第1页共6页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共6页NAT模块培训1.NAT技术实现:NAT(NetworkAddressTranslation,网络地址翻译)是一种将一个IP地址域映射到另一个IP地址域技术,目前广泛用于私有地址域与公用地址域的转换以解决IP地址匮乏问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。当访问Internet的报文经过NAT网关时,NAT网关会用一个合法的公网地址替换原报文中的源IP地址,并对这种转换进行记录;之后,当报文从Internet侧返回时,NAT网关查找原有的记录,将报文的目的地址再替换回原来的私网地址,并送回发出请求的主机。这样,在私网侧或公网侧设备看来,这个过程与普通的网络访问并没有任何的区别。NAT可以分为SNAT(SourceNAT,源网络地址翻译)和DNAT(DestinationNAT,目的网络地址翻译)两种类型,分别完成对向外的源地址和向内的目的地址的翻译,但是NAT的转化只是限于将IP数据报头中的IP地址转换为另一个IP地址的过程。NAT的基本原理是仅在私网主机需要访问Internet时才会分配到合法的公网地址,而在内部互联时则使用私网地址。2.1NAT实现方式2.1.1BasicNAT方式BasicNAT方式属于一对一的地址转换,在这种方式下只转换IP地址,而对TCP/UDP协议的端口号不处理,一个公网IP地址不能同时被多个用户使用。图1BasicNAT方式原理图如图1所示,BasicNAT方式的处理过程如下:(1)NAT设备收到私网侧主机发送的访问公网侧服务器的报文。(2)NAT设备从地址池中选取一个空闲的公网IP地址,建立与私网侧报文源IP地址间的NAT转换表项(正反向),并依据查找正向NAT表项的结果将报文转换后向公网侧发送。第2页共6页第1页共6页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共6页(3)NAT设备收到公网侧的回应报文后,根据其目的IP地址查找反向NAT表项,并依据查表结果将报文转换后向私网侧发送。说明:由于BasicNAT这种一对一的转换方式并未实现公网地址的复用,不能有效解决IP地址短缺的问题,因此在实际应用中并不常用。2.1.2NAPT方式由于BasicNAT方式并未实现地址复用,因此并不能解决公网地址短缺的问题,而NAPT方式则可以解决这个问题。NAPT方式属于多对一的地址转换,它通过使用“IP地址+端口号”的形式进行转换,使多个私网用户可共用一个公网IP地址访问外网,因此是地址转换实现的主要形式。图2NAPT方式原理图如图2所示,NAPT方式的处理过程如下:(1)NAT设备收到私网侧主机发送的访问公网侧服务器的报文。(2)NAT设备从地址池中选取一对空闲的“公网IP地址+端口号”,建立与私网侧报文“源IP地址+源端口号”间的NAPT转换表项(正反向),并依据查找正向NAPT表项的结果将报文转换后向公网侧发送。(3)NAT设备收到公网侧的回应报文后,根据其“目的IP地址+目的端口号”查找反向NAPT表项,并依据查表结果将报文转换后向私网侧发送。第3页共6页第2页共6页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共6页2.1.3NATServer方式出于安全考虑,大部分私网主机通常并不希望被公网用户访问。但在某些实际应用中,需要给公网用户提供一个访问私网服务器的机会。而在BasicNAT或NAPT方式下,由于由公网用户发起的访问无法动态建立NAT表项,因此公网用户无法访问私网主机。NATServer(NAT内部服务器)方式就可以解决这个问题——通过静态配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,NAT设备可以将公网地址“反向”转换成私网地址。图3NATServer方式原理图如图3所示,NATServer方式的处理过程如下:(1)在NAT设备上手工配置静态NAT转换表项(正反向)。(2)NAT设备收到公网侧主机发送的访问私网侧服务器的报文。(3)NAT设备根据公网侧报文的“目的IP地址+目的端口号”查找反向静态NAT表项,并依据查表结果将报文转换后向私网侧发送。(4)NAT设备收到私网侧的回应报文后,根据其“源IP地址+源端口号”查找正向静态NAT表项,并依据查表结果将报文转换后向公网侧发送。NAT还可以分为静态NAT和动态NAT:-静态NAT,将内部网络中的每个主机都永久映射成外部网络中的某个...
