NAT基本原理

NAT只能作为过渡方案,暂时缓解IPV4地址不够用的问题,在IPv6广泛应用之前,采用一些过渡技术(CIDR、私网地址等)

私网地址10.0.0.0/8、172.16.0.0-172.31.255.255、192.168.0.0/16

工作原理:
当访问互联网的报文会经过NAT网关,NAT网关会用一个合法的公网地址替换原报文中的源IP地址,并对这种转换进行记录(出方向),之后,当报文从internet侧返回时,NAT网关会查找原有的记录(反方向),将报文的目的地址再替换回原来的私网地址,并送回发出请求的主机

ACL对IP地址的控制
在实际应用中、NAT设备会查看IP数据报文的头部,对照ACL、如果源IP动作拒绝,它将不进行地址转换

基础NAT方式:属于一对一的地址转换,在这种方式下只转换IP地址,而对TCP/UDP协议端口号不做处理,目前实际中不常用
NAT端口复用:属于多对一的地址转换,使用“IP地址+端口号”形式转换(NAT选取空闲的端口号)
NAT Server方式:出于安全考虑,大部分用户主机不希望被公网用户访问,但某些服务希望被公网访问,“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系

应用级网关
NAT只改变IP头部地址信息,不对报文过载进行分析,然而有些应用层协议,其报文携带有地址或端口信息,这些信息不能有效的转换
使用应用级网关(ALG)机制来解决
ALG是特定应用协议的转换代理,它对IP报文的进行分析,改变封装在其中的地址和端口信息,并完成应用协议穿越NAT

NAT日志:在NAT转换时生成的一种系统信息(源IP地址、目的IP地址、源端口、目的端口等)只记录内网访问外网的情况,不记录外网访问内网

NAT会话状态表占用CPU和内存资源

NAT网关必做的事情、因为IP和端口资源有限,通信需求无限、如果应用需要维持连接的时间大于NAT网关的设置,通信会中断

NAT优点:
1、节约IPv4地址
2、隐藏公网地址、网络安全
3、方便管理

NAT缺点:
1、对于一些数据报文进行IP地址的转换,报头不能被加密
2、如果遭受到内网攻击,很难准确定位,因为主机IP地址被屏蔽了

时间: 2024-11-10 16:59:06

NAT基本原理的相关文章

VOIP 通信 NAT穿越系列专题之NAT基本原理介绍及与VOIP关系

本文是VOIP通信NAT穿越系列专题的第二篇, NAT 是一种在IP分组通过路由器或防火墙时重写源IP地址或/和目的IP地址的技术,这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中.20世纪90年代中期,NAT是作为一种解决IPv4地址短缺以避免保留IP地址困难的方案而流行起来的.家庭和小型办公室的路由器一般都集成了防火墙,DHCP服务器和NAT功能. NAT穿越是广泛用于P2P领域的通信方式.在视频会议过程中,NAT穿越也在内外网消息通信中起到了至关重要的作用,平台

NAT基本原理及应用

1 概述 1.1 简介 1.1.1 名词解释 公有IP地址:也叫全局地址,是指合法的IP地址,它是由NIC(网络信息中心)或者ISP(网络服务提供商)分配的地址,对外代表一个或多个内部局部地址,是全球统一的可寻 址的地址. 私有IP地址:也叫内部地址,属于非注册地址,专门为组织机构内部使用.因特网分配编号委员会(IANA)保留了3块IP地址做为私有IP地址: 10.0.0.0 ——— 10.255.255.255 172.16.0.0——— 172.16.255.255 192.168.0.0—

VOIP 通信 NAT穿越系列专题

本文原创自 http://blog.csdn.net/voipmaker  转载注明出处. 鉴于经常有人在QQ群(45211986)里问NAT穿越相关话题,本系列文章我将介绍NAT穿越相关内容,题目就叫VOIP  NAT穿透,没具体说SIP或者其他是因为VOIP包含信令 NAT和媒体的NAT,所以我将介绍这两部分,也是多数初学者容易混淆的内容,此系列专题将包括以下内容: 1.  NAT基本原理介绍及与VOIP关系 2  VOIP NAT穿越之SIP信令穿越 3. VOIP NAT穿越之媒体穿越

LVS集群的基本原理、LVS/NAT模式的配置、LVS/DR模式的配置、编写自动脚本检查LVS上realserver健康性

Linux 虚拟服务器(LVS)由章文嵩在国防科技大学就读博士期间创建利用LVS可以实现高可用的.可伸缩的Web.Mail.Cache和Media等网络服务,已经被集成到linux内核里了. 1.什么是集群? 使用一组服务器提供相同的服务2.使用集群的目的? 增强可靠性   降低成本   提高可扩展性   提高性能3.集群分类? HPC 高性能计算集群    (气象   航天   航空)    LB    负载均衡集群 (平均地分摊处理)    * LVS    hproxy HA    高可用

UPnP基本原理以及在NAT中的应用

http://www.h3c.com.cn/MiniSite/Technology_Circle/Net_Reptile/The_Five/Home/Catalog/201206/747039_97665_0.htm

PPPoE基本原理与配置

大分部ISP(Internet服务提供商)在网络上使用PPPoE(Point to Point Over Ethernet,以太网上的点对点协议)来验证用户的计算机.大家在家里上网的时候会进行ADSL拨号连接,中小型公司的路由器进行ADSL连接,使用的都是PPPoE协议.今天为大家讲解一下PPPoE的基本原理.演示如何在思科路由器上配置服务器和客户端,以及在Windows操作系统上配置客户端. PPPoE概述: PPPoE是一个二层协议,用于把PPP的数据帧封装在以太网帧中.借助PPP的优势,可

NAT与网桥

虚拟机或docker容器上网有2种方式:桥接和NAT (1)桥接的基本原理 配置成桥接网络连接模式的虚拟机可以当作主机所在以太网的一台独立主机,虚拟系统和宿主机器的关系,就像连接在同一个Hub上的两台电脑,可以像主机一样访问以太网中的所有共享资源和网络连接,可以直接共享主机网络的互联网接入线路访问互联网,互联网也可以独立的访问该虚拟机.各虚拟机通过默认的VMnet0虚拟网卡与主机以太网连接,虚拟机间的虚拟网络为VMnet0.虚拟主机只需要配置与实体机同网段ip,相同的子网掩码,DNS和网关.需要

CentOS设置虚拟网卡做NAT方式和Bridge方式桥接

http://www.centoscn.com/CentOS/config/2015/0225/4736.html 摘要:KVM虚拟机网络配置的两种方式:NAT方式和Bridge方式.Bridge方式的配置原理和步骤.Bridge方式适用于服务器主机的虚拟化.问题?客户机安装完成后,需要为其设置网络接口,以便和主机网络,客户机之间的网络通信.事实上,如果要在安装时使用网络通信,需要提前设置客户机的网络连接. KVM 客户机网络连接有两种方式: 用户网络(User Networking):让虚拟机

[转]SIP穿越NAT&FireWall解决方案

原文链接(也是转载)http://blog.csdn.net/yetyongjin/article/details/6881491.我修改了部分错字. SIP从私网到公网会遇到什么样的问题呢? 1. 包的地址转换.2. SIP消息里面的SIP地址转换.3. SIP消息里面的SDP中的RTP地址转换. 网络现存结构复杂,SIP服务提供商并不一定是NETWORK提供商,很难要求客户只能使用某种方式的NAT&FireWall.如何找出一种可以满足各种网络的SIP应用解决方案呢? NAT和Firewal