NAT技术在网络中的应用与实现
- 格式:doc
- 大小:1.67 MB
- 文档页数:17
下载文档原格式
合集下载
nat的工作过程
nat的工作过程NAT(Network Address Translation)是一种在计算机网络中常见的技术,它用于将私有IP地址转换成公共IP地址和端口号。
NAT被广泛应用于企业网络和家庭网络,以提供网络连接和安全保护。
下面将介绍NAT的工作过程以及在网络中的应用。
首先,NAT工作的基本原理是在传输数据包时修改源IP地址和端口号以及目的IP地址和端口号。
NAT设备可以是路由器、防火墙或专用的NAT网关。
当内部设备发送数据包时,NAT设备会检查源IP地址和端口号,并将其替换为公共IP地址和端口号。
然后,NAT设备将数据包转发到外部网络或互联网上的目的地址。
接收方在收到数据包时,会将其响应数据包发送到NAT设备提供的公共IP地址和端口号,然后NAT设备会将其转发到内部设备。
NAT的工作过程可以分为以下几个步骤:1.内部设备发送数据包:内部设备(例如,计算机、手机或打印机)发送数据包到目标IP地址。
2.NAT设备检查源IP地址和端口号:NAT设备检查数据包中的源IP地址和端口号,以确定其是否需要进行转换。
3. 替换源IP地址和端口号:如果数据包的源IP地址和端口号是私有IP地址和端口号,NAT设备将其替换为公共IP地址和端口号。
这样做的目的是为了保护内部网络的隐私,并在Internet上与其他设备通信时使用公共IP地址。
4.转发数据包:NAT设备将修改后的数据包转发到外部网络或互联网上的目的地址。
5.接收响应数据包:当外部网络或互联网上的接收方发送响应数据包时,它会将其发送到NAT设备的公共IP地址和端口号。
6.NAT设备替换目标IP地址和端口号:NAT设备检查响应数据包中的目标IP地址和端口号,并将其替换为内部设备的私有IP地址和端口号。
7.转发响应数据包:NAT设备将修改后的响应数据包转发到内部设备,最终达到内部设备与外部网络通信的目的。
除了基本的地址转换,NAT还可以实现端口转换(PAT,PortAddress Translation)。
NAT技术的原理与实现
NAT技术的原理与实现NAT(Network Address Translation,网络地址转换)是一种广泛应用于网络中的技术,它的作用是将内部网络的私有IP地址转换为公有IP地址,从而实现内部网络与公网的通信。
NAT技术的原理和实现主要涉及到以下几个方面:一、原理:1.私有地址空间:私有地址是指在互联网上不能直接路由的IP地址。
IPv4私有地址空间包括10.0.0.0/8、172.16.0.0/12和192.168.0.0/16三个范围。
NAT的用途就是将这些私有地址转换为可路由的公有地址。
2.IP地址转换:NAT技术通过在私有网络与公网之间建立网络地址转换设备,实现内网地址到公网地址的映射。
NAT设备通常具有两个网口,一个连接内部网络,一个连接外部网络。
3. 端口映射:除了实现地址转换外,NAT技术还可以实现端口映射(Port Mapping),这样可以将多个内部IP地址共享一个公网IP地址。
通过修改源IP和目的IP的组合,将来自不同内部IP地址和端口的数据包映射到公网上。
二、实现:2.动态NAT:动态NAT是指为内部网络中的主机动态分配公网IP地址。
当内部网络中的主机需要与外部网络通信时,NAT设备会从一个预定义的IP地址池中选择一个公网IP地址进行转换。
动态NAT可用于大规模内部网络中,更灵活地利用公网IP地址资源。
3.端口地址转换(PAT):端口地址转换是动态NAT的扩展,其基本原理是将内部网络主机的源端口号进行转换,实现多个内部主机共享一个公网IP地址。
当内部网络中的主机与外部网络通信时,NAT设备会为每个会话分配一个唯一的端口号,并将其与内部IP地址进行映射。
这样在公网上就可以同时存在多个会话并正常通信。
4.NAT穿透:在一些情况下,由于NAT设备的存在,会导致一些应用无法正常工作,这就需要通过NAT穿透技术来解决。
NAT穿透技术通过特殊的协议或中间设备来绕过NAT设备,实现内部主机与外部网络的直接通信,从而保证应用的正常运行。
总结 nat 技术原理及其在实际应用中的优缺点
总结nat技术原理及其在实际应用中的优缺点NAT(网络地址转换)技术原理是将私有IP地址转换为公有IP 地址,使得内部网络的设备可以通过NAT网关访问外部网络。
NAT网关根据端口号将内部网络的私有IP地址和端口号转换为外部网络的公有IP地址和端口号,实现内部网络与外部网络之间的通信。
在实际应用中,NAT技术的优点包括:
1.节省IP地址:NAT技术可以将多个内部网络的私有IP地址映射到一个公有IP地址,从而节省了IP地址的使用。
2.提高安全性:NAT技术隐藏了内部网络的真实IP地址,使得外部网络无法直接访问内部网络的设备,提高了网络的安全性。
3.方便远程访问:通过NAT技术,内部网络的设备可以使用外部网络的公有IP地址访问外部网络,无需进行手动配置,提高了远程访问的便利性。
然而,NAT技术也存在一些缺点:
1.延迟增加:由于NAT设备需要检查和修改数据包中的IP地址,因此会增加网络延迟和降低网络性能。
2.应用限制:某些应用程序需要直接访问计算机的IP地址,而NAT会隐藏计算机的真实IP地址,导致这些应用程序无法正常工作。
3.配置复杂度:NAT设备的配置相对复杂,需要专业人员进行操作,增加了网络管理的复杂度。
4.端口限制:NAT技术通常使用端口号进行转换,因此受到端口号的限制,可能无法满足大规模的网络通信需求。
综上所述,NAT技术在节省IP地址、提高安全性和方便远程访问等方面具有优势,但也存在增加延迟、应用限制、配置复杂度和端口限制等缺点。
在实际应用中,需要根据具体情况选择是否使用NAT 技术。
通过NAT技术实现校园网对Internet的访问
配置动态的NAPT实现校园网中计算机对Internet的访问
1.5 NAPT命令:
<Huawei>system-view Enter system view, return user view with Ctrl+Z. [Huawei]acl 2000 [Huawei-acl-basic-2000]rule permit source any [Huawei-acl-basic-2000]quit [Huawei]nat address-group 1 220.0.0.2 220.0.0.10 [Huawei]int s0/0/0 [Huawei-Serial0/0/0]nat outbound 2000 address-group 1
• 低温治疗: 临床上由于病情需要,常采用人工冬 眠或物理降温作为治疗措施
作业
配置静态的NAPT实现外网访问校园网中的服务器的访问
最终,我们单击客户机client2,在地址栏里面输入网址后,单击“获取”,如果能够显示 HTTP/1.1 200 OK字样,证明web服务器访问成功,如图所示。
THANKS
配置动态的NAPT实现校园网中计算机对Internet的访问
校园网边界路由器的配置命令如下: <Huawei>system-view Enter system view, return user view with Ctrl+Z. [Huawei]int s0/0/0 [Huawei-Serial0/0/0]ip add 220.0.0.1 255.255.255.0 [Huawei-Serial0/0/0]quit
1.1 实验拓扑: 打开上次任务保存文件base-p6-t3,另存为base-p7-t1,本次任务我们将通过在校园网边
NAT技术在校园网建设中的作用与实现方法
NAT技术在校园网建设中的作用与实现方法作者:薛若娟鹿文鹏来源:《中小学信息技术教育》2007年第01期对于中小学校的校园网,电信部门所能分配的真实IP地址极少。
IP地址资源匮乏已成为制约校园网发展的主要因素之一。
如何利用一个真实的IP地址,实现内部网络共享Internet连接,并将多台内部网络服务器对外发布,使用户在外部网络也可访问是在缺少IP地址的情况下亟待解决的问题。
经过实践,笔者在Windows Server 2003上利用NAT技术实现了上述功能。
本文将对NAT技术及其在校园网中的作用和实现方法做简单介绍。
一、NAT技术NAT(Network Address Translation,网络地址转换)是一种将一个IP地址映射到另一个IP地址的技术。
NAT包括静态网络地址转换、动态网络地址转换、静态网络地址及端口转换、动态网络地址及端口转换、端口映射等,常用于私有虚拟地址与真实地址的转换以解决IP 地址匮乏问题,并可为终端主机提供透明路由。
利用NAT技术的地址转换功能,可以使一个机构内的所有用户通过有限的数个(或一个)真实IP地址访问Internet,从而节省了Internet上的真实IP地址资源;另一方面,通过地址转换,可以隐藏内部网络上主机的真实IP地址,从而提高网络的安全性。
利用NAT技术的端口映射功能,可以实现内部网络服务器的对外发布。
NAT技术可将Internet用户对拥有真实地址的计算机的某端口的访问请求,转到内部网络中相应的计算机上,从而实现对内部计算机的访问。
二、NAT技术的作用及实现方法NAT技术在校园网主要有两方面的作用:一是实现Internet连接的共享;二是实现校园网内部服务器的对外发布。
下面以某校校园网建设为例分别说明其实现方法。
该校从当地电信部门申请到了一个真实IP地址,其Internet接入参数如下,IP地址:60.216.138.2,子网掩码:255.255.255.224,默认网关:60.216.138.1,DNS服务器:202.102.128.68。
NAT技术在网络中的应用与实现
NAT技术在网络中的应用与实现NAT(Network Address Translation)是一种网络技术,它在网络中的应用与实现有着广泛的应用。
一、应用场景1.IP地址转换:在一个局域网中使用私有IP地址,通过NAT技术将私有IP地址转换为公有IP地址,以实现与互联网的通信。
这使得使用私有IP地址的企业或组织可以在不需要大量公有IP地址的情况下连接到互联网。
2.隐私和安全:NAT技术可以隐藏内部网络的真正IP地址,使得外部网络无法直接访问内部网络中的设备。
这提高了内部网络的安全性,并减少了受到攻击的可能性。
3.负载均衡:NAT技术可以将外部网络的请求分发到内部网络中的多个服务器上,实现负载均衡。
这可以提高网络的性能和可靠性,避免单一服务器的过载或故障导致整个网络的中断。
4.IPv4向IPv6的过渡:NAT技术可以用作IPv4和IPv6之间的转换技术。
通过使用NAT64和DNS64技术,将IPv6地址转换为IPv4地址,以允许IPv6设备访问IPv4互联网。
二、实现方式1.静态NAT:静态NAT是一种一对一的映射关系,将内部网络中的私有IP地址映射到外部网络中的公有IP地址。
当外部网络收到来自公有IP地址的请求时,NAT会将请求转发给相应的私有IP地址。
2.动态NAT:动态NAT是一种一对多的映射关系,将内部网络中的私有IP地址映射到外部网络中的一个或多个公有IP地址。
当外部网络收到来自公有IP地址的请求时,NAT会根据预先设定的策略将请求转发给相应的私有IP地址。
3.PAT(端口地址转换):PAT是一种一对多的映射关系,通过映射不同的端口号,将多个内部网络中的私有IP地址映射到外部网络中的一个公有IP地址。
当外部网络收到来自公有IP地址和端口号的请求时,NAT会将请求转发给相应的私有IP地址和端口号。
4.NAT64和DNS64:NAT64和DNS64是用于IPv6和IPv4之间转换的技术。
当IPv6设备需要访问IPv4互联网时,它将发送一个特殊的DNS查询请求,该请求会被NAT64服务器捕获并解析。
nat的工作原理及应用
NAT的工作原理及应用1. NAT的基本概念网络地址转换(Network Address Translation,简称NAT)是一种在网络层上进行的地址转换技术,用于解决IPv4地址不足的问题。
NAT通过将内部网络的私有IP地址和外部网络的公有IP地址进行映射转换,使得内部网络可以通过一个公有IP地址访问外部网络。
2. NAT的工作原理NAT的工作原理可以归纳为三个主要步骤:步骤一:源地址转换(Source Address Translation)当内部网络中的主机向外部网络发送数据时,NAT会将数据包的源IP地址替换为公有IP地址。
这样,外部网络接收到数据包时,会将其回复发送给公有IP地址,然后NAT再将回复的数据包的目的IP地址转换为内部主机的私有IP地址。
步骤二:目的地址转换(Destination Address Translation)当外部网络中的主机向内部网络发送数据包时,NAT会将数据包的目的IP地址替换为内部主机的私有IP地址。
这样,数据包达到NAT后,它会将数据包的源IP地址转换为公有IP地址,并将数据包发送到内部网络中的目的主机。
步骤三:端口转换(Port Translation)NAT还可以进行端口转换,通过改变数据包中的端口号实现多个内部主机共享一个公有IP地址。
这是因为在一个IP地址下,端口号是唯一的,通过改变端口号,不同的数据包可以被正确路由到不同的内部主机。
3. NAT的应用场景场景一:家庭网络在家庭网络中,通常只有一个公有IP地址,但是家庭中有多台设备需要连接到外部网络。
NAT通过 IP地址转换和端口转换技术,使得多台设备能够共享一个公有IP地址访问外部网络。
这样,家庭网络中的设备可以通过NAT访问互联网,实现网络连通。
场景二:企业网络在企业网络中,NAT可以起到保护内部网络的作用。
通过将内部主机的私有IP地址转换为企业的公有IP地址,外部网络无法直接访问内部网络,从而提高了网络的安全性。
NAT技术的原理与实现
NAT技术的原理与实现网络地址转换(Network Address Translation,NAT)是一种常用的网络协议和技术,它允许多个设备共享一个公共IP地址。
NAT技术的原理和实现如下:一、NAT技术的原理:1.IP地址空间不足:IPv4协议中,IP地址空间有限而且几乎耗尽。
因此,为了解决IP地址短缺的问题,使用NAT技术将私有IP地址转换为公共IP地址,以便在有限的IPv4地址空间内提供互联网接入和通信。
2.私有IP地址范围:NAT技术使用了私有IP地址范围,其中包括10.0.0.0/8、172.16.0.0/12和192.168.0.0/16、这些私有IP地址可以被组织内部使用,但不能被直接路由到互联网上。
3.NAT表:NAT设备维护了一个NAT表,其中记录了私有IP地址和相应的公共IP地址的映射。
当内部设备向外部发送数据包时,NAT设备会将私有IP地址替换为公共IP地址,并在NAT表中记录该映射。
当外部数据包返回时,NAT设备会根据NAT表将数据包转发给相应的内部设备。
4.网络地址转换:NAT技术通过修改数据包的源IP地址和目的IP地址实现网络地址转换。
当内部设备发送数据包时,NAT设备会将源IP地址更改为公共IP地址,并将源端口号改为一个未使用的端口号。
当外部设备返回响应时,NAT设备根据端口号将数据包转发给相应的内部设备。
5.网络端口转换:NAT技术还可以实现网络端口转换,以支持多个设备同时使用相同的公共IP地址。
NAT设备将网络端口号从一个端口号映射到另一个端口号,以便多个设备可以与互联网进行通信。
二、NAT技术的实现:1.NAT设备:NAT功能通常由网络设备(如路由器、防火墙、交换机等)提供。
这些设备具有NAT功能,可以在私有网络和公共网络之间进行数据包转发和地址转换。
2.NAT配置:为了使用NAT技术,需要在NAT设备上进行相应的配置。
配置包括指定私有IP地址范围、定义NAT策略、配置NAT绑定、设置NAT表等。
NAT的基本原理与应用
安全性考虑
确保NAT只对必要的网络流量进行转换,避 免安全漏洞。
端口管理
合理规划和管理NAT端口池,避免端口冲突 和耗尽。
性能考虑
合理配置NAT规则,避免对网络性能产生过 大影响。
NAT配置的常见问题及解决方案
问题1
无法访问外部网络
解决方案
检查NAT规则是否正确配置,确保内 部网络设备使用的IP地址和端口号与 NAT规则匹配。
NAT的主要类型
1 2
静态NAT
将私有IP地址静态映射到公共IP地址,适用于固 定设备或服务器。
动态NAT
将多个私有IP地址映射到少量公共IP地址,适用 于大量设备共享少量公网IP的情况。
3
端口NAT
通过改变传输层端口号来实现地址转换,适用于 需要同时映射多个私有IP地址的情况。
NAT的工作原理
网络安全防护
• NAT技术可以提供一定的网络安全防护功能。通过 将内部私有IP地址转换为外部公有IP地址,NAT技术 可以隐藏内部网络结构,防止黑客攻击和入侵。同 时,NAT技术还可以实现流量过滤和访问控制,提 高网络安全性能。
03
NAT的配置与实现
NAT的配置步骤
确定NAT需求
明确需要使用NAT的场景和目的,例如 将私有IP地址转换为公共IP地址。
缓解IPv4地址不足的问题
随着互联网的普及和发展,IPv4地址资源逐渐耗尽,NAT技 术可以有效缓解IPv4地址不足的问题。通过将多个私有IP地 址映射到一个公有IP地址,NAT技术可以实现复用IP地址, 节省地址资源。
NAT技术可以帮助实现网络地址转换,将私有IPv4地址转换 为IPv6地址。随着IPv6的推广和应用,NAT技术可以帮助实 现IPv4到IPv6的过渡,促进网络的升级和发展。
确保NAT只对必要的网络流量进行转换,避 免安全漏洞。
端口管理
合理规划和管理NAT端口池,避免端口冲突 和耗尽。
性能考虑
合理配置NAT规则,避免对网络性能产生过 大影响。
NAT配置的常见问题及解决方案
问题1
无法访问外部网络
解决方案
检查NAT规则是否正确配置,确保内 部网络设备使用的IP地址和端口号与 NAT规则匹配。
NAT的主要类型
1 2
静态NAT
将私有IP地址静态映射到公共IP地址,适用于固 定设备或服务器。
动态NAT
将多个私有IP地址映射到少量公共IP地址,适用 于大量设备共享少量公网IP的情况。
3
端口NAT
通过改变传输层端口号来实现地址转换,适用于 需要同时映射多个私有IP地址的情况。
NAT的工作原理
网络安全防护
• NAT技术可以提供一定的网络安全防护功能。通过 将内部私有IP地址转换为外部公有IP地址,NAT技术 可以隐藏内部网络结构,防止黑客攻击和入侵。同 时,NAT技术还可以实现流量过滤和访问控制,提 高网络安全性能。
03
NAT的配置与实现
NAT的配置步骤
确定NAT需求
明确需要使用NAT的场景和目的,例如 将私有IP地址转换为公共IP地址。
缓解IPv4地址不足的问题
随着互联网的普及和发展,IPv4地址资源逐渐耗尽,NAT技 术可以有效缓解IPv4地址不足的问题。通过将多个私有IP地 址映射到一个公有IP地址,NAT技术可以实现复用IP地址, 节省地址资源。
NAT技术可以帮助实现网络地址转换,将私有IPv4地址转换 为IPv6地址。随着IPv6的推广和应用,NAT技术可以帮助实 现IPv4到IPv6的过渡,促进网络的升级和发展。
nat技术在局域网中的应用
nat技术在局域网中的应用
NAT技术原本是用来解决互联网的IP地址不足的问题,但在局域网中,也有大量的应用。
下面就来简要列举一下NAT技术在局域网中的应用:
一、访问控制
NAT技术的一大优势是可以控制网络中节点的访问。
可以通过在NAT
设备上定义访问控制规则来过滤未授权的访问请求,从而提高局域网
的安全性。
二、网络地址隐藏
NAT技术可以隐藏网络中后端节点的地址,使外界无法扫描局域网中
的节点,这有效地保护了网络中节点免受网络攻击。
三、IP地址翻译
NAT技术可以对网络中内部节点的IP地址进行翻译,大大减少了网络
中IP地址的数量,使内网IP地址的总量在较的的限制之内。
四、简化网络配置
NAT技术可以简化网络的配置,搭建起一个NAT设备和一台DNS服
务器,就可以在整个网络中实现网络配置,大大减轻了网络管理的工作。
五、改善网络质量
NAT技术可以实现网络节点的负载均衡和流量管理,有效地改善网络的性能,提高网络的稳定性和流畅性。
六、共享宽带
NAT技术可以实现共享宽带等多种网络服务,让用户在一条宽带上便可以使用多个设备同时访问因特网,节省用户的费用。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3.3
上面已经分析与设计出实例的配置方案,下面需要做的则是在模拟器上进行配置与运行,测试设计方案是否可行。
在路由器上的各端口的IP地址规划与NAT端口角色如下:
(1)F1/0是内部端口:10.0.1.100/24。
(2)F2/0是内部端口:10.0.0.200/24。
(3)F0/0是外部端口:202.100.100.1/24。
IPv6的提出,让人们看到的希望,最称为是最终解决方案。IPv6提供了丰富的地址空间(3.4*1038)[4],实际上是IPv4地址长度的4倍,IPv6的优点还有其安全性、扩展性和高可用性。可惜的是,直到现今,要用户终端上IPv6还没能普及,这迫使人们寻找更实际的、针对IPv4的技术。
NAT技术的使用,是我们至今在互联网上没有使用完合法IPv4地址的真实原因。NAT包括三种类型,分别是静态NAT、动态NAT和端口复用NAT(即PAT)。它主要思想是把本地的私有IP地址映射到公网的合法IP地址,以缓解可用IP地址空间的消耗。虽然,它没有像IPv6那种从根本上解决问题,但在IPv6没有得到普及的今天,成为了事实上广泛使用的解决方法。
图3-2 PAT转换示例
第三章
3.1
GNS3是一款优秀的开源的具有图形化界面的网络模拟软件,适用于多种操作系统。它可以用于运行Cisco的网络操作系统IOS,或者是检验将要在真实的路由器上部署实施的相关配置。同时它也可以仿真一个网络的性能。简单说来它是Dynamips的一个图形前端,而Dynamips则是直接运行IOS来模拟Cisco的路由器,通过利用本地网卡,可虚拟出多个虚拟网上来模拟PC等设备的网络连接。故本课程设计使用GNS 3来模拟一个NAT的应用实例,使用Cisco的3600系列路由器来进行NAT转换。实例在GNS 3软件中的网络拓扑图如图4-1所示,加上了适当的备注。
编号:_______________
商丘科技职业学院
毕业论文
题 目:NAT技术在网络中的应用与实现
系别计算机科学系
专业
学生姓名
成绩
指导教师
2011年 4月
摘要
随着互联网的普及,IP地址缺乏问题日益恶化,为了缓解问题,在IP地址分配和保留IP地址方面提出了许多办法,甚至提出新一代的IPv6技术从根本上解决地址空间问题。但由于多方面的原因,NAT成为了事实上广泛使用的解决方法,是我们至今在互联网上没有使用完合法IPv4地址的真实原因。它主要思想是把本地的私有IP地址映射到公网的合法IP地址,以缓解可用IP地址空间的消耗。本课程设计主要对NAT技术进行系统分析,并举出一个应用实例,在网络模拟器中将其具体实现,深入了解其工作原理与数据包每次被修改的情况,了解技术存在的缺点。
表3-1 NAT术语
名字
含义
内部本地
转换之前的内部源地址
外部本地
转换之前的目标地址
内部全局
转换之后的内部源地址
外部全局
转换之后的目标地址
2.3
下面通过例子说明NAT详细工作原理。如图3-1所示,主机10.1.1.1需要访问外部网络Internet中的服务器,它发送一个数据包到边界路由器,该数据包的源地址为10.1.1.1。NAT转换发生在边界路由器中,该路由器识别出此数据包中的源地址为内部本地IP地址,目标是外部网络,它便把内部本地地址转换为内部全局地址172.168.2.2,并把转换结果记录到NAT表中。这个数据包使用转换后的新的源地址被发送到路由器的外出接口,然后被送达服务器。当外部的服务器产生响应数据包并回送到路由器时,路由器再使用NAT转换表,把内部全局地址转换为内部本地地址,然后再修改数据包的目的IP地址,然后送回发出请求的源主机10.1.1.1。
在本规划中,路由器的出口F0/0必须配置成公网IP地址,原因是,内部地址在路由器中被转换成公网IP地址,而外部的服务器与主机根本不知道这一过程,它们只知道与自己通信的源IP地址为202.100.100.1/24和202.100.100.2/24,若不在F0/0上配置两个公网IP地址,外部服务器和外部主机所发的数据包无法到达路由器,也就无法达到实例的通信目标。
其他技术可以针对IP地址和子网掩码来提供解决方案。如可以使用可变长子网掩码(VLSM)技术,更好地利用IP地址中的每一个二进位,划分出包含更少主机位的子网络,高效分配IP地址(较少浪费),比有类IP地址提供了更多的灵活性。无类域间路由(CIDR)伴随着VLSM而使用,将从VLSM产生的无类的IP地址集中起来,汇聚为一个代表较大范围的单一路由表项,减少了路由器中路由表的条目,从而减轻路由器的负担。CIDR可看作子网划分的逆过程。子网划分时,从主机号部分借位,将其合并进网络部分;而在CIDR的超网中,则是将网络号部分的某些位合并进主机号部分。
关键词:IP地址分配保留IP地址NAT
绪 论
随着互联网的普及,接入网络的计算机数量增长非常迅速,目前使用的IPv4地址空间有限,可用的公网合法IP非常短缺。人们为了缓解日益恶化的地址缺乏问题,在IP地址的分配和保留IP地址方面采取了许多办法。现存的解决办法包括ISP方面对公网地址的动态分配与回收、使用DHCP动态分配与回收、可变长子网掩码(VLSM)[1]技术、无类域间路由(CIDR)技术,甚至提出新一代的IPv6[3]技术从根本上解决地址空间问题,但由于多方面的原因,IPv6到目前还没有得到普及,而网络地址转换(NAT)[2]技术的使用,是我们至今在互联网上没有使用完合法IPv4地址的真实原因。它主要思想是把本地的私有IP地址映射到公网的合法IP地址,以缓解可用IP地址空间的消耗。虽然,它没有像IPv6那种从根本上解决问题,但在IPv6没有得到普及的今天,成为了事实上广泛使用的解决方法。
图3-1基本的NAT转换示例
而在PAT转换中,情况有些复杂,因为使用到了端口号,而所谓复用,是全部的内部主机被转换成一个单独的IP地址。如图3-2所示,边界路由器同样把内部本地地址转换为内部全局地址,所不同的是每个转换都带上了端口号。端口号作用于传输层,加上端口号便可帮助路由器识别哪一台主机接收返回的流量。内部主机10.1.1.1请求外部服务器63.40.7.3的资源,发送的请求数据包在路由器处被修改,转换成一个公网IP与随机端口号的组合,并纪录在NAT转换表中。当外部服务器返回响应数据包到路由器时,虽然内部全局IP地址都相同,但可以根据所分配的端口号来识别源主机,从而把返回的流量送往请求服务的源内部主机。静态与动态NAT都是使用IP地址识别源主机,由于PAT允许使用传输层的端口号来识别主机,便可以更加节省公网的合法IP地址。
图4-1实例网络拓扑图
本实例中内网中在主机pc1、pc2和内部Web服务器,需要达到的目标是pc1和pc2需要通过Internet访问外部Web服务器,而外部主机则需要访问内网中的内部Web服务器。而现有的ISP分配的可用地址只有两个:202.100.100.1/24和202.100.100.2/24。
首先进行静态NAT的相关配置。在模拟器中登入路由器的控制台,可进行所有功能配置。第一步对内部端口F2/0进行相关的配置如图4-2所示:
图4-2端口F2/0的配置
第二步在全局配置模式下建立静态NAT的映射,如图4-3所示:
图4-3建立静态NAT映射
第三步便要对外部端口F0/0进行相关的配置,如图4-4所示:
2.2
在NAT转换之前的地址叫做本地地址。因此,内部本地地址实际上是指尝试连接到Internet的主机的私有IP地址,而外部本地地址则是目标主机的地址。目标主机通常是服务器或网页的公网IP地址。在NAT转换之后使用的地址叫做全局地址。它们通常是使用公网合法IP地址,但如果不需要连接Internet,则不一定需要公网IP地址了。在转换之后,内部本地地址变成了内部全局地址。表3-1列出了这些术语的清晰含义:
图4-4端口F0/0的配置
然后进行PAT的配置。第一步先对内部端口F1/0进行相关的配置如图4-5所示:
图4-5端口F1/0的配置
第二步全局配置模式下建立PAT的映射,这与建立静态NAT的映射不一样,需要建立一个访问控制列表(ACL)、一个地址池(尽管只有一个IP地址),并把两者联系起来,如图4-6所示:
1.1
众所周知,在电话通信中,电话用户是靠电话号码来识别的。同样,在网络中为了区别不同的计算机,也需要给计算机指定一个号码,这个号码就是“IP地址”。随着互联网的普及,一个明显的事实是:连接到网络中的人员和设备数量每时每刻都在增加。理论上说,IPv4的可用地址只有大约232个,实际上只有大约2亿5千万个地址能够给设备使用。大量的报告显示,在地球上大约有65亿人,超过10%的人连接到了Internet。这些统计数据让我们注意到一个令人担忧的现实情况:按照IPv4的容量,地球上的每个人甚至不能拥有一台计算机,IPv4正在面临着地址枯竭的危机。
第二章
NAT,全称网络地址转换,分为三种类型:静态NAT、动态NAT和端口复用NAT(称PAT)[5]。
静态NAT,是为了在私有IP地址和公网的合法IP地址之间允许一对一映射而设计的。这种类型需要网络中的每台主机都拥有一个真实的Internet IP地址,适合内网中的服务器使用,因为服务器要向外部网络提供网络服务,IP地址不能总是动态地改变。
针对这个问题,人们在IP地址的分配和保留IP地址方面做了许多工作和努力,来缓解日益恶化的地址缺乏问题。
1.2
最常见动态解决的方法是,当合法用户需要接入Internet中时,ISP为他分配一个可用的IP地址,使他可以访问网络,当用户断开连接后,之前分配的IP地址,再由ISP收回,留待其他用户接入时,再把之前的IP地址分配给其他用户。另一个常见的动态解决方法是,通过DHCP服务器动态地为需要使用网络服务的主机提供自动的TCP/IP配置,在使用完后便把IP地址回收到地址池中,为其他需要的主机提供分配。
图4-6建立PAT映射
第三步便要再一次对外部端口F0/0进行相关的配置,但上面静态NAT转换中已经做了,所以可以省略。
上面已经分析与设计出实例的配置方案,下面需要做的则是在模拟器上进行配置与运行,测试设计方案是否可行。
在路由器上的各端口的IP地址规划与NAT端口角色如下:
(1)F1/0是内部端口:10.0.1.100/24。
(2)F2/0是内部端口:10.0.0.200/24。
(3)F0/0是外部端口:202.100.100.1/24。
IPv6的提出,让人们看到的希望,最称为是最终解决方案。IPv6提供了丰富的地址空间(3.4*1038)[4],实际上是IPv4地址长度的4倍,IPv6的优点还有其安全性、扩展性和高可用性。可惜的是,直到现今,要用户终端上IPv6还没能普及,这迫使人们寻找更实际的、针对IPv4的技术。
NAT技术的使用,是我们至今在互联网上没有使用完合法IPv4地址的真实原因。NAT包括三种类型,分别是静态NAT、动态NAT和端口复用NAT(即PAT)。它主要思想是把本地的私有IP地址映射到公网的合法IP地址,以缓解可用IP地址空间的消耗。虽然,它没有像IPv6那种从根本上解决问题,但在IPv6没有得到普及的今天,成为了事实上广泛使用的解决方法。
图3-2 PAT转换示例
第三章
3.1
GNS3是一款优秀的开源的具有图形化界面的网络模拟软件,适用于多种操作系统。它可以用于运行Cisco的网络操作系统IOS,或者是检验将要在真实的路由器上部署实施的相关配置。同时它也可以仿真一个网络的性能。简单说来它是Dynamips的一个图形前端,而Dynamips则是直接运行IOS来模拟Cisco的路由器,通过利用本地网卡,可虚拟出多个虚拟网上来模拟PC等设备的网络连接。故本课程设计使用GNS 3来模拟一个NAT的应用实例,使用Cisco的3600系列路由器来进行NAT转换。实例在GNS 3软件中的网络拓扑图如图4-1所示,加上了适当的备注。
编号:_______________
商丘科技职业学院
毕业论文
题 目:NAT技术在网络中的应用与实现
系别计算机科学系
专业
学生姓名
成绩
指导教师
2011年 4月
摘要
随着互联网的普及,IP地址缺乏问题日益恶化,为了缓解问题,在IP地址分配和保留IP地址方面提出了许多办法,甚至提出新一代的IPv6技术从根本上解决地址空间问题。但由于多方面的原因,NAT成为了事实上广泛使用的解决方法,是我们至今在互联网上没有使用完合法IPv4地址的真实原因。它主要思想是把本地的私有IP地址映射到公网的合法IP地址,以缓解可用IP地址空间的消耗。本课程设计主要对NAT技术进行系统分析,并举出一个应用实例,在网络模拟器中将其具体实现,深入了解其工作原理与数据包每次被修改的情况,了解技术存在的缺点。
表3-1 NAT术语
名字
含义
内部本地
转换之前的内部源地址
外部本地
转换之前的目标地址
内部全局
转换之后的内部源地址
外部全局
转换之后的目标地址
2.3
下面通过例子说明NAT详细工作原理。如图3-1所示,主机10.1.1.1需要访问外部网络Internet中的服务器,它发送一个数据包到边界路由器,该数据包的源地址为10.1.1.1。NAT转换发生在边界路由器中,该路由器识别出此数据包中的源地址为内部本地IP地址,目标是外部网络,它便把内部本地地址转换为内部全局地址172.168.2.2,并把转换结果记录到NAT表中。这个数据包使用转换后的新的源地址被发送到路由器的外出接口,然后被送达服务器。当外部的服务器产生响应数据包并回送到路由器时,路由器再使用NAT转换表,把内部全局地址转换为内部本地地址,然后再修改数据包的目的IP地址,然后送回发出请求的源主机10.1.1.1。
在本规划中,路由器的出口F0/0必须配置成公网IP地址,原因是,内部地址在路由器中被转换成公网IP地址,而外部的服务器与主机根本不知道这一过程,它们只知道与自己通信的源IP地址为202.100.100.1/24和202.100.100.2/24,若不在F0/0上配置两个公网IP地址,外部服务器和外部主机所发的数据包无法到达路由器,也就无法达到实例的通信目标。
其他技术可以针对IP地址和子网掩码来提供解决方案。如可以使用可变长子网掩码(VLSM)技术,更好地利用IP地址中的每一个二进位,划分出包含更少主机位的子网络,高效分配IP地址(较少浪费),比有类IP地址提供了更多的灵活性。无类域间路由(CIDR)伴随着VLSM而使用,将从VLSM产生的无类的IP地址集中起来,汇聚为一个代表较大范围的单一路由表项,减少了路由器中路由表的条目,从而减轻路由器的负担。CIDR可看作子网划分的逆过程。子网划分时,从主机号部分借位,将其合并进网络部分;而在CIDR的超网中,则是将网络号部分的某些位合并进主机号部分。
关键词:IP地址分配保留IP地址NAT
绪 论
随着互联网的普及,接入网络的计算机数量增长非常迅速,目前使用的IPv4地址空间有限,可用的公网合法IP非常短缺。人们为了缓解日益恶化的地址缺乏问题,在IP地址的分配和保留IP地址方面采取了许多办法。现存的解决办法包括ISP方面对公网地址的动态分配与回收、使用DHCP动态分配与回收、可变长子网掩码(VLSM)[1]技术、无类域间路由(CIDR)技术,甚至提出新一代的IPv6[3]技术从根本上解决地址空间问题,但由于多方面的原因,IPv6到目前还没有得到普及,而网络地址转换(NAT)[2]技术的使用,是我们至今在互联网上没有使用完合法IPv4地址的真实原因。它主要思想是把本地的私有IP地址映射到公网的合法IP地址,以缓解可用IP地址空间的消耗。虽然,它没有像IPv6那种从根本上解决问题,但在IPv6没有得到普及的今天,成为了事实上广泛使用的解决方法。
图3-1基本的NAT转换示例
而在PAT转换中,情况有些复杂,因为使用到了端口号,而所谓复用,是全部的内部主机被转换成一个单独的IP地址。如图3-2所示,边界路由器同样把内部本地地址转换为内部全局地址,所不同的是每个转换都带上了端口号。端口号作用于传输层,加上端口号便可帮助路由器识别哪一台主机接收返回的流量。内部主机10.1.1.1请求外部服务器63.40.7.3的资源,发送的请求数据包在路由器处被修改,转换成一个公网IP与随机端口号的组合,并纪录在NAT转换表中。当外部服务器返回响应数据包到路由器时,虽然内部全局IP地址都相同,但可以根据所分配的端口号来识别源主机,从而把返回的流量送往请求服务的源内部主机。静态与动态NAT都是使用IP地址识别源主机,由于PAT允许使用传输层的端口号来识别主机,便可以更加节省公网的合法IP地址。
图4-1实例网络拓扑图
本实例中内网中在主机pc1、pc2和内部Web服务器,需要达到的目标是pc1和pc2需要通过Internet访问外部Web服务器,而外部主机则需要访问内网中的内部Web服务器。而现有的ISP分配的可用地址只有两个:202.100.100.1/24和202.100.100.2/24。
首先进行静态NAT的相关配置。在模拟器中登入路由器的控制台,可进行所有功能配置。第一步对内部端口F2/0进行相关的配置如图4-2所示:
图4-2端口F2/0的配置
第二步在全局配置模式下建立静态NAT的映射,如图4-3所示:
图4-3建立静态NAT映射
第三步便要对外部端口F0/0进行相关的配置,如图4-4所示:
2.2
在NAT转换之前的地址叫做本地地址。因此,内部本地地址实际上是指尝试连接到Internet的主机的私有IP地址,而外部本地地址则是目标主机的地址。目标主机通常是服务器或网页的公网IP地址。在NAT转换之后使用的地址叫做全局地址。它们通常是使用公网合法IP地址,但如果不需要连接Internet,则不一定需要公网IP地址了。在转换之后,内部本地地址变成了内部全局地址。表3-1列出了这些术语的清晰含义:
图4-4端口F0/0的配置
然后进行PAT的配置。第一步先对内部端口F1/0进行相关的配置如图4-5所示:
图4-5端口F1/0的配置
第二步全局配置模式下建立PAT的映射,这与建立静态NAT的映射不一样,需要建立一个访问控制列表(ACL)、一个地址池(尽管只有一个IP地址),并把两者联系起来,如图4-6所示:
1.1
众所周知,在电话通信中,电话用户是靠电话号码来识别的。同样,在网络中为了区别不同的计算机,也需要给计算机指定一个号码,这个号码就是“IP地址”。随着互联网的普及,一个明显的事实是:连接到网络中的人员和设备数量每时每刻都在增加。理论上说,IPv4的可用地址只有大约232个,实际上只有大约2亿5千万个地址能够给设备使用。大量的报告显示,在地球上大约有65亿人,超过10%的人连接到了Internet。这些统计数据让我们注意到一个令人担忧的现实情况:按照IPv4的容量,地球上的每个人甚至不能拥有一台计算机,IPv4正在面临着地址枯竭的危机。
第二章
NAT,全称网络地址转换,分为三种类型:静态NAT、动态NAT和端口复用NAT(称PAT)[5]。
静态NAT,是为了在私有IP地址和公网的合法IP地址之间允许一对一映射而设计的。这种类型需要网络中的每台主机都拥有一个真实的Internet IP地址,适合内网中的服务器使用,因为服务器要向外部网络提供网络服务,IP地址不能总是动态地改变。
针对这个问题,人们在IP地址的分配和保留IP地址方面做了许多工作和努力,来缓解日益恶化的地址缺乏问题。
1.2
最常见动态解决的方法是,当合法用户需要接入Internet中时,ISP为他分配一个可用的IP地址,使他可以访问网络,当用户断开连接后,之前分配的IP地址,再由ISP收回,留待其他用户接入时,再把之前的IP地址分配给其他用户。另一个常见的动态解决方法是,通过DHCP服务器动态地为需要使用网络服务的主机提供自动的TCP/IP配置,在使用完后便把IP地址回收到地址池中,为其他需要的主机提供分配。
图4-6建立PAT映射
第三步便要再一次对外部端口F0/0进行相关的配置,但上面静态NAT转换中已经做了,所以可以省略。