《一般企业公司网络规划方案》由会员分享,可在线阅读,更多相关《一般企业公司网络规划方案(6页珍藏版)》请在金锄头文库上搜索。
1、XX 有限公司网络规划方案有限公司网络规划方案一、概述.21.1 简介.2 1.2 分类.2 1.3 应用.2二、原理.32.1 地址转换.3 2.2 连接跟踪.3 2.3 端口转换.4三、Linux 下 NAT 实现路由功能 .43.1 netfilter/iptables 模块 .4 3.2 基于 netfilter/iptables 的 NAT.4 3.3 根据如上述文档实施.5一、一、概述1.1 简介简介NAT 英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个 IETF(Internet Engineering Task For
2、ce, Internet 工程任务组)标准,允许一个整体机构以一个 公用 IP(Internet Protocol)地址出现在 Internet 上。顾名思义,它是一种把内部私有网络地 址(IP 地址)翻译成合法网络 IP 地址的技术。1.2 分类分类NAT 有三种类型:静态 NAT(Static NAT)、动态地址 NAT(Pooled NAT)、网络地址端口转 换 NAPT(Port-Level NAT) 。 其中,网络地址端口转换 NAPT(Network Address Port Translation)则是把内部地址映射 到外部网络的一个 IP 地址的不同端口上。它可以将中小型的网络
3、隐藏在一个合法的 IP 地 址后面。NAPT 与 动态地址 NAT 不同,它将内部连接映射到外部网络中的一个单独的 IP 地址上,同时在该地址上加上一个由 NAT 设备选定的端口号。 NAPT 是使用最普遍的一种转换方式,在 HomeGW 中也主要使用该方式。它又包含两种转 换方式:SNAT 和 DNAT。 (1)源 NAT(Source NAT,SNAT):修改数据包的源地址。源 NAT 改变第一个数据包的 来源地址,它永远会在数据包发送到网络之前完成,数据包伪装就是一具 SNAT 的例子。 (2)目的 NAT(Destination NAT,DNAT):修改数据包的目的地址。Destina
4、tion NAT 刚好 与 SNAT 相反,它是改变第一个数据懈的目的地地址,如平衡负载、端口转发和透明代理 就是属于 DNAT。1.3 应用应用NAT 主要可以实现以下几个功能:数据包伪装、平衡负载、端口转发和透明代理。 数据伪装: 可以将内网数据包中的地址信息更改成统一的对外地址信息,不让内网主机直接暴露在因特网上,保证内网主机的安全。同时,该功能也常用来实现共享上网。 端口转发: 当内网主机对外提供服务时,由于使用的是内部私有 IP 地址,外网无法直接访 问。因此,需要在网关上进行端口转发,将特定服务的数据包转发给内网主机。 负载平衡: 目的地址转换 NAT 可以重定向一些服务器的连接到
5、其他随机选定的服务器。 失效终结: 目的地址转换 NAT 可以用来提供高可靠性的服务。如果一个系统有一台通过路 由器访问的关键服务器,一旦路由器检测到该服务器当机,它可以使用目的地址转换 NAT 透明的把连接转移到一个备份服务器上。 透明代理: NAT 可以把连接到因特网的 HTTP 连接重定向到一个指定的 HTTP 代理服务器 以缓存数据和过滤请求。一些因特网服务提供商就使用这种技术来减少带宽的使用而不用 让他们的客户配置他们的浏览器支持代理连接。二、原理二、原理2.1 地址转换地址转换NAT 的基本工作原理是,当私有网主机和公共网主机通信的 IP 包经过 NAT 网关时,将 IP 包中的源
6、 IP 或目的 IP 在私有 IP 和 NAT 的公共 IP 之间进行转换。NAT 网关有 2 个以上网 络端口,其中公共网络端口的 IP 地址是统一分配的公共 IP,为 122.244.219.226;私有网 络端口的 IP 地址是保留地址,为 192.168.1.1。私有网中的主机向公共网中的主机发送了 1 个 IP 包。 当 IP 包经过 NAT 网关时,NAT Gateway 会将 IP 包的源 IP 转换为 NAT Gateway 的公共 IP 并转发到公共网,此时 IP 包中已经不含任何私有网 IP 的信息。由于 IP 包的源 IP 已经被 转换成 NAT Gateway 的公共
7、IP,Web Server 发出的响应 IP 包将被发送到 NAT Gateway。 这时,NAT Gateway 会将 IP 包的目的 IP 转换成私有网中主机的 IP,然后将 IP 包转发到私 有网。对于通信双方而言,这种地址的转换过程是完全透明的。 如果内网主机发出的请求包未经过 NAT,那么当 Web Server 收到请求包,回复的响应包 中的目的地址就是私网 IP 地址,在 Internet 上无法正确送达,导致连接失败。2.2 连接跟踪连接跟踪在上述过程中,NAT Gateway 在收到响应包后,就需要判断将数据包转发给谁。此时如果 子网内仅有少量客户机,可以用静态 NAT 手工
8、指定;但如果内网有多台客户机,并且各 自访问不同网站,这时候就需要连接跟踪(connection track) 。在 NAT Gateway 收到客户机 发来的请求包后,做源地址转换,并且将该连接记录保存下来,当 NAT Gateway 收到服务 器来的响应包后,查找 Track Table,确定转发目标,做目的地址转换,转发给客户机。2.3 端口转换端口转换以上述客户机访问服务器为例,当仅有一台客户机访问服务器时,NAT Gateway 只须更改 数据包的源 IP 或目的 IP 即可正常通讯。但是如果 Client A 和 Client B 同时访问 Web Server,那么当 NAT G
9、ateway 收到响应包的时候,就无法判断将数据包转发给哪台客户机。此时,NAT Gateway 会在 Connection Track 中加入端口信息加以区分。如果两客户机访问 同一服务器的源端口不同,那么在 Track Table 里加入端口信息即可区分,如果源端口正好 相同,那么在时行 SNAT 和 DNAT 的同时对源端口也要做相应的转换。三、Linux 下 NAT 实现路由功能3.1 netfilter/iptables 模块模块netfilter/iptables(IP 信息包过滤系统)是一种功能强大的工具,根据数据包过滤规则,对 经过的网络数据包进行丢弃、改造、转发等处理。 ne
10、tfilter 组件也称为内核空间(kernelspace) ,是内核的一部分,由一些数据包过滤表组成, 这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具,也称为用户空间(userspace) ,它主要用来向用户提供添加、修 改、删除内核中数据过滤表的接口。3.2 基于基于 netfilter/iptables 的的 NATnetfilter/iptables 中的数据包过滤表有三种:filter、nat 和 mangle。 filter 表用于一般的信息包过滤,它包含 INPUT 、 OUTPUT 和 FORWARD 链。 nat 表用于要转发的信息包,它包含
11、 PREROUTING 、 OUTPUT 和 POSTROUTING 链。如果信息包及其头内进行了任何更改,则使用 mangle 表。该表包含一些规则来标记用于 高级路由的信息包,该表包含 PREROUTING 和 OUTPUT 链。 filter 表用来过滤数据包,我们可以在任何时候匹配包并过滤它们。Mangle 不经常使用还 在开发当中。我们下面主要介绍 Nat 表来实现 NAT 功能。 (1)用户使用 iptables 命令在用户空间设置 NAT 规则。通过使用用户空间 iptables 命令,可 以构建用户自己的定制 NAT 规则。所有规则存储在内核空间的 nat 表中。根据规则所处理
12、 的信息包类型,将规则分组在链中。要做 SNAT 的信息包被添加到 POSTROUTING 链中。 要做 DNAT 的信息包被添加到 PREROUTING 链中。直接从本地出站的信息包的规则被添 加到 OUTPUT 链中。 (2)内核空间接管 NAT 工作.做过 NAT 操作的数据包的地址就被改变了,当然这种改变是根 据我们的规则进行的。属于一个流的包只会经过这个表一次。如果第一个包被允许做 NAT 或 Masqueraded,那么余下的包都会自动地被做相同的操作。也就是说,余下的包不会再 通过这个表,一个一个的被 NAT,而是自动地完成。这就是我们为什么不应该在这个表中 做任何过滤的主要原因。PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的 地址,如果需要的话。OUTPUT 链改变本地产生的包的目的地址。下图是数据包穿越整个 netfilter/iptables 的流程图。(3)NAT 工作步骤: DNAT:若
