精华内容
下载资源
问答
  • 网络地址转换
    千次阅读
    2018-08-09 22:26:28

    NAT概述

           网络地址转换(Network Address Translation,NAT)诞生于1994年,它的提出是在IPv4地址资源面临枯竭的背景下。NAT的设计初衷之一是为了作为IPv6全面部署之前的过渡策略(虽然现在已成为IPv6部署推进滞后的原因之一),采用NAT滞后,互联网地址就不再需要时全球唯一的,因此可以在互联网的不同部分(称为地址范围(address realm))被重复使用。允许在多个范围中的地址重复使用,大大缓解了地址耗尽的问题。此外,NAT可以与防火墙相结合形成复合设备,这种设备已成为用于连接终端用户最为常见的路由器类型。

           NAT本质上是一种允许在互联网的不同地方重复使用相同的IP地址集的机制(如上图所示)。建立NAT的主要动机是正在急剧减少的有限IP地址空间。使用NAT最常见的情况是,唯一与Internet连接的站点仅被分配了很少的几个IP地址(甚至只有一个IP地址),但是内部却有多台主机需要同时上网。当所有进出的流量均通过一个单独的NAT设备时,该设备将内部系统的地址空间和全球互联网地址空间分割开,因此所有的内部系统可以使用本地分配的私有IP地址访问互联网。

           NAT的引入用以解决两个问题:IP地址枯竭和关于路由可扩展性的担忧。NAT刚推出的时候仅作为权宜之计,知道一些具有更大地址空间的协议(IPv6)被广泛部署为止。无类别域间路由(CIDR)的发展解决了路由可扩展性的问题。NAT则减少了对具备全局路由的互联网地址的需求,同时提供了一些防火墙的功能,并且仅需要很少的配置。但具有讽刺意味的是,快速发展和广泛使用的NAT却严重影响了IPv6的推进进程(在IPv6的诸多益处中,其中一项就是不再需要NAT)。

           NAT存在几个缺点,最明显的是,需要做特殊配置才能使处于NAT内部的主机能够提供可供互联网访问的服务,因为互联网上的用户无法直接访问具备私有地址的主机。此外,为了使NAT正常工作,每一个隶属于同一个连接或关联的双向数据包都必须通过相同的NAT。这是因为NAT必须重写每个数据包的寻址信息,以便私有地址空间的系统和Internet主机之间能够正常通信。在许多方面,NAT和互联网协议的基本宗旨是背道而驰的。

           NAT的工作原理就是重写通过路由器的数据包的识别信息。这种情况常发生在数据传输的两个方向上。在这种最基本的形式中,NAT需要重写往一个方向传输的数据包的源IP地址,重写往另一个方向的数据包的目的IP地址。这允许传出的数据包的源IP地址变为NAT路由器中面向Internet的网络接口地址(全局地址)而不是原始主机的接口地址。通俗来说,NAT路由器将其管理的内部主机发送的数据包的源IP地址由局部地址变为全局地址,从外部传输过来的数据包则做相反转换以分配到合适的内部主机。因此,在互联网上的主机看来,数据包是来自于具备全局路由IP的NAT路由器,而不是位于NAT内部的私有地址的主机。大多数的NAT同时执行转换(translation)和包过滤(packet filtering)。

    基本NAT和NAPT

           传统的NAT包括基本NAT(basic NAT)和网络地址端口转换(Network Address Port Translation,NAPT)。基本NAT只执行IP地址的重写,本质上就是将私有地址改写为一个公共地址——往往取决于一个由ISP提供的地址池或公有地址范围。basic NAT也分为静态和动态两种,主要区别是其维护的NAT地址映射表的一对一映射关系是静态不变的还是动态可变的。basic NAT无助于减少需要使用的IP地址数量,因为这要求全局可路由的地址数量必须大于或等于希望同时访问Internet的内部主机数量。

           NAPT也称为IP伪装,它使用传输层标识符(即TCP和UDP端口,ICMP查询标识符)来确定一个特定的数据包到底和NAT内部的哪台主机关联。即改变外出数据包的源端口并进行端口转换,采用端口多路复用(Port Address Translation,PAT)的方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,可以最大限度地节约IP地址资源。这使得大量的内部主机能够同时访问互联网,而使用的公有地址数量却很少,通常只需一个。同时,也可以隐藏网络内部的所有主机,有效避免来自Internet的攻击。

    地址冲突解决

           在NAT内部使用的地址范围不受除了本地网络管理员之外的任何人的限制。因此,有可能在私有地址范围内采用全局地址空间。然而,当这样的全局地址也被互联网上的另一个实体所使用时,在私有范围内的本地系统极有可能无法达到使用相同地址的公共系统,这是因为采用相同地址的本地系统会屏蔽掉使用相同地址的远端系统。为了避免这种不良情况的发生,保留了三个IPv4地址范围作为私有地址范围使用:10.0.0.0/8,172.16.0.0/12,192.168.0.0/16。这些地址范围经常被用来作为嵌入式DHCP服务器(DHCP传送门)的地址池的默认值。

           实际上,所谓的私有地址,是RFC1918规定的前述三块地址范围。这三块私有地址本身是可路由的,只是公网上的路由器不会转发这三块私有地址的流量;当一个公司内部配置了这些私有地址后,内部的计算机在和外网通信时,边界路由会通过NAT或者NAPT技术,将内部的私有地址转换成外网IP,外部看到的源地址是边界路由转换过的公网IP地址,这在某种意义上也增加了内部网络的安全性。

    NAT映射

           在如图所示的NAT网络模型中,内部地址为(X:x)的主机要与外部主机通信,需要使用一个外部地址(X':x'),NAT负责创建一个由(X:x)到(X':x')的地址映射。假设内部主机先连接到(Y1:y1),再连接到(Y2:y2),NAT需先创建(X:x)到(X1':x1')的映射,再创建(X:x)到(X2':x2')的映射。在大多数情况下,X1'等于X2',因为大多数网站只使用一个全局路由的IP地址。如果x1'等于x2',映射被认为是重复使用的。如果x1'和x2'均与x相等,NAT实现的是称为端口保留的动作。在某些情况下,端口保留是不可能的,所以NAT必须处理端口冲突问题。

           参照上图,如果对于任何Y1:y1或Y2:y2(即外部主机),X1':x1'等于X2':x2',则NAT存在独立于端点的映射。若当且仅当Y1等于Y2时,X1':x1'才等于X2':x2',则NAT存在地址相关的映射。若当且仅当Y1:y1等于Y2:y2时,X1':x1'才等于X2':x2',则NAT存在地址和端口相关的映射。NAT对信息进行处理的行为按照上述条件进行划分,其分类又可称为全锥形NAT(Full Cone NAT)、地址限制锥形NAT(Address-Restricted cone NAT)、端口限制锥形NAT(Port-Restricted cone NAT)和对称型NAT(Symmetric NAT)。若NAT的外部地址是在没有考虑内部或外部地址的情况下选择的,则拥有多个外部地址的NAT(即X1'可能不等于X2')可任意选择一个地址映射,或者为每个连接选择相同的映射(称为配对)。配对是所有传输层的推荐NAT行为,如果未使用配对(即内部主机与外部主机进行一对一通信时NAT却使用不同的映射),内部主机的通信对等端可能会错误地判断它正与不同的主机进行通信。

    发夹和环回

           当客户端希望访问位于同一个NAT私有地址空间内的服务器时(如上图所示),会导致一个有趣的问题。能够支持这种场景的NAT需要实现发夹(hairpinning)或者NAT环回(NAT loopback)。若发送方知道接收方的私有地址,这没有问题,可以直接进行连接。但在某些情况下X1只知道公用地址信息:(X2':x2)。在这种情况下,X1借助(X2‘:x2')尝试连接(X2:x2)。当NAT将数据包发送到对应映射的(X2:x2)时即完成了一个发夹过程。但问题是目的是(X2:x2)的数据包头部中的源地址应该是(X1:x1)还是(X1':x1')呢?答案是前者,这种NAT被称为有“外部源IP地址和端口”的发夹行为是TCP NAT所必需的。之所以需要这种行为,是为了均采用全局路由地址的应用能够识别对方。

    NAT的P2P限制

           前面提到过,NAT的设计与互联网协议的基本宗旨是背道而驰的,这其中重要的一点(也是其缺陷)就是破坏了IP端到端通信的能力。其解决方案:NAT穿越写在另一篇博文中。

    端到端服务模型

           IP协议的一个重要贡献是把世界变得平等。在理论上,具有IP地址的每个站点在协议层面有相当的获取服务和提供服务的能力,不同的IP地址之间没有差异。人们熟知的服务器和客户机实际是在应用协议层上的角色区分,而在网络层和传输层没有差异。一个具有IP地址的主机既可以是客户机,也可以是服务器,大部分情况下,既是客户机,也是服务器。端到端对等看起来是很平常的事情,而意义并不寻常。在以往的技术中,很多协议体系下的网络限定了终端的能力,正是IP的这个开放性,使得TCP/IP协议族可以提供丰富的功能,为应用实现提供了广阔平台。因为所有的IP主机都可以服务器的形式出现,所以通讯设计可以更加灵活。使用UNIX/LINUX的系统充分利用了这个特性,使得任何一个主机都可以建立自己的HTTP、SMTP、POP3、DNS、DHCP等服务。与此同时,很多应用也是把客户端和服务器的角色组合起来完成功能。例如在VoIP应用中,用户端向注册服务器登录自己的IP地址和端口信息过程中,主机是客户端;而在呼叫到达时,呼叫处理服务器向用户端发送呼叫请求时,用户端实际工作在服务器模式下。在语音媒体流信道建立过程后,通讯双向发送语音数据,发送端是客户模式,接收端是服务器模式。而在P2P的应用中,一个用户的主机既为下载的客户,同时也向其他客户提供数据,是一种C/S混合的模型。上层应用之所以能这样设计,是因为IP协议栈定义了这样的能力。如果IP提供的能力不对等,那么每个通信会话都只能是单方向发起的,这会极大限制通信的能力。

           大多数IP流量均使用TCP和UDP在互联网上进行传输,这些协议本身可以很好地被NAT支持而无须增加额外的复杂性。但当应用层协议与它们一起携带传输层或更底层的信息,如IP地址,NAT的问题就会变得复杂很多。因为NAT作为较低层的协议却划分了服务器和客户端两个概念,违背了互联网协议的端到端原则

    其他局限性

           NAT的局限性除了前面的破坏了端到端原则以外,还有以下几点:

     1.使得IP协议从面向无连接变成面向连接

           NAT必须维护专用IP地址与公用IP地址以及端口号的映射关系。在TCP/IP协议体系中,如果一个路由器出现故障,不会影响到TCP协议的执行。因为只要几秒收不到应答,发送进程就会进入超时重传处理。而当存在NAT时,最初设计的TCP/IP协议过程将发生变化,Internet可能变得非常脆弱。

    2.NAT违反了基本的网络分层结构模型的设计原则

           因为在传统的网络分层结构模型中,第N层是不能修改第N+1层的报头内容的。NAT破坏了这种各层独立的原则。

    3.NAT同时存在对高层协议和安全性的影响问题

           RFC对NAT存在的问题进行了讨论。NAT的反对者认为这种临时性的缓解IP地址短缺的方案推迟了Ipv6迁移的进程,而并没有解决深层次的问题,他们认为是不可取的。

     

                                                              本文部分内容摘自《TCP/IP详解 卷1:协议(中文版)第2版》,有改动

           

    更多相关内容
  • 网络技术:NAT 网络地址转换及原理

    千次阅读 2021-09-03 16:03:24
    NAT 的功能大致为:在局域网中组织会为内部主机分配私有地址,当内部主机发送数据包到外部网络时私有地址就会自动转换为公有 IP 地址,公有 IP 地址返回的流量的目的地址也会自动转换为内部私有地址。NAT 通常工作在...

    NAT

    网络地址转换(NAT)技术的理论部分可以看博客——网络层——NAT。NAT 的功能大致为:在局域网中组织会为内部主机分配私有地址,当内部主机发送数据包到外部网络时私有地址就会自动转换为公有 IP 地址,公有 IP 地址返回的流量的目的地址也会自动转换为内部私有地址。NAT 通常工作在末节网络的边界。

    在 NAT 术语中,NAT 转换后的地址称之为全局地址,NAT 转换前的地址为本地地址内部本地地址是需要进行 NAT 转换的主机的私有地址,外部本地地址是与 ISP 相连的路由器接口的地址,这会是个公有地址。进行 NAT 转换时,内部本地地址将会转换为内部全局地址,外部全局地址会成为目的地址。

    地址类型

    含义

    内部本地地址

    转换前的内部源地址

    外部本地地址

    转换后的目标地址

    内部全局地址

    转换后的源地址

    外部全局地址

    转换前的外部目标地址

    相关视频讲解:

    C++架构师学习地址:C/C++Linux服务器开发高级架构师/Linux后台架构师

    网络穿透,P2P,打洞的核心原理,NAT,穿透的原理

    网络穿透,NAT,打洞,了解p2p的秘密

    NAT 的优缺点

    优点

    1. 允许内网使用私有地址,从而节省了 ISP 分配的公网地址;
    2. 增强了与公有网络连接的灵活性;
    3. 在内网使用私有地址,可以让公有地址的更换提供方便;
    4. 隐藏内网的 IP 地址的细节。

    缺点

    1. NAT 转换有一定的时间开销,会使性能下降;
    2. 基于端到端的功能可能无法实现;
    3. 由于更改了 IP 地址,端到端的 IP 地址因此无法追踪;
    4. 修改了报头的值,导致数据包的完整性检查失败;
    5. TCP 连接可能因此中断。

    NAT 的类型

    静态 NAT

    静态 NAT 实现本地地址和全局地址的一对一映射,这些映射由网络管理员进行配置。当配置静态 NAT 的设备向互联网发送流量时,内部本地地址会被转换为已配置的内部全局地址,内部全局地址是共有的 IPv4 地址。很显然,静态 NAT 并不能节省共有 IP 地址的使用。
    例如有如图所示拓扑,可用的公网地址有 170.168.2.2、170.168.2.3、170.168.2.4,则 NAT 转换表可能是:

    内部本地 IP 地址

    内部全局 IP 地址

    192.168.1.21

    170.168.2.2

    192.168.1.22

    170.168.2.3

    192.168.1.23

    170.168.2.4

    例如主机 192.168.1.21 向外部网络发送分组,则配置了 NAT 的路由器发现分组的源 IP 地址是内部本地 IP 地址,则就将该地址转换为内部全局 IP 地址并记录在 NAT 表中,例如这里转换为 170.168.2.2。转换后分组会被转发到外部接口,当路由器收到外部主机返回的分组时,路由器会根据 NAT 表把内部全局 IP 地址转换回内部本地 IP 地址。

    动态 NAT

    动态 NAT 实现本地地址和全局地址之间的多对多映射,将使用公有地址池,以先到先得的原则分配地址的使用。当配置了动态 NAT 的内部设备访问外部网络时,动态 NAT 会分配 NAT 地址池中可用的 IPv4 地址。动态 NAT 的转换也会受到 IP 地址池的 IP 地址数量限制,例如内部网络有 50 个使用私有地址的设备,IP 地址池有 5 个公有地址,则只能将这 50 个私有地址映射到这 5 个公有地址上。

    PAT

    端口地址转换 PAT实现本地地址和全局地址之间的多对一映射,地址将通过端口号进行重载。由于端口号可以是 0 ~ 65536,所以一个公有 IP 地址可以重载 65536 次。内部本地地址进行转换时,PAT 会将唯一的源端口号添加到内部全局地址上。端口号会用来区分流量,当目的主机返回响应时,端口号会决定路由器将数据包转发到哪个设备上。
    在实际情况下端口号可能会被其他会话或者应用占用,此时如果使用的端口号已经被使用了,则 PAT 会从端口号组中分配一个可用的端口号。如果已经没有可用的端口号了,PAT 会进入下一个公网地址进行转换,并且重新分配端口号。
    例如有如图所示拓扑,可用的公网地址只有 170.168.2.2,则 NAT 转换表可能是:

    内部本地 IP 地址

    内部全局 IP 地址

    192.168.1.21:12000

    170.168.2.2:12000

    192.168.1.22:12000

    170.168.2.3:12001

    192.168.1.23:24000

    170.168.2.4:12002

    PAT 可以使用端口号对一个公网地址进行重载,例如主机 192.168.1.21 向外部网络发送分组,则配置了 NAT 的路由器发现分组的源 IP 地址是内部本地 IP 地址,则就将该地址转换为内部全局 IP 地址并加上一个可用的端口号记录在 NAT 表中,例如这里转换为 170.168.2.2:12000。当路由器收到外部主机返回的分组时,路由器会根据 NAT 表,根据端口号把内部全局 IP 地址转换回内部本地 IP 地址。

    C/C++Linux后台服务器开发高级架构师学习视频 点击 架构师学习资料 获取,内容知识点包括Linux,Nginx,ZeroMQ,MySQL,Redis,线程池,MongoDB,ZK,Linux内核,CDN,P2P,epoll,Docker,TCP/IP,协程,DPDK等等。免费学习地址:C/C++Linux服务器开发高级架构师/Linux后台架构师

    配置静态 NAT

    静态 NAT 的配置比较简单,因为只需要将一个内部地址映射到一个外部地址就行。在配置模式使用的命令如下,local-ip 表示进行 NAT 转换的内部地址,global-ip 表示进行 NAT 转换的外部地址,这样就可以建立起地址的映射关系。

     Router(config)# ip nat inside source static local-ip global-ip

    接着需要将接口配置为相对于 NAT 的内部接口和外部接口,内部接口使用如下命令在接口配置模式下定义:

     Router(config-if)# ip nat inside

    外部接口使用如下命令在接口配置模式下定义:

    Router(config-if)# ip nat outside

    配置动态 NAT

    动态 NAT 的配置需要先定义用于转换的地址池,并且为这个地址池命名,使用的命令如下。“pool-name” 是地址池名,“start-ip” 是第一个可用 ip,“end-ip” 是最后一个可用的 ip,这 2 个参数将表示 ip 地址的范围。netmask 关键字指示哪些地址位属于网络位。

     Router(config)# ip nat pool pool-name start-ip end-ip {netmask netmask | prefix-length prefix-length}

    接着需要定义一个 ACL 把需要进行 NAT 转换的流量筛选出来,使用命令如下,使用命名 ACL 也可以:

    Router(config)# access-list access-list-number permit source [ source-wildcard ]

    接下来要将 ACL 和 NAT 地址池进行绑定,使用的命令如下:

     Router(config)# ip nat inside source list access-list-number pool pool-name

    最后接着需要将接口配置为相对于 NAT 的内部接口和外部接口,内部接口使用如下命令定义:

     Router(config-if)# ip nat inside

    外部接口使用如下命令定义:

    Router(config-if)# ip nat outside

    配置 PAT

    实验拓扑

    思科 11.2.3.7 Lab 配置 NAT 地址池过载和 PAT 的实验拓扑如下。

    地址分配表:

    设备

    接口

    IP 地址

    子网掩码

    默认网关

    Gateway

    G0/1

    192.168.1.1

    255.255.255.0

    N/A

    S0/0/1

    209.165.201.18

    255.255.255.252

    N/A

    ISP

    S0/0/0 (DCE)

    209.165.201.17

    255.255.255.252

    N/A

    Lo0

    192.31.7.1

    255.255.255.255

    N/A

    PC-A

    NIC

    192.168.1.20

    255.255.255.0

    192.168.1.1

    PC-B

    NIC

    192.168.1.21

    255.255.255.0

    192.168.1.1

    PC-C

    NIC

    192.168.1.22

    255.255.255.0

    192.168.1.1

    配置并检验 NAT 地址池过载

    配置 NAT 地址池过载

    配置网关路由器,将来自 192.168.1.0/24 网络的 IP 地址转换为 209.165.200.224/29 范围内的六个可用地址中的一个。
    首先定义与 LAN 私有 IP 地址相匹配的访问控制列表,由于要对 G0/1 接口的网段 192.168.1.0/24 做 NAT,因此定义 ACL 1 用来允许对 192.168.1.0/24 的流量能够被转换。标准 ACL 筛选流量的作用也可以从此处体现。

    Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255

    定义可用的公有 IP 地址池,和动态 NAT 一样,使用的命令为 “ip nat pool pool-name start-ip end-ip { netmask netmask | prefix-length prefix-length }”。“pool-name” 是地址池名,“start-ip” 是第一个可用 ip,“end-ip” 是最后一个可用的 ip,这 2 个参数将表示 ip 地址的范围。netmask 关键字指示哪些地址位属于网络位。

     Gateway(config)# ip nat pool public_access 209.165.200.225  209.165.200.230 netmask 255.255.255.248

    定义从内部源列表到外部地址池的 NAT,使用 “ip nat inside source list access-list-number pool pool-name overload” 命令绑定 ACL 和地址池。注意到示例命令后面跟了个关键字 overload,该关键字表示过载,用于配置 PAT。

    Gateway(config)# ip nat inside source list 1 pool public_access overload

    指定接口,对接口使用 “ip nat inside” 配置内部接口,“ip nat outside” 命令配置外部接口。

    Gateway(config)# interface g0/1
    Gateway(config-if)# ip nat inside
    Gateway(config-if)# interface s0/0/1
    Gateway(config-if)# ip nat outside

    检验 NAT 地址池过载

    每台 PC 对 192.31.7.1 地址执行 ping 操作后,显示网关路由器上的 NAT 统计数据。

    Gateway# show ip nat statistics

    该命令可以显示总转换数,NAT 配置参数、地址池地址数量和已分配地址数量。

    显示网关路由器上的 NAT。

    Gateway# show ip nat translations

    该命令可以显示活动的 NAT 转换。

    命令列出了 3 个内部本地 IP 地址,分别是 192.168.1.20、192.168.1.21、192.168.1.22,列出了 1 个内部全局 IP 地址 209.165.200.225。

    删除 NAT 配置

    删除可用公有 IP 地址池。

    Gateway(config)# no ip nat pool public_access 209.165.200.225 209.165.200.230 netmask 255.255.255.248

    删除从内部源列表到外部地址池的 NAT 转换

     Gateway(config)# no ip nat inside source list 1 pool public_access overload

    接口定义外部地址配置并检验 PAT

    使用接口定义外部地址

    首先定义与 LAN 私有 IP 地址相匹配的访问控制列表,ACL 1 用来允许对 192.168.1.0/24 进行转换。标准 ACL 筛选流量的作用也可以从此处体现。

    Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255

    指定接口,对接口使用 ip nat inside 和 ip nat outside 命令。

    Gateway(config)# interface g0/1
    Gateway(config-if)# ip nat inside
    Gateway(config-if)# interface s0/0/1
    Gateway(config-if)# ip nat outside

    使用接口而不是地址池来定义外部地址,进而配置 PAT,将源列表与外部接口相关联。

    Gateway(config)# ip nat inside source list 1 interface serial 0/0/1 overload

    检验 PAT

    每台 PC 对 192.31.7.1 地址执行 ping 操作后,显示网关路由器上的 NAT 统计数据。

    Gateway# show ip nat statistics

     

    显示网关路由器上的 NAT。

    Gateway# show ip nat translations

    命令列出了 3 个内部本地 IP 地址,分别是 192.168.1.20、192.168.1.21、192.168.1.22,列出了 1 个内部全局 IP 地址 209.165.201.18。

    展开全文
  • 网络地址转换技术

    千次阅读 2020-03-29 20:02:02
    网络地址转换技术   目的是解决私有IP地址无法连上互联网的问题   如:内部用户往往使用...  网络地址转换(NAT:Network Address Translation)是一种将一个或多个IP地址转换为另外一个IP或多个地址的技术。 ...
    网络地址转换技术

      目的是解决私有IP地址无法连上互联网的问题
      如:内部用户往往使用的是私有IP地址,但是这些私有IP地址是无法访问互联网的,这个私有IP地址是无法访问互联网上的资源的。所以内部网络的私有IP地址必须要转换为外网的公有IP地址。
      网络地址转换(NAT:Network Address Translation)是一种将一个或多个IP地址转换为另外一个IP或多个地址的技术。 一般来说,NAT技术主要是将主机的内部私有IP地址转换为外部合法的IP地址,从而解决IP地址资源缺乏提供了一种技术手段。
    在这里插入图片描述
      内部用户使用的是10网络的私有IP地址,这个IP经过IP地址转换以后变成了202的公有IP地,就可以连接互联网了。

      内部使用的私有IP必须转换成合法IP地址

    • 实现了NAT功能的设备叫做NAT设备。
    • NAT功能也通常被集成到路由器、防火墙等安全设备中。
    • 为了实现NAT转换,NAT设备需要在本地维护一个NAT映射表,用来配置或记录非法的IP地址到合法的IP地址之间的映射关系。当内部数据包通过NAT设备时,NAT设备通过查询转换表,将IP包中的内部IP地址替换为外部IP地址。同样,当收到外部数据包时,将IP地址替换为原来的IP地址。

    在这里插入图片描述
      在这样的一个拓扑结构中,网络地址转换设备是由路由器来充当的,路由器在本地就保存了一个NAT的映射表。在每台内部的主机都会有一个端口,这个端口可以对应于一个地址上。网络地址映射表可以根据端口的信息来确定内部网络主机的地址。

    常规网络地址转换所依赖的转换

    • IP 报头中的 IP 地址。
    • TCP 报头中的 TCP 端口号。
    • UDP 报头中的 UDP 端口号。

    网络地址转换类型

    • 静态NAT(Static NAT)
    • 动态NAT (Dynamic NAT)
    • 端口转换NAT (Port level NAT)

    网络地址转换的作用

    • 解决了IP地址资源不足的问题
        通过网络地址转换技术允许内部的网络地址通过公有的网络IP地址连接互联网。
    • 隐藏
        把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备

    网络地址转换所带来的影响
      由于NAT转换需要对IP包进行处理,因此对NAT设备和网络延迟有一定影响。如果NAT功能用专用硬件设备完成,对于一般的网络来说,这种影响非常小。由于NAT破坏了网络的透明性,因此使得很多使用私有IP地址的主机之间无法直接通信。NAT穿越可以解决对等计算中节点之间无法直接通信的问题

    静态网络地址转换技术

    静态NAT

    • 内部每个非法IP地址被固定地映射为外部的某个合法IP地址。
    • 非法IP地址和合法IP地址地绑定是事先配置好的。
      内部网络中的每个主机都被永久映射成外部网络的某个合法的地址。
      静态NAT的特点
        静态NAT的特点是,一个内部IP地址对于一个外部IP地址,是“一对一”的关系。
      在这里插入图片描述
        如图,每一个私有的IP地址都会唯一的转换为一个外部的公有IP地址,并且这个转换时永久的是固定的是之前就配置好的。

    出站数据包处理过程
      事前配置好的IP池,即公有IP地址的集合,比如一个内部的用户是由私有网络地址(192.168.0.4)进行上网的时候,外出的数据经过网络地址转换之后,会将内部的IP地址转换为外部的唯一的公有IP地址(X.X.X.1)。当外出的数据包到达网络地址转换设备的时候,就会将私有的地址转换为公有的地址,再将数据包发送到外部网络中。
    在这里插入图片描述
    入站数据包处理过程
      内部用户连接外部用户时,会在网络地址转换设备上会有一个映射表,即公有IP地址和私有IP地址的映射表,当外部数据到达网络地址转换设备之后,网络地址转换设备会查询静态的映射表,之后会将目的地址转换为映射表中的私有地址,并将相应的数据包发送给内部数据。

    在这里插入图片描述
    静态转换的执行过程
     (1)管理员配置NAT映射表,确定内部IP地址和外部IP地址的映射关系。
     (2)当内部主机的数据包到达NAT设备时,NAT设备查询NAT映射表,找到该IP包中源IP地址所对应的转换地址。
     (3)将IP包中的源IP地址替换为转换地址后发送到互联网上的目的主机。
     (4)当外部主机的数据包到达NAT设备时,依据该数据包中的目的IP地址查询NAT映射表,找到该IP包中目的IP地址所对应的内部地址。
     (5)将IP包中的目的IP地址替换为对应的内部地址后发送给内部网络中的目的主机。

    静态转换的优点
     (1)实现简单,管理也容易。
     (2)由于内部IP地址和外部IP地址是一对一的固定映射关系,也可以实现外部网络对内部网络中某些特定服务器的访问

    静态转换的缺点
     (1)由于内部主机被固定映射到预定的IP地址,特定的某个私有IP地址只转换为特定外部公有IP地址,因攻击者可以通过观测转换后的IP包,了解内部网络的状态信息
     (2)当内部网络使用了动态主机配置协议时(DHCP: Dynamic Host Configuration Protocol),静态NAT无法为特定主机提供地址转换服务。

    动态网络地址转换技术

    动态NAT

    • 内部每个非法IP地址被临时地映射为外部的某个合法IP地址
    • 非法IP地址和合法IP地址的绑定是动态变化的

    动态NAT的特点
      动态NAT的特点是,一个内部IP地址可能在不同的时间对应不同的外部IP地址,而同一个外部IP地址在不同的时间也可能对应不同的内部IP地址,是“多对多”的关系。

    在这里插入图片描述
     如图,内部不同的用户可以转换为不同的外部IP地址,并且转换的关系可以根据时间来变化。

    出站数据包处理过程
    在这里插入图片描述
      动态NAT和静态NAT一样,都有一个IP池(外部可有IP地址列表),当内部(192.168.0.4)的数据到达网络地址转换设备的时候,网络地址转换设备会对IP池进行查询,是否会有可用的IP,如果有,则将这个IP地址(x.x.x.1)分配各内部的主机。之后会将映射关系建立一个临时表,同时,网络地址转换设备会对内部用户的数据包进行修改,会将目的IP地址分配为公有的IP地址,再将修改后的数据包发往互联网中。

    入站数据包处理过程
    在这里插入图片描述
      根据前面出站的过程,我们了解到,会在网络地址转换设备中建立一个临时表。当外部(x.x.x.1)数据到达网络地址转换设备时,网络地址转换设备会根据数据包中的目的IP地址去查询临时表去找到其对应的内部IP地址(192.168.0.4),同时将目的IP地址修改为私有IP地址并转发给内部网络用户。经过一段时间之后,临时映射表会被删除,即将公有IP地址归还到IP池中。

    动态NAT的数据包处理全过程
     (1)管理员配置可用的外部IP地址资源池。
     (2)当内部主机的数据包到达NAT设备时,NAT设备从可用的IP资源池中随机分配一个IP地址给该内部主机,并将该主机内部IP地址和分配的IP地址的映射关系写入NAT映射表。
     (3)将收到的IP包中的源IP地址替换为该转换地址后发送到互联网上的目的主机。
     (4)当外部主机的数据包到达NAT设备时, 依据该数据包中的目的IP地址,查询NAT映射表,找到该IP包中目的IP地址所对应的内部地址
     (5)将收到的IP包中的目的IP地址替换为该内部地址后发送给内部网络中的目的主机。

    动态NAT的优点
     (1)内部IP地址和外部IP地址之间的映射动态变换,可以很好地隐藏内部网络的信息。
     (2)动态NAT也非常适合于需要频繁建立网络连接的应用(如拨号服务),即在接入是动态分配IP地址,而在用户断开连接是回收IP地址,从而提高了IP地址的有效使用率。

    动态NAT的缺点
     (1)由于内部和外部IP地址的映射动态变化,因此对于需要利用IP地址进行安全管理(如访问控制)的应用带来了困难。
     (2)由于动态NAT一般采用“先来先得”的原则分配IP,因此当有紧急业务需要使用IP地址时,可能会由于其他应用已经占有了所有IP地址而不能满足请求。

    端口转换网络地址转换技术

      不论是静态网络地址转换还是动态网络地址转换,都需要管理员提前分配IP值,基于端口的网络地址转换技术就是用少量外部IP地址为外部实行服务。

    什么叫端口
     在TCP/IP协议中,端口是用来区分服务的方法。 比如,端口号为80,往往对应WEB服务。

    端口转换NAT(NATP)
      端口转换NAT是将内部主机的IP地址映射为外部IP地址和一个特定端口号的技术。
      NAPT与动态NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP或UDP端口号。它可以使用一个外部地址为多个内部主机地址提供服务。还可以将中小型的网络隐藏在一个合法的IP地址后面。

    端口转换实例
      例如,外网地202.112.14.2这个外网地址,每个主机含有65535个端口可以使用,其1025~65535的端口(一般来说1024以下端口保留)可以对应192.168.0.0/16的地址块,即多个内网IP地址复用同一个IP地址来访问Internet。
      当内部主机的数据包通过NAT设备时,NAT设备为其随机分配一个端口号IP地址,即将该内部主机视为NAT对外提供的一种服务,根据端口号,虽然IP地址相同,但也可以区分不同的主机。

    端口转换NAT的特点
      端口转换NAT的特点是,一个内部IP地址与一个外部IP地址的一个端口对应,即一个IP地址的多个端口对应内部的一个IP地址,是“一对多”的关系。
    在这里插入图片描述
      例如,在这样的网络拓扑结构中,虽然对外是提供的一个IP地址,但是这个对外的IP地址加上端口号和多个主机建立映射关系。

    出站数据包处理过程
    在这里插入图片描述
      当内部(192.168.0.4)的数据到达网络地址转换设备时,网络设备会根据内部主机所使用的协议以及内部的IP地址为其随机分配一个端口号。这种分配关系也会在本地存储起来,表明外部的IP地址加上端口与那一台内部主机之间建立了映射。
     同时网络地址转换设备会将这个数据包中的目的地址改为(x.x.x.80),端口号为临时分配的端口号,修改结束之后,设备会将这个数据包发送到互联网。经过一段时间之后,这种映射关系会被系统清除。

    入站数据包处理过程
    在这里插入图片描述
      当外部数据到达网络地址转换设备的时候,网络设备会根据目的端口以及目的IP地址进行查寻内部IP地址的相关信息。同时网络地址转换设备会将目的IP地址和目的端口修改为所查询到的端口和IP地址,再将相应的包发送给内部的网络用户。

    端口转换NAT的全过程
     (1)管理员配置外部IP地址,有可能IP地址只有一个。
     (2)当内部主机的数据包到达NAT设备时,NAT设备为该主机分配外部可用IP地址和一个随机分配一个未使用的端口号,并将内部主机所使用的传输层协议、内部主机的地址、分配的外部IP地址及端口号之间的映射关系将写入本地的NAT映射表。
     (3)将收到的IP包中的源IP地址和源端口替换为转换后的IP地址和端口后发送到互联网上的目的主机。
     (4)当外部主机的数据包到达NAT设备时, 依据该数据包中的目的IP地址、目的端口以及传输层协议,查询NAT映射表,找到对应的内部地址和端口。
     (5)将收到的IP包中的目的IP地址和目的端口替换为该内部地址和端口后发送给内部网络中的目的主机。

    端口映射NAT是否一定要随机分配端口号?
      在端口转换中有一个特殊的情况,叫做 端口映射。网络转换设备在分配端口的时候,不是随机分配,而是根据收到内部用户数据包中的源端口来分配外出数据包所对应的端口。即映射方式的好处在于内部主机可以通过固定端口向外部用户提供特定服务
      例如,内网提供WEB服务的服务器IP地址为192.168.1.1:80(服务端口80), 因为这是一个私有的IP地址,外部用户是无法连接到这个地址上来的,所以可以为此固定的分配一个80的端口。
      NAT设备进行端口映射后,会将私有的IP地址替换为公有的IP地址。假如映射为201.115.14.181:80,即建立了固定的端口映射表192.168.1.1:80<——>202.115.14.181:80。 外网用户可以通过http:// 202.115.14.181的方式即可访问到192.168.1.1提供的WEB服务。 实际上是http:// 202.115.14.181:80,http协议默认将使用80端口。

    优点
     (1)可以将中小型的网络隐藏在一个合法的IP地址后面,可以减少上网费用,而不仅节约了IP资源,而且也起到了很好的网络隐藏作用。
     (2)由于端口转换不需要人工干预,通过动态地址分配,实现IP地址的映射,因此也具有易管理的优点。
     (3)借助于端口转换中特殊的端口映射方法,也可以实现局域网内部机器向外提供特定网络服务的功能。

    缺点
     (1)由于所有内部主机使用一个IP地址,因此当主机数量较多时,可能会导致通信信道的拥塞,降低访问互联网的速度。
     (2)由于实现复杂,而且需要处理传输层协议,NAT设备的处理性能会有所下降。
     (3)当采用端口映射的方式时,也为攻击者通过观测特殊的端口信息来发现内部网络信息提供了机会。

    网络地址转换与隔离

      网络地址转换与网络安全之间的关系并没有多大,而这个技术却对网络安全有着十分大的影响。通过网络地址隔离技术可以将内部网络相关信息隔离而发挥隐藏的作用。可以将内部网络中重要的或者特殊的IP地址隐藏起来不被外部攻击者发现,也使得外部攻击者无法直接访问到内部主机。

     网络技地址转换技术可以提供详细的安全审计功能,所有进出网络的数据均被发送到网络技地址转换设备的IP地址上 ,网络技地址转换设备提供了完备的网络通信日志功能,便于在攻击事件发生后进行安全审计 。
    通过这样的方式,攻击发生以后,可以检查网络地址转换设备可以去发现攻击者的信息。

    网络地址转换对网络安全的影响
      网络地址转换技术破坏了端到端的网络通信,使得两台主机之间无法建立联系,理论上一个合法的IP地址后面可以连接成百上千的主机。在端到端安全服务中,数据包需要从源端完全不加修改的通过互联网发送到目的端。
      例如,在IP层的安全解决方案IPSec中,由于原始的IP包头进行数字签名、加密安全保护,但经过NAT设备时如果进行了IP地址修改,目的端在安全验证时就会发生错误。

    • NAT技术给安全管理带来了一定的困难性
        NAT 对于一个缺少足够的全球唯一IP地址的组织或者部门来说是一种不错的解决方案,但是当这些组织或部门因为某种原因(如重组、 合并等)需要对已有网络和网络安全方案进行重新整合或修改时,如果内部网络比较大,需要修改网络的拓扑结构时,NAT技术则变成了一个严重的问题。
        例如,如何划分网络、网络安全策略的调整以及网络路由的修改等,均变得比较复杂。

    • NAT技术给攻击溯源带来的了挑战
        攻击溯源中要求唯一一台主机中的IP地址进行定位,但是由于使用的网络地址转换技术,主机的地址映射到外部IP地址的时候,有可能会发送动态性的改变,从而不能够攻击溯源。
        如果互联网上每台主机均有一个唯一的IP地址,则当攻击发生后可以快速、有效地知道攻击者的信息(如地址、主机信息等)。
        当众多主机通过NAT技术接入互联网以后,安全监管系统(如网络取证)所采集到的IP地址实际是NAT设备配置的全局地址,因此无法直接定位和确定真正的攻击者。

    网络地址转换技术与防火墙的关系
      在具体设置网络拓扑的时候,一般将网络地址转换设备防在防火墙之后,即内部网络和防火墙之间。
    在这里插入图片描述

      由于网络地址转换设备会动态的修改内部IP地址和外部IP地址之间的映射关系,那么防火墙的过滤规则就应该相应的做出改变。
      同样,我们可以将网络地址转换设备放在防火墙之外,即位于外部网络与防火墙之间。
    在这里插入图片描述
      这种网络拓扑中,由于网络地址转换设备会动态的修改网络数据包的IP信息,从而使得过防火墙的过滤规则失效,所以攻击者可以刻意的修改相应的信息,欺骗网络地址转换设备,从而破坏防火墙的实施。
      所以在多数情况下,网络地址转换设备和防火墙是集成在一起的,这种结构是一种较好的方案。
    在这里插入图片描述
      所以二者之间有着十分密集的关系。

    NAT影响防火墙系统的设计和部署
      防火墙根据IP报头中包含的TCP端口号、源IP、目的IP以及其它一些信息来制定过滤规则,并以此来决定是否让该数据包通过。
      如果一个NAT设备,被置于受防火墙保护的一侧,必须修改防火墙规则,如果将NAT设备置于防火墙之外(即防火墙和外部网络之间),外部攻击者就可能欺骗NAT而攻击内部网络。

    NAT影响VPN的设计和部署
      网络地址转换技术与VPN之间也有密切的关系

    • 虚拟专网(VPN:Virtual Private Network)是常用的安全保护技术。
    • 构建VPN最简单的方法是使用IP安全协议(IPSec),由于IPSec会修改IP头的信息,因此如果错误地放置NAT设备,会影响整个网络安全防御系统的设计。

      原则上,由于NAT需要改动IP报头中的IP地址等信息,因此NAT设备应该被置于VPN受保护的一侧,从而避免与防火墙一样的情况出现。

    对NAT的评价
      NAT是一把双刃剑,NAT解决了IPv4中IP地址紧张的问题,但NAT破坏了网络的透明性。NAT对解决安全问题没有太大帮助,但它影响安全方案的设计和部署。

    展开全文
  • 网络地址转换—NAT——总结

    千次阅读 2019-08-19 18:51:24
    当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地址,并且多个私网用户可以共用一个公网地址,这样既可保证网络互通,又节省了公网地址。 NAT是将IP数据报文头部中的IP地址转换为另...

    一、NAT——网络地址转化技术

    1、网络地址转换技术NAT——主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地址,并且多个私网用户可以共用一个公网地址,这样既可保证网络互通,又节省了公网地址。

          NAT是将IP数据报文头部中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能。

    2、应用场景:

    (1)企业或家庭所使用的网络为私有网络,使用的是私有地址;运营商维护的网络为公共网络,使用的是公有地址。私有地址不能在公网中路由。

    (2)NAT一般部署在连接内网和外网的网关设备上。当收到的报文源地址为私网地址、目的地址为公网地址时,NAT可以将源私网地址转换成一个公网地址。这样公网目的地就能够收到报文,并做出响应。

    (3)此外,网关上还会创建一个NAT映射表,以便判断从公网收到的报文应该发往的私网目的地址。

    3、静态NAT:实现了私有地址和公有地址的一对一映射。

         过程分析:源地址为192.168.1.1的报文需要发往公网地址100.1.1.1。在网关RTA上配置了一个私网地址192.168.1.1到公网地址200.10.10.1的映射。当网关收到主机A发送的数据包后,会先将报文中的源地址192.168.1.1转换为200.10.10.1,然后转发报文到目的设备。目的设备回复的报文目的地址是200.10.10.1。当网关收到回复报文后,也会执行静态地址转换,将200.10.10.1转换成192.168.1.1,然后转发报文到主机A。

         使用环境:如果希望一台主机优先使用某个关联地址,或者想要外部网络使用一个指定的公网地址访问内部服务器时,可以使用静态NAT。

         缺点:一个公网IP只会分配给唯一且固定的内网主机。不节省IP地址。

    4、动态NAT:基于地址池来实现私有地址和公有地址的转换。

         过程分析:当内部主机A和主机B需要与公网中的目的主机通信时,网关RTA会从配置的公网地址池中选择一个未使用的公网地址与之做映射。每台主机都会分配到地址池中的一个唯一地址。当不需要此连接时,对应的地址映射将会被删除,公网地址也会被恢复到地址池中待用。当网关收到回复报文后,会根据之前的映射再次进行转换之后转发给对应主机。  

         缺点:动态NAT地址池中的地址用尽以后,只能等待被占用的公用IP被释放后,其他主机才能使用它来访问公网。

    5、NAPT——网络地址端口转换:允许多个内部地址映射到同一个公有地址的不同端口。

          过程分析:RTA收到一个私网主机发送的报文,源IP地址是192.168.1.1,源端口号是1025,目的IP地址是100.1.1.1,目的端口是80。RTA会从配置的公网地址池中选择一个空闲的公网IP地址和端口号,并建立相应的NAPT表项。这些NAPT表项指定了报文的私网IP地址和端口号与公网IP地址和端口号的映射关系。之后,RTA将报文的源IP地址和端口号转换成公网地址200.10.10.1和端口号2843,并转发报文到公网。当网关RTA收到回复报文后,会根据之前的映射表再次进行转换之后转发给主机A。主机B同理。

    6、Easy IP:可以映射到网关出接口的不同端口号上。

           使用环境:Easy IP适用于小规模局域网中的主机访问Internet的场景。出接口可以通过拨号方式获取一个临时公网IP地址。Easy IP可以实现内部主机使用这个临时公网IP地址访问Internet。

           过程分析:RTA收到一个主机A访问公网的请求报文,报文的源IP地址是192.168.1.1,源端口号是1025。RTA会建立Easy IP表项,这些表项指定了源IP地址和端口号与出接口的公网IP地址和端口号的映射关系。之后,根据匹配的Easy IP表项,将报文的源IP地址和端口号转换成出接口的IP地址和端口号,并转发报文到公网。报文的源IP地址转换成200.10.10.10/24,相应的端口号是2843。

            路由器收到回复报文后,会根据报文的目的IP地址和端口号,查询Easy IP表项。路由器根据匹配的Easy IP表项,将报文的目的IP地址和端口号转换成私网主机的IP地址和端口号,并转发报文到主机。

    7、NAT Server-NAT 服务器技术:通过配置NAT服务器,可以使外网用户访问内网服务器。

          NAT在使内网用户访问公网的同时,也屏蔽了公网用户访问私网主机的需求。当一个私网需要向公网用户提供Web和SFTP服务时,私网中的服务器必须随时可供公网用户访问。

          需要配置服务器私网IP地址和端口号转换为公网IP地址和端口号并发布出去。路由器在收到一个公网主机的请求报文后,根据报文的目的IP地址和端口号查询地址转换表项。路由器根据匹配的地址转换表项,将报文的目的IP地址和端口号转换成私网IP地址和端口号,并转发报文到私网中的服务器。

          过程分析:主机C需要访问私网服务器,发送报文的目的IP地址是200.10.10.1,目的端口号是80。RTA收到此报文后会查找地址转换表项,并将目的IP地址转换成192.168.1.1,目的端口号保持不变。服务器收到报文后会进行响应,RTA收到私网服务器发来的响应报文后,根据报文的源IP地址192.168.1.1和端口号80查询地址转换表项。然后,路由器根据匹配的地址转换表项,将报文的源IP地址和端口号转换成公网IP地址200.10.10.1和端口号80,并转发报文到目的公网主机。

    8、相关配置命令总结:

    (1)静态NAT配置:

    ***  nat static  global +公网地址 inside +私网地址 命令——用于创建静态NAT。

                      global参数——用于配置外部公网地址。          inside参数——用于配置内部私有地址。

    ***  display nat static 命令——用于查看静态NAT的配置。

    (2)动态NAT配置:

    ***  nat outbound 命令——用来将一个访问控制列表ACL和一个地址池关联起来,表示ACL中规定的地址可以使用地址池进行地址转换。       ACL用于指定一个规则,用来过滤特定流量。

    ***  nat address-group 命令——用来配置NAT地址池。

    ***  no-pat 命令——表示只转换数据报文的地址而不转换端口信息。

    ***  display nat address-group 命令——用来查看NAT地址池配置信息。

    ***  display nat outbound——用来查看动态NAT配置信息。 可以用这两条命令验证动态NAT的详细配置。

    ***  ping命令过后可以使用display nat session all 命令查看NAT 会话信息;

    (3)Easy  IP配置:

    ***  nat outbound acl-number 命令——用来配置Easy-IP地址转换。 Easy IP的配置与动态NAT的配置类似,需要定义ACL和nat outbound命令,主要区别是Easy IP不需要配置地址池,所以nat outbound命令中不需要配置参数address-group。 

    (4)NAT Server配置:

    ***  nat server  protocol xxx  global +公网地址  inside +私网地址  vpn-instance VPN实例名 acl  ACL数  description 命令——用来定义一个内部服务器的映射表,外部用户可以通过公网地址和端口来访问内部服务器。

        参数protocol——指定一个需要地址转换的协议; 参数global-address——指定需要转换的公网地址; 参数inside——指定内网服务器的地址。

    ***  display nat server 命令——用于查看详细的NAT服务器配置结果。 可以通过此命令验证地址转换的接口、全局和内部IP地址以及关联的端口号。

     

     

     

     

     

    展开全文
  • 采用NAT(Network Address Translation,网络地址转换)技术可实现中小型企业私有网络IP地址地址IP地址之间的转换,NAT是私有网络在节约IP地址的前提下访问互联网的常用工具。当然,NAT还具备其他的功能,诸如增强...
  • NAT(网络地址转换)详解

    千次阅读 2020-08-04 17:23:32
    NAT使用场合:网络地址转IPV4的公网地址不能做到人手一,因此需要用到网络地址转换,将内网地址统一转换成公网地址,让局域网内的终端可以上网。 数据出路由器转发的是源IP 数据入路由器转发的是目标IP NAT 一、...
  • 问题所在:服务器上“开启了路由和远程访问 ,及设置远程访问策略!”  第一种方法:控制面板-->管理工具-->路由和远程访问,禁掉此应用。 第二种方法:开始-->运行-->services.msc-->开启Windows Firewall/...
  • 网络地址转换NAT原理及其作用

    千次阅读 2017-11-29 11:47:22
    NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一IETF(Internet Engineering Task Force, Internet工程任务组)标准,允许一整体机构以一公用IP(Internet Protocol...
  • 文章目录出现原因基本概念NAT技术基本原理源NAT技术静态NAT动态NATNAPTEasy IPNAT ALGNAT服务器双向NAT技术域间双向NAT(NAT Server+源NAT)域内双向NAT 出现原因 由于互联网快速发展,...NAT:网络地址转换技术 I...
  • 计算机网络的 166 核心概念

    万次阅读 多人点赞 2022-03-17 10:01:43
    上回我整理了一下计算机网络中所有的关键概念,很小伙伴觉得很有帮助,但是有一需要优化的点就是这些概念不知道出自哪里,所以理解起来像是在云里穿梭,一会儿在聊应用层的概念,一会儿又跑到网络层协议了。...
  • NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,...
  • 常见网络设备介绍

    千次阅读 多人点赞 2020-07-22 19:29:26
    中继器(RP Repeater) 1、工作在物理层上的连接设备,OSI模型的物理层设备。...7、 有些中继器提供多个端口服务,这种中继器被称为中继集线器或集线器。 集线器 (hub) 1、集线器在物理层运行,基本上是
  • 计算机网络——网络硬件和网络设备及其工作原理

    万次阅读 多人点赞 2018-10-09 01:26:36
    计算机网络——网络硬件和网络设备及其工作原理 常见的网络硬件有网卡、中继站、集线器、桥连接器、交换机、路由器。 一. 网卡: 网卡是工作在链路层的网络组件,是局域网中连接计算机和传输介质的接口,不仅能实现...
  • 100 个网络基础知识普及,看完成半个网络高手

    万次阅读 多人点赞 2019-09-23 11:38:54
    它包括用于一个设备能够与另一个设备通信的电缆类型和协议。 2)OSI 参考模型的层次是什么? 有 7 个 OSI 层:物理层,数据链路层,网络层,传输层,会话层,表示层和应用层。 3)什么是骨干网? 骨干网络是集中...
  • 网络地址转换NAT原理及应用

    万次阅读 2011-07-24 23:52:35
    这是做路由器的时候,学习网络地址转换Network Address Translation后的一些理解整理,主要通过实例和图表的方式展示了NAT的工作原理和每阶段的状态。本文的NAT是基本于Linux下的iptables命令实现。1 概述1.1 简介...
  • 网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅...
  • 计算机网络中,有几通信设备或者说网络设备名词出现的频率相当的高,它们是:中继器、集线器、网桥、交换机、路由器和网关。现在梳理一下它们各自的含义和作用,以及它们之间的联系。这些网络设备对于实际工作中并...
  • 目录 一、广域网与网络互联 ... 广域网是将地理位置上相距较远的多个计算机系统,通过通信线路按照网络协议连接起来,实现计算机之间相互通信的计算机系统的集合。 2. 广域网的构成 广域网由交换机、路由器、网...
  • 面试官都震惊,你这网络基础可以啊!

    万次阅读 多人点赞 2021-07-10 15:27:09
    目录网络1.对网络的基础认识<1>.组网方式<2>.OSI七层模型<3>.TCP/IP五层(四层模型)<4>.对封装分用的理解2.网络数据传输<1>局域网(1)认识IP和MAC(2)网络数据传输的特性(3)网络数据...
  • 文章目录1.网桥(1)基本概念(2)网桥信息处理方式(3)网桥的吞吐量举例(4)基本特点(5...两个或多个以太网通过网桥连接后,就成为一个覆盖范围更大的以太网,而原来的每个以太网就称为一个网段。 网桥工作在链...
  • 路由器根据所收到的报文的目的地址选择一条合适的路径,将报文传送到下一路由器或目的地,路径中最后的路由器负责将报文送交目的主机。 主要功能 1 实现同类型网络或异种网络之间的通信 2 隔离广播域
  • [网络基础]网络设备简单介绍(网络基础知识)

    万次阅读 多人点赞 2017-11-22 11:30:32
    中继器(repeater)是位于第一层(物理层)的网络设备。 随着经过的线缆越来越长,信号会变得越来越弱。中继器的目的是在比特级别对网络信号进行再生和重定时。从而使得他们能够在网络上传输更长的距离 中继器仅仅...
  • 1.使用命令进行配置 这就很简单了,首先查看一下当前机器的IP地址,命令如下:[html] view plain copy#ifconfig eth0 Link encap:Ethernet HWaddr 00:19:D1:24:2A:EC inet addr:192.168.1.55 Bcast:192....
  • 计算机网络期末考试题库(超级的那种)

    万次阅读 多人点赞 2020-12-04 17:42:27
    废话不说,不管是应对期末考试还是考研基础复习,刷题是必不可少的!!! 大家冲就完了!!!! 记得给 罡罡同学点关注哦! 后期还会更新其他题库的呢!!! 点关注!!! 点关注!!! 点关注!!! 谢谢 另外...
  • 作为一软件开发者,你一定会对网络应用如何工作有一完整的层次化的认知,同样这里也包括这些应用所用到的技术:像浏览器,HTTP,HTML,网络服务器,需求处理等等。 本文将更深入的研究当你输入一网址的时候,...
  • 网络的IP地址空间为202.38.195.200/22,则该网络网络地址为( ). 解析: IP地址和子网掩码做逻辑与运算得到网络地址 因此该网络地址为202.38.192.0 A类地址的默认子网掩码: 255.0.0.0 B类地址默认子网...
  • 这道题没有一标准的答案,它涉及很的知识点,面试官会通过这道题了解你对哪一方面的知识比较擅长,然后继续追问看看你的掌握程度。当然本篇博客的分析也只是我的一些个人理解,从前端的角度出发,具体地分析从...
  • NAT地址转换原理全攻略

    万次阅读 2013-09-27 08:52:12
    在NAT进行IP地址转换中,许多读者朋友对几种IP地址转换方式所对应的转换原理总是搞不清楚,更不清分不清内/外部地址转换的区别,在读者QQ群中经常有人提出有方面的问题,为此笔者这次从最新的“四件套”图书中全面摘...
  • CCNP路由实验之十五 NAT(网络地址转换)  众所周知,要让自己的电脑连上Internet,必须要到运营商(ISP)申请一上网账号,根据此账号申请自己的宽频业务(拨号上网、商业固定IP等等),当你完成申请后,就可以...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 185,422
精华内容 74,168
关键字:

多个设备执行网络地址转换