|
|
51CTO旗下网站
|
|
移步端
  • 网络地址转换协议(NAT)及其应用实例

    顶在专用网内部的组成部分主机本来已经分配到了当地IP地点(即仅在资金专用网内采取的专用地址),但今天又想和因特网上的主机通信(并不需要加密)时,可采取NAT办法。

    笔者:大木叉叉 来源:大木叉叉| 2019-12-30 07:15

    1. NAT的意思

    顶在专用网内部的组成部分主机本来已经分配到了当地IP地点(即仅在资金专用网内采取的专用地址),但今天又想和因特网上的主机通信(并不需要加密)时,可采取NAT(Network Address Translation,网络地址转换)办法。

    这种方式需要在专用网连接到因特网的变压器上设置NAT硬件。装有NAT硬件的变压器叫做NAT玉器,他至少有一度有效的表面世界IP地点。这样,整整使用当地地址的主机在和内在通信时,都要在NAT玉器上将他本地地址转换成全球IP地点,才能和因特网过渡。

    此外,这种通过使用少量之三资企业IP 地点代表较多的个人IP 地点的措施,名将有助于减缓可用之IP地点空间的不足。

    网络地址转换协议(NAT

    2. NAT协和的企图

    隐身内部客户端的位置、隐身私有网络设计以及使国有IP地点租用成本最低,该署功能都得以通过使用网络地址转换(NAT)富有地贯彻。NAT是一种将天津中的内部IP地点转换为集体IP地点,故而在互联网上开展传输的公有制。

    人人开发NAT是为了允许专用网络使用任何IP地点集,并且不会与具有相同IP地点的集体互联网主机发生冲突或抵触。事实上,NAT名将里面客户端的IP地点转换为外部条件中的租用地址。

    NAT提供了众多优点,包括:

  • 能够只利用一个(或几个)合同的集体IP地点将全部网络相联到互联网;
  • 终能够在与互联网通信的情况下, 名将RCF1918官方定义之个人IP地点用于私有网络;
  • NAT穿过互联网隐藏IP地点方案和网络拓扑结构;
  • NAT还通过限制连接提供了保障,故而使只有来自于内部受保护网络的过渡才把批准从互联网返回网络。故此,绝大多数入侵攻击会把自动击退。
  • 3. IP地点分类

    IP把分为A、B、C、D、E五类,如表所示。其中D类子网被用于多播,E类子网被封存将来利用。IP地点由四段组成,每段一个字节八位。

    (1) A类:(1.0.0.0-126.0.0.0)先后一个字节为网络号,此后三个字节为主机号。该系IP地点的最前面为“0”,故此地址的网络号取值于1~126之间。普通用于大型网络。

    默认子网掩码:255.0.0.0或 0xFF000000

    其中个人地址范围是:10.0.0.0~10.255.255.255

    (2) B类:(128.0.0.0-191.255.0.0)明天两个字节为网络号,此后两个字节为主机号。该系IP地点的最前面为“10”,故此地址的网络号取值于128~191之间。普通用于中等规模网络。

    默认子网掩码:255.255.0.0或0xFFFF0000

    其中个人地址范围是:172.16.0.0~172.31.255.255

    (3) C类:(192.0.0.0-223.255.255.0)明天三个字节为网络号,说到底一个字节为主机号。该系IP地点的最前面为“110”,故此地址的网络号取值于192~223之间。普通用于小型网络。

    子网掩码:255.255.255.0或 0xFFFFFF00

    其中个人地址范围是:192.168.0.0~192.168.255.255

    (4) D类:是多播地址。该系IP地点的最前面为“1110”,故此地址的网络号取值于224~239之间。普通用于多行程广播用户。

    (5) E类:是保留地址。该系IP地点的最前面为“1111”,故此地址的网络号取值于240~255之间。

    IP地点总个数为2^32=4 294 967 296,约为43京个。其中各类地址的占比如图1所示。

    IP各项地址占比

    希冀1. IP各项地址占比

    4. NAT分立式

    副定义上看,NAT名将一个内部的IP地点映射为一个外部的IP地点。但是,端口地址转换PAT名将一个内部的IP地点映射为一个外部IP地点和端口号的结合。故此,PAT理论上在单个外部租用IP地点上得以支持65536(2^16)个来自内部客户端的同时发生之通信。如果采取NAT,这就是说租用的集体IP地点数必须与期待同时发生之通信数相同;如果采取PAT,那 么可以选用较少的集体IP地点,其间客户端数量与外部租用IP地点数量之适龄比率为100:1。在许多硬件设备和软件产品中都得以找到NAT,该署装备和产品包括防火墙、玉器、网关和办理。NAT只能用在IP网络中,并且在OSI模型的网络层(先后3层)上工作。

    整整的变压器和通信控制设施被安排为在默认情况下不转发来自或达到这些私有IP地点的通信。扭亏增盈,个体IP地点在默认情况下不进行路由。故此,它们不能直接用于互联网上的通信。然而,它们可以把轻松地用在个人网络中,应当的个人网络可能没有使用石器,或者可能只对路由器的安排进行了区区改动。穿过允许从ISP处租用较少的集体IP地点,重组使用私有IP地点与NAT能够大大削减连接互联网的资金。

    可以运用的NAT有两种淘汰式:静态NAT和变态NAT:

  • 静态NAT:名将特定的里间客户端的IP地点永久地映射到一定的表面公共IP地点时,就会利用静态模式的NAT;
  • 动态NAT:动态模式的NAT兴许多个内部客户端使用较少的适用公共IP地点。故此,即使租用的集体IP地点较少,较大的里间网络也仍然能够访问互联网。这种渐进式使出现公共IP地点滥用的状况最少,并且将互联网访问成本降至最低。
  • 在动态模式的NAT贯彻中,NAT系统维护了一番映射必发娱乐登录,故而使来自互联网服务的一切响应信息正确地路由至最初的里间请求客户端。NAT常常与代理服务器或代理防火墙相结合,故而提供额外的互联网访问和内容缓存功能。

    因为NAT改变了数据包头,而IPSec依托数据包头来阻止安全违规,故此NAT并不直接与 IPSec相容。不过,少数版本的NAT办理被设计为在NAT上支持IPSec。IPSec是一种基于标准的公有制,这种体制为点对点TCP/IP打电话提供了加密保护。

    5. NAT使用实例

    下我们采取仿真软件Cisco Packet Tracer来演示实际的网络部署,硬件的下载地址及仿真的水利文件下载地址如下:

    链接:https://pan.baidu.com/s/1DLJVuXu5kRmpgCCr7Czfpg

    提取码:w5og

    网络的拓扑结构和IP地点配置如图2.所示,内网地址为192.168.1.*, 外网服务器的地点配置为2.2.2.2

    希冀2. 网络拓扑及地方

    为了便于说明,咱们第一明确四类地址的框框来定义企业内部、表面:

  • 其间本地地址:集团内部的个人地址
  • 其间全局地址:个体地址转换成为之三资企业地址
  • 表面全局地址:internet上的三资企业地址
  • 表面本地地址:internet上的三资企业地址转换成为之集团内部私有地址
  • (1) 安排IP地点

    安排路由器R1的地点,f0/0的地点为192.168.1.200,255.255.255.0,f0/1的地点为 12.1.1.1 255.255.255.0。安排命令如下:

          
    1. R1>en 
    2. R1#conf t 
    3. Enter configuration commands, one perline.  End with CNTL/Z. 
    4. R1(config)#int f0/0 
    5. R1(config-if)#ip add 192.168.1.200 255.255.255.0 
    6. R1(config-if)#no sh 
    7. R1(config-if)# 
    8. R1(config-if)#int f0/1 
    9. R1(config-if)#ip add 12.1.1.1 255.255.255.0 
    10. R1(config-if)#no sh 

    安排路由器R2的地点,f0/0的地点为12.1.1.2 255.255.255.0,f0/1的地点为2.2.2.200 255.255.255.0。

          
    1. R2>en 
    2. R2#conf t 
    3. Enter configuration commands, one perline.  End with CNTL/Z. 
    4. R2(config)#int f0/0 
    5. R2(config-if)#ip add 12.1.1.2 255.255.255.0 
    6. R2(config-if)#no sh 
    7. R2(config-if)# 
    8. R2(config-if)#int f0/1 
    9. R2(config-if)#ip add 2.2.2.200 255.255.255.0 
    10. R2(config-if)#no sh 

    安排结果如图3所示,

    希冀3. IP安排结果

    安排路由器R1,安排内容是接口f0/0联网的是集团内部私有地址,f0/1联网的是internet上的三资企业地址。安排命令如下:

          
    1. R1>en 
    2. R1#conf t 
    3. Enter configuration commands, one perline.  End with CNTL/Z. 
    4. R1(config)#int f0/0 
    5. R1(config-if)#ip nat inside 
    6. R1(config-if)#exit 
    7. R1(config)#int f0/1 
    8. R1(config-if)#ip nat outside 
    9. R1(config-if)#exit 

    (2) 创造NAT转移表

    a. 静态NAT

          
    1. R1(config)#ip nat inside source static ? 
    2.  A.B.C.D  Inside local IP address 
    3.  tcp      Transmission ControlProtocol 
    4.   udp      User Datagram Protocol 
    5. R1(config)#ip nat inside source static192.168.1.1 ? 
    6.  A.B.C.D  Inside global IP address 
    7. R1(config)#ip nat inside source static192.168.1.1 12.1.1.11 
    8. R1(config)#ip nat inside source static192.168.1.2 12.1.1.12 
    9. R1(config)#end 
    10. R1# 
    11. %SYS-5-CONFIG_I: Configured from console byconsole 
    12.  
    13. R1#show ip nat tr 
    14. R1#show ip nat translations 
    15. Pro Inside global     Insidelocal       Outside local      Outside global 
    16. --- 12.1.1.11         192.168.1.1        ---                --- 
    17. --- 12.1.1.12         192.168.1.2    

    静态NAT特色:一对一的回应关系,可以由外界主动访问内部做地址转换

    b. 动态NAT

    着重地:剔除已成立之常态NAT

          
    1. R1#conf t 
    2. Enter configuration commands, one perline.  End with CNTL/Z. 
    3. R1(config)#no ip nat inside source static192.168.1.2 12.1.1.12 
    4. R1(config)#no ip nat inside source static192.168.1.1 12.1.1.11 
    5. R1(config)#end 
    6. R1# 
    7. %SYS-5-CONFIG_I: Configured from console byconsole 
    8. R1#show ip nat translations 

    其次地:匹配需要转换的数据包;

          
    1. R1(config)#access-list 1 permit 192.168.1.00.0.0.255 

    先后三地:定义转换成为之地点池;

          
    1. R1(config)#ip nat pool BB 12.1.1.1112.1.1.12 netmask 255.255.255.0 

    先后四地:沟通数据包和地点池;

          
    1. R1(config)#ip nat inside source list 1 poolBB 
    2. R1#show ip nat translations 
    3. Pro Inside global     Insidelocal       Outside local      Outside global 
    4. icmp 12.1.1.11:10      192.168.1.1:10     2.2.2.2:10         2.2.2.2:10 
    5. icmp 12.1.1.11:11      192.168.1.1:11     2.2.2.2:11         2.2.2.2:11 
    6. icmp 12.1.1.11:12      192.168.1.1:12     2.2.2.2:12         2.2.2.2:12 
    7. icmp 12.1.1.11:9       192.168.1.1:9      2.2.2.2:9          2.2.2.2:9 

    动态NAT特色:一对一的回应,由客户端触发NAT,决不能由外部主动访问客户端

    c. PAT 地点复用

          
    1. R1(config)#ip nat inside source list 1 poolBB overload 
    2. R1#show ip nat translations 
    3. Pro Inside global     Insidelocal       Outside local      Outside global 
    4. icmp 12.1.1.11:13      192.168.1.1:13     2.2.2.2:13         2.2.2.2:13 
    5. icmp 12.1.1.11:14      192.168.1.1:14     2.2.2.2:14         2.2.2.2:14 
    6. icmp 12.1.1.11:15      192.168.1.1:15     2.2.2.2:15         2.2.2.2:15 
    7. icmp 12.1.1.11:16      192.168.1.1:16     2.2.2.2:16         2.2.2.2:16 

    咱们以动态的NAT为例,检验从PC1只是可以ping交通Server

    穿过上图可以看到,PC1到Server之间是交通的。下我们挨个的看一下整个发包测试的流程:

    着重地:PC1投递,Src.IP=192.168.1.1, Dest.IP=2.2.2.2

    其次地:成像机转发,按照MAC地点转发

    先后三地:玉器R1的NAT转移,地点由原始的:Src.IP=192.168.1.1, Dest.IP=2.2.2.2,成为了 Src.IP=12.1.1.11, Dest.IP=2.2.2.2。其中192.168.1.1与12.1.1.11为NAT表面定义之常态地址转换协议。

    先后四地:玉器路由转发 Src.IP=12.1.1.11, Dest.IP=2.2.2.2

    先后五地:Server接受包,并回复确认,目的地址和源地址互换。Src.IP=2.2.2.2, Dest.IP=12.1.1.11。

    先后六地:玉器R2路由转发,Src.IP=2.2.2.2, Dest.IP=12.1.1.11

    先后七地:玉器R1地点转化,流程是第三地逆过程。

    先后八步:成像机转发,根据MAC地点

    先后九地:PC飞机接收确认,Src.IP=2.2.2.2, Dest.IP=192.168.1.1

    【编纂推荐】

    1. 向下一代互联网过渡:IPv6的期中考与成绩单
    2. 漫话:是时刻说说到底什么是IPv4和IPv6了
    3. 副这五个问题,来彻底了解IP地点的算计
    4. IPv6基础知识,一分钟了解下
    5. TCP与IP的对待,TCP的报文头介绍,TCP的三次握手和TCP的平安机制
    【义务编辑: 赵宁宁 TEL:(010)68476606】

    点赞 0
  • 网络地址转换协议  NAT  IP
  • 分享:
    大家都在看
    猜你喜欢
  • 订阅专栏+更多

    云架构师修炼手册

    云架构师修炼手册

    云架构师之必不可少技能
    共3章 | Allen在路上

    18人口订阅学习

    Devops的监控神器Prometheus

    Devops的监控神器Prometheus

    监督主流
    共22章 | 小罗ge11

    169人口订阅学习

    手把手玩转Elasticsearch

    手把手玩转Elasticsearch

    Chandler_珏瑜
    共20章 | Chandler_珏瑜

    80人口订阅学习

    视频课程+更多

    2020年软考网络工程师--下午案例分析历年真题视频培训课程

    2020年软考网络工程师--下午案例分析历年真题

    教授:小任先生247239人口学习过

    强哥带你精通zabbix监督

    强哥带你精通zabbix监督

    教授:周玉强23226人口学习过

    2019本版HCNP|HCIP-R&S|CCNP

    2019本版HCNP|HCIP-R&S|CCNP

    教授:郝旺10154人口学习过

    读 书 +更多

    网络工程师考试考前冲刺预测卷及考点解析

    该书依据最新版《网络工程师考试大纲》的考核要求,深入研究了历年网络工程师考试问题的课题风格和课题结构,对考试的知识点进行了提炼,并...

    订阅51CTO邮刊

    点击这里查看样刊

    订阅51CTO邮刊

    51CTO劳务号

    51CTO官微