《基于端口的网络转换(PAT).doc》由会员分享,可在线阅读,更多相关《基于端口的网络转换(PAT).doc(4页珍藏版)》请在金锄头文库上搜索。
1、4.3.4 基于端口的网络地址转换(PAT)如果机构注册的IP地址池很小甚至只有一个IP地址,仍可以通过NAT重载(端口地址转换(PAT)机制,使多个用户可以同时访问公共网络。PAT将多个本地地址转换为一个全局IP地址。当源主机向目标主机发送消息时,将结合使用IP地址和端口号来跟踪与目标主机的会话。在PAT中,网关将分组中本地源地址和端口转换为一个全局IP地址和大于1024的端口号。虽然所有主机的IP地址都将转换为同一个全局IP地址,但与会话相关联的端口号是唯一的。响应数据流将发送到转换后的IP地址和主机使用的端口。路由器有一个表,其中列出了被转换为外部地址的内部IP地址和端口号组合。响应数据
2、流被发送到外部地址,然后被转发到合适的内部地址和端口号。由于可用的端口超过64000个,因此路由器不太可能耗尽端口号。图4.20显示了一个使用PAT的私有网络,该网络包含40台主机,每台主机都使用同一个公有IP地址与Internet通信,该地址是分配给新ISR路由器的外部接口的。图4.20 PAT的工作原理由于转换是基于本地地址和本地端口的,因此对于使用新源端口的每条连接都需要使用不同的转换。例如,10.1.1.1:1025和10.1.1.1:1026需要使用不同的转换。转换只在连接期间有效,因此在会话结束后,用户不会继续使用相同的全局IP地址和端口号组合。当内部网络使用PAT时,外部用户将无
3、法可靠建立到内部网络中主机的连接。这是因为外部用户无法知道主机的本地或全局端口号,且除非内部网络中的主机发起通信,否则网关不会创建转换。在如图4.21所示的私有内部网络中,主机H1需要使用PAT将分组发送给外部主机H2。该源主机的内部本地地址为192.168.1.106,源端口为7000。目的地主机H2是一台Web服务器,且目的地端口为著名端口80。在分组穿越路由器以前往服务器H2时,路由器将把源地址192.168.1.106转换为一个可用的公有IP地址,然后选择一个可用端口(端口号大于1024的任何端口),并将其绑定到公有地址209.165.202.129,再将分组转发到Web服务器。如图4
4、.22所示,显示了对Web服务器的响应执行的相反转换。服务器将响应发送到它收到的分组使用的主机IP地址和端口组合。网关路由器收到响应并识别IP地址和端口组合,然后将该组合转换为正确的IP地址192.168.1.106和原始端口号,以便能够在本地转发分组。Packet Tracer练习 查看网络地址转换(4.2.3)在这个Packet Tracer练习中,读者将在分组穿越NAT边界时查看其IP报头的内容。请使用本书配套光盘中的文件d2-423.pka来完成该练习。图4.21 PAT:外出的分组实验4.2 确定PAT转换(4.2.4)在这个实验中,读者将确定执行的PAT转换数,详情请参阅本书第2部
5、分的实验。可以现在就做,也可阅读完本章后再做。4.3.5 IP NAT存在的问题在大多数时候,NAT都是透明的,从私有网络访问Internet时用户觉察不到路由器为实现NAT而执行的操作。NAT的一大问题是,为支持IP地址和端口转换而增加了工作负担。有些应用程序将IP地址嵌入到封装数据中,这增加了路由器的工作负担。除IP报头中的源地址外,路由器还必须替换数据中包含的源IP地址和端口。使用NAT时,这些操作都由路由器执行,因此要在网络中实现NAT,必须采用良好的网络设计、小心选择设备、准确配置并定期进行维护。作为一种支持IPv4的协议,NAT推迟了IPv4地址空间耗尽的时间。NAT在家庭和小型企业使用的集成网络设备中非常普遍,对这些用户来说,配置NAT时只需选择复选框即可。然而,随着企业的成长,需要更复杂的网关和路由选择解决方案,在设备中配置NAT和其他功能将更为复杂。图4.22 PAT:返回分组
