掌握NAT基本原理和地址轉(zhuǎn)換方式_第1頁
掌握NAT基本原理和地址轉(zhuǎn)換方式_第2頁
掌握NAT基本原理和地址轉(zhuǎn)換方式_第3頁
掌握NAT基本原理和地址轉(zhuǎn)換方式_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、掌握NAT基本原理和地址轉(zhuǎn)換方式一、NATIANA向超大型企業(yè)/組織分配A類網(wǎng)絡(luò)地址,一次一段。向中型企業(yè)或教育機構(gòu)分配B類網(wǎng)絡(luò)地址,一次一段。這樣一種分配策略使得IP地址浪費很嚴(yán)重,很多被分配出去的地址沒有真實被利用,地址消耗很快。以至于二十世紀(jì)90年代初,網(wǎng)絡(luò)專家們意識到,這樣大手大腳下去,IPv4地址很快就要耗光了。于是,人們開始考慮IPv4的替代方案,同時采取一系列的措施來減緩IPv4地址的消耗。正是在這樣一個背景之下,本期的主角閃亮登場,它就是網(wǎng)絡(luò)地址轉(zhuǎn)換NAT。二、NAT的概念模型NAT名字很準(zhǔn)確,網(wǎng)絡(luò)地址轉(zhuǎn)換,就是替換IP報文頭部的地址信息。NAT通常部署在一個組織的網(wǎng)絡(luò)出口位置

2、,通過將內(nèi)部網(wǎng)絡(luò)IP地址替換為出口的IP地址提供公網(wǎng)可達性和上層協(xié)議的連接能力1)內(nèi)部網(wǎng)絡(luò)IP地址RFC1918規(guī)定了三個保留地址段落:10.0.0.0-10.255.255.255;172.16.0.0-172.31.255.255;192.168.0.0-192.168.255.255。這三個范圍分別處于A,B,C類的地址段,不向特定的用戶分配,被IANA作為私有地址保留。這些地址可以在任何組織或企業(yè)內(nèi)部使用,和其他Internet地址的區(qū)別就是,僅能在內(nèi)部使用,不能作為全球路由地址。這就是說,出了組織的管理范圍這些地址就不再有意義,無論是作為源地址,還是目的地址。對于一個封閉的組織,如果

3、其網(wǎng)絡(luò)不連接到Internet,就可以使用這些地址而不用向IANA提出申請,而在內(nèi)部的路由管理和報文傳遞方式與其他網(wǎng)絡(luò)沒有差異。對于有Internet訪問需求而內(nèi)部又使用私有地址的網(wǎng)絡(luò),就要在組織的出口位置部署NAT網(wǎng)關(guān),在報文離開私網(wǎng)進入Internet時,將源IP替換為公網(wǎng)地址,通常是出口設(shè)備的接口地址。一個對外的訪問請求在到達目標(biāo)以后,表現(xiàn)為由本組織出口設(shè)備發(fā)起,因此被請求的服務(wù)端可將響應(yīng)由Internet發(fā)回出口網(wǎng)關(guān)。出口網(wǎng)關(guān)再將目的地址替換為私網(wǎng)的源主機地址,發(fā)回內(nèi)部。這樣一次由私網(wǎng)主機向公網(wǎng)服務(wù)端的請求和響應(yīng)就在通信兩端均無感知的情況下完成了。依據(jù)這種模型,數(shù)量龐大的內(nèi)網(wǎng)主機就不再

4、需要公有IP地址了.三、NAT轉(zhuǎn)換過程示意圖四、配置靜態(tài)黑名單表項1. 網(wǎng)絡(luò)被分為私網(wǎng)和公網(wǎng)兩個部分,NAT網(wǎng)關(guān)設(shè)置在私網(wǎng)到公網(wǎng)的路由出口位置,雙向流量必須都要經(jīng)過NAT網(wǎng)關(guān);2. 網(wǎng)絡(luò)訪問只能先由私網(wǎng)側(cè)發(fā)起,公網(wǎng)無法主動訪問私網(wǎng)主機;3. NAT網(wǎng)關(guān)在兩個訪問方向上完成兩次地址的轉(zhuǎn)換或翻譯,出方向做源信息替換,入方向做目的信息替換;4. NAT網(wǎng)關(guān)的存在對通信雙方是保持透明的;5. NAT網(wǎng)關(guān)為了實現(xiàn)雙向翻譯的功能,需要維護一張關(guān)聯(lián)表,把會話的信息保存下來。四、一對一的NAT如果一個內(nèi)部主機唯一占用一個公網(wǎng)IP,這種方式被稱為一對一模型。此種方式下,轉(zhuǎn)換上層協(xié)議就是不必要的,因為一個公網(wǎng)IP

5、就能唯一對應(yīng)一個內(nèi)部主機。顯然,這種方式對節(jié)約公網(wǎng)IP沒有太大意義,主要是為了實現(xiàn)一些特殊的組網(wǎng)需求。比如用戶希望隱藏內(nèi)部主機的真實IP,或者實現(xiàn)兩個IP地址重疊網(wǎng)絡(luò)的通信。四、一對多的NAT一個組織網(wǎng)絡(luò),在出口位置部署NAT網(wǎng)關(guān),所有對公網(wǎng)的訪問表現(xiàn)為一臺主機。這就是所謂的一對多模型。這種方式下,出口設(shè)備只占用一個由Internet服務(wù)提供商分配的公網(wǎng)IP地址。面對私網(wǎng)內(nèi)部數(shù)量龐大的主機,如果NAT只進行IP地址的簡單替換,就會產(chǎn)生一個問題:當(dāng)有多個內(nèi)部主機去訪問同一個服務(wù)器時,從返回的信息不足以區(qū)分響應(yīng)應(yīng)該轉(zhuǎn)發(fā)到哪個內(nèi)部主機。此時,需要NAT設(shè)備根據(jù)傳輸層信息或其他上層協(xié)議去區(qū)分不同的會話,并且可能要對上層協(xié)議的標(biāo)識進行轉(zhuǎn)換,比如TCP或UDP端口號。這樣NAT網(wǎng)關(guān)就可以將不同的內(nèi)部連接訪問映射到同一公網(wǎng)IP的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論