【永利402com官方网站】互连网地址转变

在我们企业在对外发布应用系统或网站系统及用户办公上互联网时,针对公网IP地址不够用的问题我们不知道如何解决,因为IPv4的数量只有2的32次方,大致42亿左右,但这完全不能满足我们用户全公网IP的使用问题,因此NAT的出现正好弥补了公网IP不够的问题,也间接的隐藏了企业内网,保护了内部网络,那具体NAT是什么原理呢?我们下面将简单介绍一下。

NAT

一.NAT技术

Network address translation 网络地址转化

1.NAT:全名“Network Address
Translation”,网络地址转换,它是一个IETF(Internet Engineering Task
Force, Internet工程任务组)标准,允许一个整体机构以一个公用IP(Internet
Protocol)地址出现在Internet上。顾名思义,它是一种把内部私有网络地址翻译成合法网络IP地址的技术,如下图所示。因此我们可以认为,NAT在一定程度上,能够有效的解决公网地址不足的问题。

作用:将私有地址转化为公有地址 从而实现internet访问

永利402com官方网站 1

实施:在网络的边界设备,即网关设备/防火墙

2.私有IP地址:也叫内部地址,属于非注册地址,专门给企业或组织机构内部使用。因特网分配编号委员会保留了3块IP地址做为私有IP地址:

类型:

10.0.0.0——10.255.255.255(10.0.0.0/8段)

 

172.16.0.0——172.16.255.255(172.16.0.0/16段)

  • 静态nat:私有地址与公有地址比例1;1 ,需要手动配置并且比较浪费地址

  • 动态nat:私有地址与公有地址对应条目,是流量出发形成。

    • 普通动态NAT:公有;私有=1:1

    • PAT/PNAT/NPAT:port address translation:公有:私有=N:1

      通过端口号映射:192.168.1.1:port—-100.1.1.1:port1

       

192.168.0.0——192.168.255.255(192.168.0.0/16段)

NAT(网络地址转换):通过将内部网络的私有 IP
地址翻译成全球唯一的公有 IP 地址,使内部网络可

以上三块私有地址,我们企业内部就可以合理规划使用。

以连接到互联网等外部网络上。

3.公有IP地址:也叫全局地址,是指合法的IP地址,它是在网络运营商处登记备案分配的IP地址,对外代表一个或多个内部局部地址,是全球统一可寻的地址。

 

4.地址池:地址池是有一些外部地址(全球唯一的IP地址)组合而成,我们称这样的一个地址集合为地址池。在内部网络的数据包通过地址转换到达外部网络时,将会在地址池中选择某个IP地址作为数据包的源IP地址,这样可以有效的利用用户的外部地址,提高访问外部网络的能力。

NAT 的实现方式:

直白来讲,地址池就是公网ip的组合,例如65.34.23.0/26等等。

 

5.NAT的分类:NAT有三种类型:静态NAT(Static NAT)、动态地址NAT(Pooled
NAT)、网络地址端口转换NAPT(Port-Level NAT)。

静态转换;IP
地址的对应关系是一对一,而且是不变的,借助静态转换,能实现外部网络中某些特定服

永利402com官方网站 2

务器的访问。

二.NAT之简介

动态转换:IP
地址的对应关系是不确定的,而是随机的,所有被授权访问互联网的私有地址可以随机的

1.NAT源转换及源端口NAT:

转换为任何指定的合法的外部 IP 地址

内部地址访问互联网,互联网无法对私有IP进行回包的问题,导致无法完成网络通信,NAT是将内部地址转换为公司、组织机构或家庭的公网IP与外部通信的技术手段,具体如下图:

端口多路复用:通过改变外出数据包的源 IP
地址和源端口并进行端口转换,内部网络的所有主机均可

永利402com官方网站 3

共享一个合法的 IP 地址实现互联网的访问,节约
IP。

以简单的家庭网络为例

配置静态NAT思路:

上图说明:

  1. 确定网络界线;区分内网和外网的界线

    1. 在边界路由上,需要指定端口的类型

    2. Interface f0/1 ip nat inside

    3. 永利402com官方网站 ,Interface f0/0 ip nat outside

  2. 配置地址转换条目

    1. Ip nat inside source static 192.168.1.1
      100.1.1.1#静态私有条目转外网条目。
  3. 验证与测试

    1. Show ip nat translation

内网:192.168.1.0/24

 

网关:192.168.1.1

配置动态NAT思路:(PAT/PNAT/NPAT)

外网:PPPOE登录验证通过后,分配的地址为214.86.234.58,某互联网网站服务器地址为219.86.24.45。

  1. 配置网络界线:区分内网与外网

    1. 在边界路由上,需要指定端口的类型

    2. Interface f0/1 ip nat inside

    3. Interface f0/0 ip nat outside

  2. 确定感兴趣流量

    1. Access-list 1 permit host 192.168.1.2
  3. 配置转换条目

    1. Ip nat inside source list 1 interface g0/1
  4. 验证与测试

源NAT,内部终端主机在访问219.86.24.45服务器时,

 

源地址为:192.168.1.100,源端口随机

 

目的地址为:219.86.234.45,目的端口80

NAT的应用:端口映射(属于静态NAT)

目的地址在收到192.168.1.100的访问请求以后给源地址回包,结果找不到私网路由,因此回不来。

端口映射就是将外网主机的IP地址的一个端口映射到内网中一台机器,提供相应的服务。当用户访问该IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上。

源NAT技术的做法是,在达到网关后,将源地址替换为WAN口地址,路由器建立会话表,数据包变为214.86.234.58
,源端口为随机端口,目的地址为219.86.24.45,目的端口为80,然后在服务器收到此数据包后,回包时,将源为219.86.24.45,源端口80,目的地址为214.86.234.58,端口为之前的随机端口,回给互联网,WAN收到数据包之后,查看会话表:

端口映射有动态和静态之分。

192.168.1.100—->214.86.24.45 <——–>
214.86.234.58—–>219.86.24.45。因此根据此对应关系将服务器返回的数据包回给192.168.1.100.因此内网机器就能够与外部通信。

通俗来讲,端口映射是将一台主机的内网(LAN)IP地址映射成一个公网(WAN)IP地址,当用户访问提供映射端口主机的某个端口时,服务器将请求转移到本地局域网内部提供这种特定服务的主机;利用端口映射功能还可以将一台外网IP地址机器的多个端口映射到内网不同机器上的不同端口。
端口映射功能还可以完成一些特定代理功能,比如代理POP,SMTP,TELNET等协议。理论上可以提供65535(总端口数)-1024(保留端口数)=64511个端口的映射

但此时有一个问题,内网机器那么多,如果多个机器访问同一个Web网站将会怎么样呢?

 

相关文章