掌握NAT基本原理和地址轉(zhuǎn)換方式

1、掌握NAT基本原理和地址轉(zhuǎn)換方式一、NATIANA向超大型企業(yè)/組織分配A類網(wǎng)絡(luò)地址，一次一段。向中型企業(yè)或教育機(jī)構(gòu)分配B類網(wǎng)絡(luò)地址，一次一段。這樣一種分配策略使得IP地址浪費(fèi)很嚴(yán)重，很多被分配出去的地址沒有真實(shí)被利用，地址消耗很快。以至于二十世紀(jì)90年代初，網(wǎng)絡(luò)專家們意識(shí)到，這樣大手大腳下去，IPv4地址很快就要耗光了。于是，人們開始考慮IPv4的替代方案，同時(shí)采取一系列的措施來減緩IPv4地址的消耗。正是在這樣一個(gè)背景之下，本期的主角閃亮登場，它就是網(wǎng)絡(luò)地址轉(zhuǎn)換NAT。二、NAT的概念模型NAT名字很準(zhǔn)確，網(wǎng)絡(luò)地址轉(zhuǎn)換，就是替換IP報(bào)文頭部的地址信息。NAT通常部署在一個(gè)組織的網(wǎng)絡(luò)出口位置

2、，通過將內(nèi)部網(wǎng)絡(luò)IP地址替換為出口的IP地址提供公網(wǎng)可達(dá)性和上層協(xié)議的連接能力1）內(nèi)部網(wǎng)絡(luò)IP地址RFC1918規(guī)定了三個(gè)保留地址段落：10.0.0.0-10.255.255.255；172.16.0.0-172.31.255.255；192.168.0.0-192.168.255.255。這三個(gè)范圍分別處于A,B,C類的地址段，不向特定的用戶分配，被IANA作為私有地址保留。這些地址可以在任何組織或企業(yè)內(nèi)部使用，和其他Internet地址的區(qū)別就是，僅能在內(nèi)部使用，不能作為全球路由地址。這就是說，出了組織的管理范圍這些地址就不再有意義，無論是作為源地址，還是目的地址。對于一個(gè)封閉的組織，如果

3、其網(wǎng)絡(luò)不連接到Internet，就可以使用這些地址而不用向IANA提出申請，而在內(nèi)部的路由管理和報(bào)文傳遞方式與其他網(wǎng)絡(luò)沒有差異。對于有Internet訪問需求而內(nèi)部又使用私有地址的網(wǎng)絡(luò)，就要在組織的出口位置部署NAT網(wǎng)關(guān)，在報(bào)文離開私網(wǎng)進(jìn)入Internet時(shí)，將源IP替換為公網(wǎng)地址，通常是出口設(shè)備的接口地址。一個(gè)對外的訪問請求在到達(dá)目標(biāo)以后，表現(xiàn)為由本組織出口設(shè)備發(fā)起，因此被請求的服務(wù)端可將響應(yīng)由Internet發(fā)回出口網(wǎng)關(guān)。出口網(wǎng)關(guān)再將目的地址替換為私網(wǎng)的源主機(jī)地址，發(fā)回內(nèi)部。這樣一次由私網(wǎng)主機(jī)向公網(wǎng)服務(wù)端的請求和響應(yīng)就在通信兩端均無感知的情況下完成了。依據(jù)這種模型，數(shù)量龐大的內(nèi)網(wǎng)主機(jī)就不再

4、需要公有IP地址了.三、NAT轉(zhuǎn)換過程示意圖四、配置靜態(tài)黑名單表項(xiàng)1. 網(wǎng)絡(luò)被分為私網(wǎng)和公網(wǎng)兩個(gè)部分，NAT網(wǎng)關(guān)設(shè)置在私網(wǎng)到公網(wǎng)的路由出口位置，雙向流量必須都要經(jīng)過NAT網(wǎng)關(guān)；2. 網(wǎng)絡(luò)訪問只能先由私網(wǎng)側(cè)發(fā)起，公網(wǎng)無法主動(dòng)訪問私網(wǎng)主機(jī)；3. NAT網(wǎng)關(guān)在兩個(gè)訪問方向上完成兩次地址的轉(zhuǎn)換或翻譯，出方向做源信息替換，入方向做目的信息替換；4. NAT網(wǎng)關(guān)的存在對通信雙方是保持透明的；5. NAT網(wǎng)關(guān)為了實(shí)現(xiàn)雙向翻譯的功能，需要維護(hù)一張關(guān)聯(lián)表，把會(huì)話的信息保存下來。四、一對一的NAT如果一個(gè)內(nèi)部主機(jī)唯一占用一個(gè)公網(wǎng)IP，這種方式被稱為一對一模型。此種方式下，轉(zhuǎn)換上層協(xié)議就是不必要的，因?yàn)橐粋€(gè)公網(wǎng)IP

5、就能唯一對應(yīng)一個(gè)內(nèi)部主機(jī)。顯然，這種方式對節(jié)約公網(wǎng)IP沒有太大意義，主要是為了實(shí)現(xiàn)一些特殊的組網(wǎng)需求。比如用戶希望隱藏內(nèi)部主機(jī)的真實(shí)IP，或者實(shí)現(xiàn)兩個(gè)IP地址重疊網(wǎng)絡(luò)的通信。四、一對多的NAT一個(gè)組織網(wǎng)絡(luò)，在出口位置部署NAT網(wǎng)關(guān)，所有對公網(wǎng)的訪問表現(xiàn)為一臺(tái)主機(jī)。這就是所謂的一對多模型。這種方式下，出口設(shè)備只占用一個(gè)由Internet服務(wù)提供商分配的公網(wǎng)IP地址。面對私網(wǎng)內(nèi)部數(shù)量龐大的主機(jī)，如果NAT只進(jìn)行IP地址的簡單替換，就會(huì)產(chǎn)生一個(gè)問題：當(dāng)有多個(gè)內(nèi)部主機(jī)去訪問同一個(gè)服務(wù)器時(shí)，從返回的信息不足以區(qū)分響應(yīng)應(yīng)該轉(zhuǎn)發(fā)到哪個(gè)內(nèi)部主機(jī)。此時(shí)，需要NAT設(shè)備根據(jù)傳輸層信息或其他上層協(xié)議去區(qū)分不同的會(huì)話，并且可能要對上層協(xié)議的標(biāo)識(shí)進(jìn)行轉(zhuǎn)換，比如TCP或UDP端口號(hào)。這樣NAT網(wǎng)關(guān)就可以將不同的內(nèi)部連接訪問映射到同一公網(wǎng)IP的