NAT(网络地址转换)的前世今生
NAT(网络地址转换):
NAT(网络地址转换)是一种技术,保护稀缺的互联网IP地址。
为什么NAT?
目前互联网使用的IP地址的形式为xxx.xxx.xxx.xxx。如IP地址是202.187.4.212的方式,因为这些IP地址的分配,开始是一个可用的IP地址短缺。
目前在Internet上使用的IP(互联网协议)修订版是IPv4。IPv6的主要是这种潜在的IP地址短缺的响应。
不幸的是,IPv6是需要几十年才能实现。一个更快的修复是必要的,该修补程序是NAT。
NAT私有地址空间为了节省IP地址空间,网络没有直接连接到Internet,常常给私有地址空间。
私有地址空间范围的,不能被路由的IP 地址在互联网上。
私有地址空间通常被称为“RFC 1918”的空间,因为在RFC 1918中定义的-私人互联网的地址分配私有地址空间。
RFC 1918定义了三组私有地址空间:
开始 结束 网络规模
10.0.0.0 10.255.255.255 / 8
172.16.0.0 172.31.255.255 / 12
192.168 .0.0 192.168.255.255 / 16
使用私有地址空间,节省IP地址,因为任何人或任何公司都可以使用相同的私有地址空间反复。
如果有人在他/她的房子,有一个10.0.0.X网络,IBM拥有10.0.0.X网络,HP有10.0.0.X网络,苹果有10.0.0.X网络,他们都使用相同的IP地址范围。
的限制,是不可路由的私有地址空间。这意味着,这些私有IP地址的任何计算机上无法连接到Internet(直接)。
NAT设备,通常是防火墙或路由器,私人网络和互联网之间放置。
当在专用网络上的计算机要在Internet上通信时,NAT设备快速,静静地修改数据包发送到一个正常的IP地址。
当系统在互联网上发送应答报文,在NAT设备这些回应的数据包路由到正确的系统上的私人网络。
通过这种方式,在专用网络上的数百或数千台计算机,可以在公共互联网上共享一个IP地址。
例如,有人可能在192.168.1.x网络有250台电脑和一台防火墙上提供NAT服务的IP地址216.17.138.210。任何一次在Internet上的主机通信时,NAT防火墙的数据包的IP地址为216.17.138.210。当回复来自互联网的数据包,NAT防火墙对它们进行排序,并将它们发送到正确的内部主机。
使用NAT,所有传出的数据包转发到NAT服务器。在NAT服务器上,这些传出的数据包的源地址进行修改,然后转发到Internet。所有传入的数据包被发送到NAT服务器。NAT服务器的数据包的地址改变的内部IP地址,然后,返回到该发送数据包的源。
安装,NAT的计算机可以被配置为以下任一:
网络地址转换服务器、一个基本的动态主机配置协议(DHCP)服务器、域名系统(DNS)代理、Windows Internet名称服务(WINS)代理。
在“ 路由和远程访问服务 (RRAS),NAT可用于小型办公室或家庭办公室提供基本的互联网连接。NAT还提供了一些安全功能,可以用来保护你的专用网络上的网络资源。此外,DNS查询可以被发送到一个DNS服务器中定义的NAT。NAT还支持DHCP兼容的IP配置。
NAT的类型
刚才所描述的NAT的类型被称为一到多的NAT。这是因为多台主机共享一个IP地址。
另外,也可以实现单-One的NAT。这是一台主机的私有IP地址是一个专门的公共IP地址的NAT设备。到NAT用于支持某些设计不良的协议,不能很好的工作在NAT。
NAT的工作原理
当一台计算机运行NAT从内部客户端收到一个数据包时,它取代了数据包的报头和它自己的端口号和外部的IP地址,客户端的端口号和内部IP地址转换。然后它发送数据包到目的主机在互联网上的映射表中的信息,并跟踪,因此,它可以路由到相应的客户端计算机的答复。运行NAT的计算机收到从互联网主机时,它再次替换包的报头,并将数据包发送到客户端。在客户端计算机和互联网主机可直接与对方沟通。
例如,在客户端计算机的IP地址192.168.10.2要联系一个Web服务器的IP地址131.110.30.4。客户端配置为使用192.168.1.1作为缺省网关,这是运行NAT的计算机的内部IP地址。在计算机上运行NAT的外部IP地址为131.110.5.1。在这个例子中,在NAT过程发生,如下所示:
客户端计算机发送数据包的计算机上运行NAT。数据包报头的数据包源自1074端口上的计算机的IP地址192.168.10.2和131.110.30.4端口80上的目的地。
的计算机运行NAT改变包的报头,以指示该分组源于131.110.5.1端口1563的主机,但不改变目的地。运行NAT的计算机,然后将数据包发送到Web服务器在Internet上。
外部Web服务器接收到的数据包,并发送应答。131.110.30.4的数据包来自端口80上的目的地131.110.5.1的主机的1563端口的数据包报头的答复表示。
运行NAT的计算机接收到的数据包,并检查其映射信息,以确定目标客户端计算机。在计算机上运行NAT改变包的报头表示192.168.10.5端口1074上的目的地,然后将数据包发送到客户端。数据包的源端口80上仍然是131.110.30.4,这是Web服务器的IP地址。
正如前面提到的,NAT转换的公网IP地址,可以在互联网上传送的专用网络上的IP地址和相关的TCP / UDP端口号。当发生这种转换时,NAT分配一个唯一的端口号的会话。客户端计算机映射到一个单一的公共IP地址分配由ISP的组织或通过互联网络信息中心(InterNIC)分配。通过这种映射,然后NAT是能够返回响应的正确的客户端计算机。这些映射信息被存储在NAT会话映射表。
默认配置为NAT转换IP地址和TCP / UDP端口的IP数据报,反过来的结果,在这些领域内的IP,TCP,UDP报头的变化:
源IP地址
TCP,UDP和IP校验和
源端口。
了解NAT的限制
有一些协议,NAT是无法执行的网络地址转换。对于工作和执行网络地址转换NAT,它需要的数据包的IP头和TCP头中的IP信息或端口号的信息。NAT使用的IP地址和TCP端口和UDP端口的TCP头,UDP头和IP报头,内翻译NAT交通。虽然你可以使用NAT编辑器把FTP的流量通过NAT系统的所有协议,这是不正确的。只适用于一些协议,如FTP与PPTP NAT编辑器。基本上是无法通过NAT的协议,是可能的NAT的最显着的限制之一。
IP数据包筛选器配置为NAT的类型是:
入站IP数据包筛选器:在这里,流量过滤基础的工作站尝试访问私有网络的IP地址。默认情况下,NAT丢弃所有的入站请求访问私有网络资源。因此,你需要明确允许访问的专用网络资源,使用一些额外的配置。
出站IP数据包筛选器,这些过滤器用于过滤或限制访问互联网的流量。
这种情况可能会当你想要特定的互联网用户或VPN用户访问专用网络上的资源,或居住在专用网络上访问Web服务器。在这里,你可以利用外部公共IP地址和端口映射到私有IP地址和私有端口。
NAT地址映射:您可以使用一个特殊的端口映射特定的互联网用户在私有网络的资源,为互联网用户提供访问驻留在专用网络的资源。可以被定义为一个特殊的端口的静态映射一个公网IP地址和端口号的组合到一个私有的IP地址和端口号。管理员可以配置NAT地址映射为每个特定的私有网络资源,互联网用户被允许访问。专用网络资源,你可以提供给互联网用户访问的实际数量是由TCP / UDP端口号的数量。
NAT地址池 NAT地址池功能可以被用来允许VPN用户和互联网用户访问私有网络资源。这里列出的NAT服务器请求一个公共IP地址与特定的TCP / UDP端口号的私人network.A一些基本的规则使用NAT地址池的资源:
管理员必须提供NAT服务器可以让用户连接到的服务器的私网IP地址。
管理员必须实行限制策略来限制流量被允许访问私有网络的端口。