网端(即 默认网关)的 IP 地址为 192.168.0.1,子网掩码为255.255.255.0。网络分配的合法 IP 地址范围为61.159.62.12861.159.62.135,路由器在广域网中的 IP 地址为61.159.62.129,子网掩码为 255.255.255.248 可用于转换的 IP 地址范围为 61.159.

10、62.13061.159.62.134。要求将内部网址192.168.0.2192.168.0.6 分别转换为合法 IP 地址61.159.62.13061.159.62.134。 第一步,设置外部端口。 interface serial 0 ip address 61.159.62.129 255.255.255.248 ip nat outside 第二步,设置内部端口。 interface ethernet 0 ip address 192.168.0.1 255.255.255.0 ip nat inside 第三步,在内部本地与外部合法地址之间建立 静态 地址转换。 ip nat i

11、nside source static 内部本地地址内部合法地址。 示例: ip nat inside source static 192.168.0.2 61.159.62.130 /将内部 网络地址 192.168.0.2 转换为合法 IP 地址 61.159.62.130 ip nat inside source static 192.168.0.3 61.159.62.131 /将内部 网络地址 192.168.0.3 转换为合法 IP 地址 61.159.62.131 ip nat inside source static 192.168.0.4 61.159.62.132 /将内部

12、 网络地址 192.168.0.4 转换为合法 IP 地址 61.159.62.132 ip nat inside source static 192.168.0.5 61.159.62.133 /将内部 网络地址 192.168.0.5 转换为合法 IP 地址 61.159.62.133 ip nat inside source static 192.168.0.6 61.159.62.134 /将内部 网络地址 192.168.0.6 转换为合法 IP 地址 61.159.62.134 至此, 静 态 地址转换配置完毕。 2).动态地址转换的实现 假设内部网络使用的 IP 地址段为 172

13、.16.100.1172.16.100.254,路由器局域网端口(即 默认网关)的 IP 地址为 172.16.100.1,子网掩码为 255.255.255.0。网络分配的合法 IP 地址范围为61.159.62.12861.159.62.191,路由器在广域网中的 IP 地址为61.159.62.129,子网掩码为 255.255.255.192,可用于转换的 IP 地址范围为 61.159.62.13061.159.62.190。要求将内部网址172.16.100.1172.16.100.254 动态转换为合法 IP 地址61.159.62.13061.159.62.190。 第一步,设

14、置外部端口。 设置外部端口命令的语法如下: ip nat outside 示例: interface serial 0 /进 入串行端口 serial 0 ip address 61.159.62.129 255.255.255.192/将其 IP 地址指定为61.159.62.129,子网掩码为 255.255.255.192 ip nat outside /将串行口 serial 0 设置为外网端口 注意,可以定 义多个外部端口。 第二步,设置内部端口。 设置内部接口命令的语法如下: ip nat inside 示例: interface ethernet 0 /进入以太网端口 Ether

15、net 0 ip address 172.16.100.1 255.255.255.0 / 将其 IP 地址指定为172.16.100.1,子网掩码为 255.255.255.0 ip nat inside /将 Ethernet 0 设置为内网端口。 注意,可以定 义多个内部端口。 第三步,定 义合法 IP 地址池。 定义合法 IP 地址池命令的语法如下: ip nat pool 地址池名称起始 IP 地址 终止 IP 地址子网掩码 其中, 地址池 名字可以任意设定。 示例: ip nat pool chinanet 61.159.62.130 61.159.62.190 netmask 2

16、55.255.255.192 /指明地址缓冲池的名称为 chinanet,IP 地址范围为61.159.62.13061.159.62.190,子网掩码为 255.255.255.192。需要注意的是,即使掩码为 255.255.255.0,也会由起始 IP 地址和终止 IP 地址对 IP 地址池进行限制。 或 ip nat pool test 61.159.62.130 61.159.62.190 prefix-length 26 注意,如果有多个合法 IP 地址范围,可以分别添加。例如,如果还有一段合法 IP 地址范围为211.82.216.1211.82.216.254,那么,可以再通过下述命令将其添加至缓冲池中。 ip nat pool cernet 211.82.216.1 211.82.216.254 netmask 255.255.255.0 或 ip nat pool test 211.82.216

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号