精华内容
下载资源
问答
  • NAT技术 千次阅读
    2021-11-17 12:53:34

    NAT分类:

    (1)静态NAT:1对1静态转换,手工配置,
    (2)动态NAT:多对一,但不能同时!!!动态生成转换条目,动态删除转换条目,默认24小时
    (3)PAT(端口地址转换):实现同时多对一上网
    

    网关路由器上配置PAT:

    (1)指定PAT内网端口:

    int f0/0
    ip nat inside
    exit
    

    (2) 指定PAT外网端口

    int f0/1
    ip nat outside
    exit
    

    (3)定义PAT的内部地址池(匹配哪些内网的PC允许做地址转换)

    conf t
    access-list 1 permit     192.168.1.0   0.0.0.255
    

    (4)做PAT动态映射:

    conf t
    ip nat inside source list 1 int f0/1 overload
    

    配置静态映射

    作用:静态映射的目的是将内网的服务器对外发布,也可以理解为私网服务器映射到公网上
    静态端口映射对外发布服务器

    cont f
    ip nat inside source static tcp 192.168.1.4 80 100.1.1.1 80
    ip nat inside source static tcp 192.168.1.5 80 100.1.1.3 80
    ip nat inside source static tcp 192.168.1.6 3389 100.1.1.1 4444
    

    将192.168.1.4的web服务发布到100.1.1.1的80上去,这样,网友可以访问100.1.1.1即可

    更多相关内容
  • 华为-NAT技术详解

    2018-09-29 13:02:42
    TCP/IP基础、路由、交换技术、广域网、以太网技术的基本原理以及在华为通用路由平台VRP上的实现的 内容有: Module 1-网络互联基础 Module 2-路由和路由协议基础与实现 Module 3-以太网交换技术基础与实现 Module 4-...
  • 由于Internet的迅速发展,网络地址越来越珍贵。NAT是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。NAT在一定程度上能够有效的...本文旨在从初学者的角度出发,研究了路由器中网络地址转换的NAT技术
  • NAT技术介绍

    2018-02-02 13:59:45
    NAT(Network Address Translation,网络地址转换)是将IP 数据报报头中的IP 地址转换为另一 个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种通过使 用少量的公有IP 地址代表较多...
  • 泰克nat技术精解-2

    2018-07-20 13:24:12
    泰克nat技术精解-2,详细讲解NAT技术的应用和配置过程。
  • 泰克nat技术精解-1

    2018-07-20 13:21:54
    泰克NAT技术精解-1, 详细讲解NAT技术的应用和配置过程。
  • NAT技术详解

    千次阅读 2021-10-18 13:19:58
    这里用到了NAT技术来解决。 一.NAT技术概念 在博客网络层IP协议,有介绍到,我们的的IP分为两大类,私网IP地址和公网IP地址。 当主机跨网络通信时,NAT技术可以将报文的目的IP地址转换为路由器的WAN口IP地址。也...

    前言

            我们知道现在流行的IPv4的IP地址是32位的。那说明IP地址总数是2^32次方个。但是随着互联网的发展,现在的入网设备早就超过了2^32次方个了。拿为什么我们现在的主机IP还够用呢?

            这里用到了NAT技术来解决。

    一.NAT技术概念

            在博客网络层IP协议,有介绍到,我们的的IP分为两大类,私网IP地址和公网IP地址。

    • 当主机跨网络通信时,NAT技术可以将报文的目的IP地址转换为路由器的WAN口IP地址。也就是可以将私有IP和公有IP转化的过程。
    • 公网IP是唯一的,使用NAT技术后,可以使得不同局域网内的主机的IP地址可以一样。但是同一局域网内的主机IP地址不能一样。

    二.IP地址转化过程

    那么这里会有一个问题:由于主机A的IP地址已经被替换,服务器要响应数据给主机A时,怎么发送回去呢?

            在NAT路由器内部会自动生成一张地址转换表。保存了被替换的目的IP地址和替换的IP的映射关系,可以找回上一次被替换的IP地址。

            在客户端发送数据给服务器时建表,在服务器响应客户端时查表。

            这种映射关系是由NAT路由器自动维护的,例如在TCP建立连接时,就会生成这个表,在断开连接后,会删除这个表。

    三.地址转换表分类

            3.1 静态NAT

            一个路由器只有一个WAN口IP地址,当一个主机A通信时,经过该路由器,源IP地址被替换成了WAN口IP地址,此时,这个在路由器中生成一张转换表,保存了主机A数据源IP地址和路由器WAN口IP地址的映射关系。此时是一对一的关系,如果另外一主机B也要通过这个路由器通信时,由于WAN口IP地址已经被占用,需要等待主机A通信完。

            3.2 动态NAT

            路由器中有一个外网IP池,里面有多个未使用的IP地址。

            当一个主机A通信时,经过该路由器,路由器会在外网IP池中,去出一个IP地址,替换数据IP报文的源IP地址,然后在转换表中建立,源IP地址和外网IP池使用的地址。其它主机来通信时,也会在外网IP池中,取出一个IP地址,进行替换,建立映射关系,直到使用完。这是一种多对多的关系。

            3.3 NAPT端口多路复用方式

            我们发现静态NAT在一个主机占用路由器的WAN口IP地址后,其它主机都需要等待主机通信完,效率很低。而动态NAT,需要有足够的IP地址。

            NAPT采用端口多路复用方式。使用IP+port来建立映射关系。因为IP+port是唯一的。

             当多台主机经过一个路由器对外通讯时,路由器的WAN口IP地址不变,只需要改变端口号就可以了

             在实际生活中,NAPT技术是用得最多的。

             在转换表中,源IP地址和替换后的IP地址是互相为Key值的,当主机发送数据给服务器,可以通过源IP地址查要替换的IP地址,服务器响应主机,可以通过目的IP地址查要发送的主机地址。

    四.NAT技术的缺陷

    • 无法从NAT外部向内部主机建立连接。

            由于转换表的建立需要私网向公网发送数据时建立的,当公网服务器想和私网主机建立连接,由于路由器没有转换表,找不到要建立连接的主机。

            所以两不同局域网主机,不经过公网不能通讯。

    • 转换表的生成和销毁需要额外开销
    • 通讯过程中一旦NAT设备异常,即使存在热备,所有TCP连接也会断开,找不到连接的主机和服务器了。

    NAT穿越:为了避免NAT设备故障,转换表不存在,导致连接断开。网络协议的设计者们想让NAT设备自动可以建立转换表,而不需要主机建立连接时触发。

    比如:在NAT设备上装载一个软件,不断检测局域网主机的某个端口号是否存在,存在的话,就建立转换表。

    但是很遗憾的是,现在解决的每一种方法都不完美,还需要在内部主机、应用程序或者NAT网关上增加额外的处理。

    五.NAT设备和代理服务器

            路由器往往具备NAT技术,在网络通信过程中,路由器对数据起到了中转的作用,完成了主机和其它局域网主机的通信。

            代理服务器将客户端发来的请求转化给服务器,服务器返回结果后,代理服务器又将结果返回给客户端。

            NAT设备的功能看起来和代理服务器的功能有点相似。但是它们有很大的区别。

    • 从应用上来讲,NAT设备时网络基础设备之一,解决的时IP地址不足的问题,代理服务器根贴近于具体应用。
    • 从底层实现上。NAT工作在网络层,代理服务器工作在应用层。
    • 从使用上,NAT一般工作在局域网的出口,代理服务器可以工作在局域网,也可以工作在广域网。也可以跨网。
    • 从部署上,NAT一般集成在防火墙,路由器等硬件设备上,代理服务器是一款软件,部署在服务器上。

    代理服务器是一种应用比较广泛的应用:可以用来翻墙(广域网中的代理),负载均衡(局域网中的代理)

    代理服务器由分为:

    • 正向代理:主机要求代理服务器向目的服务器要某种资源。
    • 反向代理:主机向代理服务器要某种资源。主机不关心资源时从哪台服务器来的,当代理服务器检测到该资源请求很多,会向目标服务器请求大量该资源,缓存再代理服务器中。

    用途:

    • 正向代理用于请求的转发。
    • 反向代理往往用作一个缓存。

    展开全文
  • NAT技术在图书馆网络建设中的应用,王福,,提出目前图书馆网络建设中存在的问题,提出相关的几种解决方案并进行对比。由于不同方案各有优缺点,不同图书馆对这些网络方案的
  • 显然,这样少的IP地址根本无法满足网络用户的需求,于是也就产生了NAT技术。  网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛...
  • 文章目录出现原因基本概念NAT技术基本原理源NAT技术静态NAT动态NATNAPTEasy IPNAT ALGNAT服务器双向NAT技术域间双向NAT(NAT Server+源NAT)域内双向NAT 出现原因 由于互联网快速发展,以及IPv4地址规划不合理的问题...

    出现原因

    由于互联网快速发展,以及IPv4地址规划不合理的问题,导致了IPv4地址短缺。为了解决由于IPv4地址短缺问题,有以下几种解决方法:

    1. VLSM:可变长子网掩码
    2. NAT:网络地址转换技术
    3. IPv6(根本解决方法)

    但是由于从IPv4到IPv6技术的迁移,需要非常多的时间,以及IPv6技术相对于IPv4不成熟等问题,目前IPv6并没有得到广泛的应用。所以NAT这种临时解决方案显得尤为重要。

    基本概念

    NAT:

    Network Address Translation,网络地址转换技术。是将私网地址与公网地址进行转换,实现私网用户能在公网上通信。

    优点:

    1. 实现IP地址复用,节约宝贵的地址资源(私网地址对公网地址可以实现多对一)
    2. 对于内外网络用户,感觉不到IP地址转换的过程,整个过程对于用户来说是透明的
    3. 对内网用户提供隐私保护,外网用户不能直接获得内网用户的IP地址、服务等信息,具有一定的安全性。
    4. 通过配置多个相同的内部服务器的方式可以减小单个服务器在大流量时承担的压力,实现服务器负载均衡。

    缺点:

    1. 限制某些具体应用
      由于需要对数据报文进行IP地址的转换,涉及IP地址的数据报文的报头不能被加密。在应用协议中,如果报文中有地址或端口需要转换,则报文不能被加密。例如,不能使用加密的FTP连接,否则FTP的port命令不能被正确转换。

    2. 网络监控难度大
      网络监管变得更加困难。例如,如果一个黑客从内网攻击公网上的一台服务器,那么要想追踪这个攻击者很难。因为在报文经过NAT转换设备的时候,地址经过了转换,不能确定哪台才是黑客的主机。

    NAT一般配置在网络路由器或防火墙上。

    NAT技术基本原理

    源NAT技术

    静态NAT

    在这里插入图片描述
    静态NAT实现了私有地址和公有地址的一对一映射。如果希望一台主机优先使用某个关联地址,或者想要外部网络使用一个指定的公网地址访问内部服务器时,可以使用静态NAT。但是在大型网络中,这种一对一的IP地址映射无法缓解公用地址短缺的问题。、
    如上图,源地址为192.168.1.1的报文需要发往公网地址100.1.1.1。在网关RTA上配置了一个私网地址192.168.1.1到公网地址200.10.10.1的映射。当网关收到主机A发送的数据包后,会先将报文中的源地址192.168.1.1转换为200.10.10.1,然后转发报文到目的设备。目的设备回复的报文目的地址是200.10.10.1。当网关收到回复报文后,也会执行静态地址转换,将200.10.10.1转换成192.168.1.1,然后转发报文到主机A。和主机A在同一个网络中其他主机,如主机B,访问公网的过程也需要网关RTA做静态NAT转换。

    注意:

    • 静态NAT实现了私有地址和共有地址一对一的映射(一个私有地址对应一个共有地址),并没有做到缓解地址短缺的问题,只是做到了地址转换。
    • 一个公网地址只会分配给唯一且固定的内网地址(相当于上图主机A绑定了两个地址)

    动态NAT

    在这里插入图片描述
    动态NAT通过使用地址池来实现。

    如上图,当内部主机A和主机B需要与公网中的目的主机通信时,网关RTA会从配置的公网地址池中选择一个未使用的公网地址与之做映射。每台主机都会分配到地址池中的一个唯一地址。当不需要此连接时,对应的地址映射将会被删除,公网地址也会被恢复到地址池中待用。当网关收到回复报文后,会根据之前的映射再次进行转换之后转发给对应主机。

    注意:

    • 动态NAT实际上实现的还是私有地址和公有地址一对一的关系,但是共有地址不再绑定给特定的内网地址。实现了一定程度的缓解地址短缺问题。
    • 动态NAT地址池中的地址用尽以后,只能等待被占用的公用IP被释放后,其他主机才能使用它来访问公网。

    NAPT

    NAPT:Network Address Port Translation 网络端口地址转换技术
    在这里插入图片描述

    如上图,RTA收到一个私网主机发送的报文,源IP地址是192.168.1.1,源端口号是1025,目的IP地址是100.1.1.1,目的端口是80。RTA会从配置的公网地址池中选择一个空闲的公网IP地址和端口号,并建立相应的NAPT表项。这些NAPT表项指定了报文的私网IP地址和端口号与公网IP地址和端口号的映射关系。之后,RTA将报文的源IP地址和端口号转换成公网地址200.10.10.1和端口号2843,并转发报文到公网。当网关RTA收到回复报文后,会根据之前的映射表再次进行转换之后转发给主机A。主机B同理。

    注意:

    • NAPT技术允许多个内部地址映射到同一个公有地址的不同端口。
    • NAPT实现了私有地址对共有地址多对一

    Easy IP

    在这里插入图片描述

    • Easy IP本质上是NAPT(所以原理与NAPT大致相似)
    • 由于网关设备出接口IP地址为公网地址,所以可以利用该出接口地址来作为地址转换的公有地址。

    Easy IP适用于小规模局域网中的主机访问Internet的场景。小规模局域网通常部署在小型的网吧或者办公室中,这些地方内部主机不多,出接口可以通过拨号方式获取一个临时公网IP地址。Easy IP可以实现内部主机使用这个临时公网IP地址访问Internet。

    NAT ALG

    NAT ALG(Application Level Gateway,应用级网关)是特定的应用协议的转换代理,可以完成应用层数据中携带的地址及端口号信息的转换。

    在以太网数据帧结构中,IP首部包含32位的源IP地址和32位的目的IP地址,TCP首部包含16位的源端口号和16位的目的端口号。但是很多协议会通过IP报文的数据载荷进行新端口甚至新IP地址的协商。协商完成之后,通信双方会根据协商结果建立新的连接进行后续报文的传输。而这些协商出来的端口和IP地址往往是随机的,管理员并不能为其提前配置好相应的NAT规则,这些协议在NAT转换过程中就会出现问题。

    普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据载荷中的字段无能为力,在许多应用层协议中,比如多媒体协议(H.323、SIP等)、FTP、SQLNET等,TCP/UDP载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换,就可能导致问题。而NAT ALG(Application Level Gateway,应用层网关)技术能对多通道协议进行应用层报文信息的解析和地址转换,将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理,从而保证应用层通信的正确性。

    例如,FTP应用就由数据连接和控制连接共同完成,而且数据连接的建立动态地由控制连接中的载荷字段信息决定,这就需要ALG来完成载荷字段信息的转换,以保证后续数据连接的正确建立。
    为了实现应用层协议的转发策略而提出了ASPF功能。ASPF功能的主要目的是通过对应用层协议的报文分析,为其开放相应的包过滤规则,而NAT ALG的主要目的,是为其开放相应的NAT规则。由于两者通常都是结合使用的,所以使用同一条命令就可以将两者同时开启。

    在这里插入图片描述
    图中私网侧的主机要访问公网的FTP服务器。NAT设备上配置了私网地址192.168.1.2到公网地址8.8.8.11的映射,实现地址的NAT转换,以支持私网主机对公网的访问。组网中,若没有ALG对报文载荷的处理,私网主机发送的PORT报文到达服务器端后,服务器无法根据私网地址进行寻址,也就无法建立正确的数据连接。整个通信过程包括如下四个阶段:

    1. 私网主机和公网FTP服务器之间通过TCP三次握手成功建立控制连接。
    2. 控制连接建立后,私网主机向FTP服务器发送PORT报文,报文中携带私网主机指定的数据连接的目的地址和端口,用于通知服务器使用该地址和端口和自己进行数据连接。
    3. PORT报文在经过支持ALG特性的NAT设备时,报文载荷中的私网地址和端口会被转换成对应的公网地址和端口。即设备将收到的PORT报文载荷中的私网地址192.168.1.2转换成公网地址8.8.8.11,端口1084转换成12487。
    4. 公网的FTP服务器收到PORT报文后,解析其内容,并向私网主机发起数据连接,该数据连接的目的地址为8.8.8.11,目的端口为12487(注意:一般情况下,该报文源端口为20,但由于FTP协议没有严格规定,有的服务器发出的数据连接源端口为大于1024的随机端口,如本例采用的是wftpd服务器,采用的源端口为3004)。由于该目的地址是一个公网地址,因此后续的数据连接就能够成功建立,从而实现私网主机对公网服务器的访问。

    l

    NAT服务器

    使外网用户能够访问私网服务器

    一般采用静态映射(NAT Server):公网地址和私网地址一对一进行映射。外网用户想要访问内网用户只需要目的IP地址为设置好的公网地址。
    在这里插入图片描述
    为什么?:因为外网用户访问私网服务器,若不指定一个公网地址,则外网用户不能访问私网服务器;若不做静态映射,没有固定的公网地址,那么公网用户访问时需要每次都输入不同的地址。

    双向NAT技术

    双向NAT应用场景的通信双方访问对方的时候目的地址都不是真实的地址,而是NAT转换后的地址。

    一般来说,内网属于高优先级区域,外网属于低优先级区域。当低优先级安全区域的外网用户访问内部服务器的公网地址时,会将报文的目的地址转换为内部服务器的私网地址,但内部服务器需要配置到该公网地址的路由。

    l如果要避免配置到公网地址的路由,则可以配置从低优先级安全区域到高优先级安全区域方向的NAT。同一个安全区域内的访问需要作NAT,则需要配置域内NAT功能。

    域间双向NAT(NAT Server+源NAT)

    在这里插入图片描述
    当配置NAT Server时,服务器需要配置到公网地址的路由才可正常发送回应报文。如果要简化配置,避免配置到公网地址的路由,则可以对外网用户的源IP地址也进行转换,转换后的源IP地址与服务器的私网地址在同一网段。这样内部服务器会缺省将回应报文发给网关,即设备本身,由设备来转发回应报文。

    域内双向NAT

    在这里插入图片描述
    若需要地址转换的双方都在同一个安全域内,那么就涉及到了域内NAT的情况。当FTP服务器和用户均在Trust区域,用户访问FTP服务器的对外的公网IP地址,这样用户与FTP服务器之间所有的交互报文都要经过防火墙。这时需要同时配置内部服务器和域内NAT。

    域内NAT是指当内网用户和服务器部署在同一安全区域的情况下,仍然希望内网用户只能通过访问服务器的公网地址的场景。在实现域内NAT过程中,既要将访问内部服务器的报文的目的地址由公网地址转换为私网地址,又需要将源地址由私网地址转换为公网地址。

    展开全文
  • IPv4技术不能够与时俱进????IPv6相对于IPv4的改进????IPv6的改进# IPv6地址类型 ????单播地址 ????组播地址 ????任播地址# 过渡技术 ????IPv6不可能立刻替代IPv4,因此在相当一段时间内IPv4和IPv6会共存在一个环境中...
  • 5.网络基础-NAT技术

    2022-04-14 10:39:34
    上网必备的NAT

    NAT概述

    随着接入Internet的计算机数量的不断猛增,早期网络通信协议和标准的组织已经意识到了IPv4地址马上被耗尽的危机,因此制定了短期措施,其中就包含NAT。
    NAT(Network Address Translation,网络地址转换)是将IP 数据报报头中的IP 地址转换为另一个IP 地址的的功能。
    通常,一个局域网由于申请不到足够互联网IP地址,或者只是为了编址方便,在局域网内部采用私有IP地址为设备编址,当设备访问外网时,再通过NAT将私有地址转换为合法的公网IP地址。

    公网IP和私网IP

    公网IP是指在因特网上直接可达的IP地址,如果你有一个公网地址,那就意味着你不但能访问别人,还能被人访问。
    为了弥补IPv4地址日益枯竭的矛盾,在A、B、C类地址中专门划出一小块地址作为全世界各地建设局域网使用,这些划出来专门作为局域网内网使用的IP地址称为私网IP地址。这些私网IP地址在访问 Internet 时会经过 NAT 技术转换为公网地址再访问 Internet。所以在公网上看不到这些私有地址

     NAT的优缺点

     

     静态NAT

    NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用PAT。
    静态转换是指将内部地址和外部地址进行一对一的转换。这种方法要求申请到的合法公网IP地址足够多,可以与内部IP地址一一对应。
    静态NAT一般用于那些需要固定的合法IP地址的主机,比如Web服务器、FTP服务器、E-mail服务器等。

     动态NAT

    将多个合法IP地址统一的组织起来,构成一个IP地址池,当有主机需要访问外网时,就分配一个合法IP地址与内部地址进行转换,当主机用完后,就归还该地址。
    对于NAT池,如果同时联网用户太多,可能出现地址耗尽的问题。

    PAT 

    端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外网IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
    NAT在使用场景上分为SNAT(源地址NAT)、DNAT(目的地址NAT)和双向地址NAT

     SNAT

    源地址转换即内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址,内网的多部主机可以通过一个有效的公网ip地址访问外部网络。
    主要使用场景:局域网私网IP使用有限的公网IP访问互联网。

    生成记录,把转换前和转换后的Ip地址记录下来

     

     DNAT

    当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部做地址转换,此转换称为DNAT。

    主要使用场景:主要用于内部服务对外发布。

    当网络内部有一台服务器要对外发布时,出口NAT设备,将公网IP和设备转换成私网IP的过程,叫DNAT,公司内部使用的是A类的私网网段10网段,公司 可用的ip只有一个123.1.1.1,公司内有一台网站服务器,ip地址是10.1.1.100,端口:8080,公司需要将这台服务器提供给互联网用户访问。只有公网IP才能被用户访问,不仅需要在出口NAT上配置Ip和路由信息,还需要配置DNAT,将公网IP123.1.1.1:80映射给内网IP地址10.1.1.100:8080,这样互联网用户可以通过123.1.1.1:80来进行网站的访问。对访问数据流进行分析:

    互联网上有一个用户,它的IP地址是200.1.1.1:54321,访问123.1.1.1端口号80,在互联网的访问期间,目的Ip是123.1.1.1,目的端口是80,但是在经过公司出口的NAT设备时,匹配上DNAT策略,对目的ip和目的端口进行替换,目的IP转换为公司内部的私网Ip:10.1.1.100,目的端口转换为8080,源ip和源端口都不变,同时NAT会在DNAT表中生成一条记录。

     双向NAT

     双向地址转换

    常规地址转换技术只转换报文的源地址或目的地址,而双向地址转换(Bidirectional NAT)技术可以将报文的源地址和目的地址同时转换。
    主要使用场景:内网用户通过外网IP/域名访问内网业务

    目的:1.内外网的访问方式保持一致2.安全的考虑,隐藏内网服务器iP

     如果要求内网用户(192.168.1.1.)访问内网WEB服务器192.168.1.100,但必须通过访问公网IP200.1.1.1。且只是配置DNAT,能否满足这一需求?

    配置DNAT的话,可以通过公网IP访问内网ip,数据流在经过NAT设备时可以匹配到公网ip200.1.1.1,目的ip转换成192.168.1.254,请求的数据会通过路由到达服务器上,服务器可以进行正常的数据应答。只不过应答的源Ip是192.168.1.100,目的ip是192.168.1.1,数据直接转发到192.168.1.1的这台电脑上。注:PC发出请求的目的IP是一个公网200.1.1.1,但是应答源IP的是一个私网ip 192.168.1.100。对电脑来说会直接丢包拒收。双向NAT就可以解决这个问题。

    双向NAT的数据流是:在请求的数据经过NAT设备时,NAT设备对源母IP同时进行替换,目的ip转换成内网真实的IP,源Ipt替换成出口NAT 口的ip地址:192.168.1.254.和DNAT不同是回数据时又经过了一次NAT设备进行转换。将源IP和目的ip还原回去。

    拓展了解 

    NAT 只能对IP 报文的头部地址和TCP/UDP 头部的端口信息进行转换。对于一些特殊协议,例如ICMP、FTP 、SIP等,它们报文的数据部分可能包含IP 地址或端口信息,这些内容不能被NAT有效的转换。
    为了使得这些应用也能透明地完成NAT转换,NAT使用一种称作ALG(Application Level Gateway应用程序级网关)的技术,它能对这些应用程序在通信时应用层数据所包含的地址信息也进行相应的NAT转换。通常网络设备的ALG功能均有单独的开关.

     

    用户(172.172.10.10)通过外网(在浏览器里输入Server.sangfor.com.cn 即202.96.139.99)访问服务器(172.172.10.100)

    分析:LAN-LAN的数据流走向:

    172.172.10.10通过202.96.139.99访问内网的数据流变化,

    1.数据从PC中发出:源ip(sip)电脑自己的ip:172.172.10.10目的ip(dip):202.96.139.99(输入后做DNS解析出这个ip地址)源端口(sport):客户端上是大于1024的随机端口。加入是8888。目的端口(dport):80(因为是通过HTTP协议访问的)协议:HTTP.以上就是数据包的五元组。

    2.在AF上配置一条目的转换规则,202.96.139.99:80数据包映射到HTTP SERVER 

    则源IP(sip)还是172.172.10.10 目的Ip(dip)就转换成了172.172.10.100 sport:8888 dport :80 HTTP协议

    3.HTTP SERVER收到数据包后做一个回复。即是把数据包的五元组做了一次调换。

    源ip(服务器自己的Ip):172.172.10.100 目的ip(电脑的Ip):172.172.10.10 源端口(sport)80 目的端口(dport):8888

     

    注意:来回数据包的五元组要保持一致

    上图中pc请求的目的ip是202.96.139.99,但是收到的回复包中的源Ip是172.172.10.100

    两个五元组是匹配不上的。

    数据包的流程是:PC-AF-SERVER HTTP-PC

    正常的是希望:PC-AF-SERVER HTTP-AF-PC

    来回的五元组就会是一样的了。

     满足这个要求的配置:问题出现在第2步,发出这个数据包的源Ip是电脑的IP

    数据包再发送给电脑时,就是来回一致的

    各产品线实现双向NAT方式--AC

    方法1:先做一条端口映射(将PC的私网地址转换成AC外网口的公网地址),再做一条代理上网规则(将内网的源地址转换成AC内网口的地址)。
    【系统管理】-【防火墙】-【端口映射】中新建高级规则 【系统管理】-【防火墙】-【NAT代理上网】新建规则如下:

    方法2:直接做一条高级映射规则,勾选【发布服务器】选项(相当于是做了SNAT):将源IP转换成了AC内网口的IP。
    【系统管理】-【防火墙】-【端口映射】中新建高级规则如下 

    各产品线实现双向NAT方式--AF 

    直接做一条双向地址转换规则,【策略】-【地址转换】-【双向地址转换】中新建规则如下:

    各产品线实现双向NAT方式--AD

    先做一条目的地址转换,再做一条源地址转换
    【网络部署】-【地址转换】-【目的地址转换】中新建规则 【网络部署】-【地址转换】-【目的地址转换】中新建规则

    展开全文
  • 华为,思科、华三3大厂商nat技术总结

    千次阅读 多人点赞 2021-05-26 15:24:04
    文章目录三大厂商的nat技术的实现华为 nat 技术配置CISCO nat技术配置H3C nat技术配置 三大厂商的nat技术的实现 华为 nat 技术配置 1.技术背景 NAT技术简介 1.网络地址转换NAT(Network Address Translation)是...
  • 什么时候用到NAT技术呢?第一是公网IP地址不够用,当企业只租用到了数量有限的公网IP时,不可能为内部每台计算机都分配一个公网IP,可以采用NAT技术,多个内部计算机在访问INTERNET时使用同一个公网 IP地址;第二是...
  • 防火墙NAT技术

    万次阅读 多人点赞 2019-03-14 11:12:14
    防火墙NAT技术简介 NAT(Network Address Translation)是一种地址转换技术,可以将IPv4报文头中的地址转换为另一个地址。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,可以实现位于私网的多个...
  • NAT技术在路由器下的实现毕业论文.docx
  • 如何能够有效的防止被攻击呢,能否在不使用公网ip地址的情况下又能让外网可以访问服务器的某一项服务呢?那就要涉及到我们的NAT技术里面一个技术点端口映射(也叫静态nat映射)
  • NAT技术的出现是为了解决日益减少的IP地址问题,将多个内部IP地址映射为少数几个甚至一个公网地址,这样就可以实现内部网络中的主机(通常位私有地址)透明地访问外部网络的资源。同时,外部网络的主机也有选择地...
  • NAT技术相关实验报告

    千次阅读 2021-12-29 23:47:40
    NAT(网络地址转换) 边界路由器上,进行公私有ip地址间转换的协议,是内网与外网沟通交流的枢纽。其工作方式为静态的,动态的,多对多的进行端口地址转换 ,利用了边界路由器上同一个公有ip地址的不同的端口号来进行...
  • 技术出现背景 NAT技术的出现主要是为了解决IPV4地址枯竭的问题,回想下上一篇,学过了...NAT技术里面分为两大类,这一篇我们来讲解源NAT技术,也就是解决局域网下多个终端通过一个或者数个可上网地址来复用共享上网。
  • 网络发生变化时,避免重新编址(这个问题具有亲身体会,原本所在的实习单位搬迁,我们搬到了新的住处,网络环境发生了一些变化,但是由于nat技术的特点,我们局域网的地址并没有发生改变,我们依然使用着最初的编址...
  • 利用将网守和VoIP电话终端的H.323协议栈进行扩展是穿越NAT技术关键,但同时也带来了网守负荷增加的问题。  1 引言  近年来 VoIP(Voice over IP)技术和市场发展迅猛,IP 电话的市场份额已经占长途电话业务的 60...
  • 在我之前的分享中提到,我们...其实,这里面我们用到了NAT技术(Network Address Translation)网络地址转换技术。把我们的终端获取的私有地址,转换成公司的合法外网共有地址,从而进行网络数据交换。 NAT的实现方式有
  • Java实现UDP穿透NAT技术

    热门讨论 2012-05-07 20:59:49
    用Java实现的UDP穿透NAT技术,内有详细的注释,完全可以自己看懂的
  • 前言一级目录二级目录三级目录 随着internet的发展和网络应用的增多,IPV4地址枯竭已经成为制约网络发展的瓶颈。...当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 61,802
精华内容 24,720
关键字:

NAT技术