NAT概述

引言

  • 私有IP是无法在因特网上使用的,而如今普遍使用的宽带网络(ADSL)最多所能提供给用户的IP为16个,最少则为一个,万一企业内部有50台计算机要同时连接上因特网,该如何解决呢?这个问题的正确解决办法是使用NAT,只要通过NAT的机制,就可以让成千上万台计算机同时通过一个公网IP来连上因特网。本篇属于NAT技术基础知识,包括:介绍、原理、分类以及存在的问题进行总结。

内容


  NAT介绍

      • NAT网络地址转换(network address translation),是一种将数据包中的IP地址替换为其他IP地址的功能,此功能通常由路由器或防火墙来实现;NAT的通过利用较少的公 有IP地址来表示大量私有IP地址的方式来降低IP地址空间的耗用速度,除了此工作外,NAT在网络迁移和融合、服务器负载共享等方面也非常有用,接下来将针对NAT的实现过程进行简单介绍。

  NAT原理

    相关术语:

      • IL : 内部本地地址即分配给内部设备的地址,此类地址不会宣告到外部网络
      • IG: 内部全局地址即内部设备被外部网络所知晓的地址
      • OG:外部全局地址即分配给外部设备的地址,这些地址不会被宣告到内部网络
      • OL: 外部本地地址即外部设备被内部网络所知晓的地址

    实现过程:

                                           

       说明:

      • 当设备A向设备B发送数据包时,由NAT将数据包源地址字段中的A设备的私有IP替换为可以在internet进行路由的公有地址,并转发数据包。当设备B向设备A发送应答数据包时,数据包的目的IP将是 公有IP地址,此时NAT将目的地址替换为设备A的私有IP地址。在此过程中,NAT操作是完全透明的,即:设备A不知道203.10.5.23的存在,设备B认为设备A的地址是203.10.5.23,设备A的私有地址对B来说是不存在的。
      • 结合NAT的相关术语可知:192.168.2.23为内部本地地址为;203.10.5.23为内部全局地址;192.31.7.130是外部全局地址,外部本地地址在NAT双向转换源地址和目的地址的时候可以看到,上述过程为NAT将设备A的私有地址替换为公有IP地址的过程,不涉及到外部本地地址。
      • 在上述转换过程中,NAT会创建地址转换表,在地址转换表中可以清晰地看到上述4个术语。

  NAT分类

      静态NAT

      • 实现:一对一,将一个唯一的本地地址映射到一个唯一的外部地址,条目一旦创建将会永久生效,可以提供对外服务主机一个更安全的运行环境,用于企业对内部服务器的一个转换,很明显一对一的NAT转换并不能起到节省公网IP的作用。
      • 配置:
      • ip nat inside source static 192.168.2.23 203.10.5.23 (将内部本地地址替换为内部全局地址)同时在入接口和出接口需要配置:ip nat inside及ip nat outside

      动态NAT

      • 实现:多对多,将大量地址统计复用到一个较小的地址池的应用技术。配合ACL使用。
      • 配置:

        定义转换池(内部全局地址池):ip nat pool nat-pool 203.10.5.25 203.10.5.30 netmask 255.255.255.0

结合ACL定义哪些内部本地地址需要转换:access-list 1 permit host 192.168.2.23

地址池和规则进行关联:ip nat inside source list 1 pool nat-pool

同时在入接口和出接口需要配置:ip nat inside及ip nat outside

      端口NAT

      • 实现:一对多:多个地址同时映射到单一地址,PAT会同时转换IP地址和端口号,来自不同地址的数据包可以被转换为同一地址,但相应的端口号不相同,这样就可以共享同一个IP地址。
      • 配置:

        结合ACL定义哪些内部本地地址需要转换:access-list 1 permit host 192.168.2.23

配置PAT:ip nat inside source list 1 interface fastEthernet 0/1 overload

同时在入接口和出接口需要配置:ip nat inside及ip nat outside  

  NAT存在的问题     

      • 虽然NAT非常有用,但是NAT并非无所不能,通过上述基础知识的了解,可以看到在NAT的处理过程中,会对IP地址和TCP端口内容进行更改,由于对IP地址和TCP端口更改后,会使得IP包和TCP包中的校验和字段发生变化,因此需要NAT机制可以完成这些校验和的重新计算。
      • 同时许多协议和应用程序都是根据数据字段的IP地址来携带IP地址或信息,因而可能会更改被封装数据的含义,从而可能破坏该应用.如:IPSEC的VPN应用,对于IPSEC而言,如果更改了ipsec包中的IP地址,IPSEC的加密机制将会丢弃此报文,从而破坏了VPN应用。从后面的技术可以了解到NAT穿越可以解决此问题。
      • NAT并不能阻止拒绝服务或者会话劫持等常见攻击。

推荐书籍

  • 《Linux网络安全技术与实现(第2版)》第2章
  • 《TCP/IP路由技术第二卷第4章》
时间: 2024-08-08 05:36:47

NAT概述的相关文章

防火墙、Iptables、netfilter/iptables、NAT 概述

防火墙.Iptables.netfilter/iptables.NAT 概述 - 如果你真的想做一件事,你一定会找到方法: 如果你不想做一件事,你一定会找到借口. - ITeye技术网站 一.防火墙的简介 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性.它通过访问控制机制,确定哪些内部服务允许外部访问,以及 允许哪些外部请求可以访问内部服务.它可以根据网络传输的类型决定IP包是否可以传进或传出内部网 防火墙通过审查经过的每一个数据包,判断它是否有相匹配的

Hyper-v 创建NAT网络

NAT 概述 NAT 使用主计算机的 IP 地址和端口通过内部 Hyper-V 虚拟开关向虚拟机授予对网络资源的访问权限. 网络地址转换 (NAT) 是一种网络模式,旨在通过将一个外部 IP 地址和端口映射到更大的内部 IP 地址集来转换 IP 地址.  基本上,NAT 使用流量表将流量从一个外部(主机)IP 地址和端口号路由到与网络上的终结点(虚拟机.计算机和容器等)关联的正确内部 IP 地址 此外,NAT 允许多个虚拟机托管需要相同(内部)通信端口的应用程序,方法是将它们映射到唯一的外部端口

SylixOS的NAT工具使用方法

1. 适用范围 本文档介绍了SylixOS中NAT工具使用的场景和方法. 2. NAT概述及使用场景 2.1  NAT原理 NAT(Network Address Translation,网络地址转换)是1994年提出的.当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法. NAT将自动修改IP报文的源IP地址和目的IP地址,IP地址校验则在NAT处理过程中自动完成. 2.2  使用场景 车载

大型企业网络构建之动态NAT、静态NAT和华为NAT

动态NAT.静态NAT和华为NAT一.NAT概述1.(network address translation )网络地址转换.2.NAT的工作过程:NAT设备收到内网的数据包以后,1.首先查看本地是否有去往数据包目地地址的路由:2.再次查看本地设备是否存在对应的nat转换条目:-- 如果有,则进行地质转换,然后发送出去:-- 如果无,则不进行地质转换,然后发送出去.3.静态NAT:私有-公有 1:1,不节省IP地址:4.配置静态NAT:1.给R1(即内部最末端的路由器)配置一个去往运营商的缺省路

NAT配置(一)

网络地址转换(NAT) NAT概述 NAT的概念与实现方式 NAT的工作原理:网络地址转换 NAT实现方式: 静态转换 动态转换 端口多路复用 ? NAT的术语与转换表 访问外部服务器的过程:先查询路由表再查看NAT表进行转换 数据包回来的过程:先查询NAT表进行转换再查询路由表 NAT包含四类地址 ? 内部局部地址 ? 外部局部地址 ? 内部全局地址 ? 外部全局地址 NAT的转换条目 简单转换条目扩展转换条目 NAT的优缺点 NAT的优点 ? 节省公有合法IP地址 ? 处理地址重叠 ? 增强

NAT网络地址转换——静态NAT,端口映射(实操!!)

NAT概述 ?NAT(Network Address Translation,网络地址转换)是1994年提出的.当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法 NAT的工作原理 ?借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需

理论+实操 :华为NAT地址转换

前言:nat地址转换可以让私有地址转换成公网地址,解决上网问题华为的三层交换机内不可以配ip地址,需要配vlanif 在企业当中,数据流量业务比较多时,用好一点的路由器多个私网地址对应外网口ip地址需要设置acl规则,只允许某个网段通行,后面跟子网反掩码接着到外网口宣告一下,acl的编号即可 网路地址转换 一: NAT概述 1.1 NAT的概念与实现方式 地址转换出现的背景 NAT的工作原理 network address translation,网路地址转换 NAT实现方式 静态转换(stat

NAT转换概述

NAT术语 Inside local address(内部本地地址): 一个Inside网络中的设备,在Inside的IP地址,即内部主机的实际地址 Inside global address(内部全局地址): 一个Inside网络中的设备,在Outside的IP地址,即内部主机经NAT转换后去往外部的地址 Outside local address(外部本地地址): 一个Outside网络中的设备,在Inside的IP地址,即外部主机由NAT设备转换后的地址 Outside global ad

工业防火墙架构与技术【第一节:概述】

1.1.   工控防火墙概述 我们将应用于工业控制网络环境中的防火墙称为工业控制防火墙(ICF,Industrial Control Firewall).工业防火墙(IFW,IndustrialFirewalls)或工控防火墙(在本文中主要称为工控防火墙).和ICT环境的防火墙作用类似,其是一个具体设备(物理或虚拟),用于两个网络之间的隔离控制.在ICT环境中,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为.因其隔离.防守的属性,灵活应用于网络边界.子网隔离等位置,