NAT个人学习总结.docx
- 文档编号:4728439
- 上传时间:2022-12-08
- 格式:DOCX
- 页数:9
- 大小:548.64KB
NAT个人学习总结.docx
《NAT个人学习总结.docx》由会员分享,可在线阅读,更多相关《NAT个人学习总结.docx(9页珍藏版)》请在冰豆网上搜索。
NAT个人学习总结
个人学习总结---NAT
1、NAT本原理
NAT即网络地址转换,最初是由RFC1631(目前已由RFC3022替代)定义,用于私有地址向公有地址的转换,以解决公有IP地址短缺的问题。
后来随着NAT技术的发展及应用的不断深入,NAT更被证明是一项非常有用的技术,可用于多种用途,如:
提供了单向隔离,具有很好的安全特性;可用于目标地址的映射,使公有地址可访问配置私有地址的服务器;另外还可用于服务器的负载均衡和地址复用等。
NAT分为源NAT和目的NAT。
源NAT是基于源地址的NAT,可细分为动态NAT、PAT和静态NAT。
动态NAT和PAT是一种单向的针对源地址的映射,主要用于内网访问外网,减少公有地址的数目,隐藏内部地址。
动态NAT指动态地将源地址转换映射到一个相对较小的地址池中,对于同一个源IP,不同的连接可能映射到地址池中不同的地址;PAT是指将所有源地址都映射到同一个地址上,通过端口的映射实现不同连接的区分,实现公网地址的共享。
静态NAT是一种一对一的双向地址映射,主要用于内部服务器向外提供服务的情况。
在这种情况下,内部服务器可以主动访问外部,外部也可以主动访问这台服务器,相当于在内、外网之间建立了一条双向通道。
基于目标地址的NAT,我们称为目的NAT,可分为目标地址映射、目标端口映射、服务器负载均衡等。
基于目标地址的NAT也称为反向NAT或地址映射。
目的NAT是一种单向的针对目标地址的映射,主要用于内部服务器向外部提供服务的情况,它与静态NAT的区别在于它是单向的。
外部可以主动访问内部,内部却不可以主动访问外部。
另外,可使用目的NAT实现负载均衡的功能,即可以将一个目标地址转换为多个内部服务器地址。
也可以通过端口的映射将不同的端口映射到不同的机器上。
另外,掌握NAT的基本原理之后,NAT不仅仅可用于公有地址和私有地址之间的转换,还可用于公有地址与公有地址之间、私有地址与私有地址之间的转换。
2、Nat功能
NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
1.宽带分享:
这是NAT主机的最大功能。
2.安全防护:
NAT之内的PC联机到Internet上面时,他所显示的IP是NAT主机的公共IP,所以Client端的PC当然就具有一定程度的安全了,外界在进行portscan(端口扫描)的时候,就侦测不到源Client端的PC。
3、Nat的分类
系统中把NAT的配置分为:
源地址转换(Source)、目的地址转换(Destination)及静态地址转换(Static)三种类型。
每条NAT规则都是和某个特定的接口关联的,需要注意的是,源地址转换是在离开接口时进行转换的,目的地址转换是在进入接口时进行转换的,所以配置源地址转换的时候必须和对应的出接口关联,而配置目的地址转换的时候需要和对应的入接口关联。
内网环境:
PC1----ge0/1口
外网环境:
PC2----ge0/7口
外部地址:
需要转换的外部地址:
101.1.1.101
内部地址:
需要转换的内部地址:
100.1.1.77
内部接口:
和内部网络连接的接口名ge0/1
外部接口:
和外部网络相连的接口名ge0/7
3.1源NAT:
源地址转换是一种单向的针对源地址的映射,主要用于内网访问外网,减少公有地址的数目,隐藏内部地址。
ips#showipnatsource
ipnatsourcege0/7yuanipmudianyinterfaceenablelog1
ips#
PC1和PC2进行通信,在内网主机PC1上显示,源IP为:
100.1.1.77,目的IP为101.1.1.101
报文的处理流程:
接口收包,交三层处理,然后对其查路由,找到下一跳出接口,在出接口检查是否做源地址转换。
如果要做源地址转换,查NAT表,检查nat表中是否有对应的转换条目,如果有,做转换;如果没有,从设置的全局地址中找要转换的地址,对源地址做转换。
转换后,重新封装报文,交下层处理,将报文从出接口转发。
在外网主机上面显示源IP为:
101.1.1.1,目的IP为101.1.1.101
内部客户机向外部网络发送一个请求时,本来源地址是100.1.1.77,而目标地址应该是101.1.1.101。
但经过源NAT的转换之后,源地址就变成了101.1.1.1,目标地址仍会是101.1.1.101。
反过来,外部网络会回应我们的请求,那么这时源地址将会是101.1.1.101,目标地址是101.1.1.1。
同样地,IPS会处理这一请求,变成了源地址是101.1.1.1,目标地址是101.1.1.101。
实际上,网络中数据的传输总是双向的,那么IPS会同时转换请求与应答设备的源地址,以达到路由目的。
3.2目的NAT
目的地址转换根据应用场不同,可以分为以下三种:
服务器地址、端口映射:
实现外网地址和内部地址的单向映射或同时实现转换端口;
服务器业务分流:
根据访问的业务不同,系统把目的地址转换为内部不同的服务器地址;
服务器负载分担:
把一个外部IP映射到内部的一个地址池中,即一到多的映射功能;
接口映射:
根据外网出接口的IP自动更改目的NAT规则,主要用于PPPoE等拨号上网获得动态IP的情况。
配置目的nat
ips#showipnatdestination
ipnatdestinationge0/1yuandanyfenablelog1
ips#
PC1和PC2进行通信,在内网主机PC1上显示,源IP为:
100.1.1.77,目的IP为100.1.1.1
报文的处理流程:
接口收包,在入接口检查是否做目的地址转换。
如果要做目的地址转换,查NAT表,检查nat表中是否有对应的转换条目,如果有,做转换;如果没有,从设置的全局地址中找要转换的地址,对目的地址做转换。
转换后,重新封装报文,交下层处理,将报文从出接口转发。
内部客户机向外部网络发送一个请求时,本来目的地址是100.1.1.77,而目标地址应该是100.1.1.1。
但经过目的NAT的转换之后,目的地址就变成了101.1.1.101,源地址仍会是100.1.1.77。
3.3静态NAT
静态地址转换是一对一的双向地址映射。
在这种情况下,被映射的内部主机可以主动访问外部,外部也可以主动访问这台内部主机,相当于在内、外网之间建立了一条双向通道。
外部地址:
需要转换的外部地址。
101.1.1.102
内部地址:
需要转换的内部地址。
100.1.1.77
外部接口:
和外部网络相连的接口名。
ge0/7
ips#showipnatstatic
ipnatstaticge0/7100.1.1.77101.1.1.102enablelog1
ips#
PC1和PC2进行通信,
在内网主机PC1上显示,源IP为:
100.1.1.77,目的IP为101.1.1.101
在外网主机PC2上抓包显示,源IP已经变为:
101.1.1.102。
4、NAT的意义
1,环境ip资源的紧缺
2,通过nat的使用,可以很好的隐藏内网的内部网络结构,避免来自外网的攻击,保护内网的安全。
3,当两个使用相同的私网网段的私网进行互通时,可以解决地址重叠的问题
4,当内网存在多个服务器时,可以将外网对服务器的访问映射到不同的服务器上面,这样可以达到负载分担的效果。
5、问题补充
5.1我们的设备端口映射在哪里配置
端口映射配置在目的NAT。
目标端口映射是目的NAT的一种。
基于目标地址的NAT也称为反向NAT或地址映射。
目的NAT是一种单向的针对目标地址的映射,主要用于内部服务器向外部提供服务的情况。
外部可以主动访问内部,内部却不可以主动访问外部。
另外,可使用目的NAT实现负载均衡的功能,即可以将一个目标地址转换为多个内部服务器地址。
也可以通过端口的映射将不同的端口映射到不同的机器上。
PC1(client)-------------------IPS-------------------PC2(server)
100.1.1.77100.1.1.1101.1.1.1101.1.1.101
在PC2创建httpserver,端口号设置成1234
配置目的地址转换,源ip为100.1.1.77目的ip为100.1.1.1转换之后的ip为101.1.1.101,转换后的端口配置成1234
在PC1上面的浏览器上面访问http:
//100.1.1.1:
4444
若目的NAT不配置端口转换是无法访问成功的
配置之后可访问成功
在PC1上面抓包,查看端口是原来的端口
经过IPS的目的地址转换,转换之后的端口号变成了1234
在server上面抓包观察报文如下;
5.2为什么源NAT不支持端口映射?
端口映射是基于目的NAT生效,转换端口之后才能正常访问server。
假如源NAT配置了端口映射,本身client的源端口号在访问server的时候是不关心的,所以源端口号转换不转换对server是没有任何意义的。
5.3Http和ftp在经过NAT时有没有区别?
如果有,区别在哪里?
FTP客户端的报文经过了路由器NAT之后,服务器端看到的报文的客户端的报文的IP源地址和端口都已经被改变了,当然对于控制连接来说这没有影响,因为有网关或者路由器的NAT模块在中间做管理,但是对于正要通过控制连接建立的数据连接就有问题了,因为NAT改变的仅仅是IP报文头,而对于因为报文中PORT命令中包含的地址和端口信息没有做任何改动,这样服务器是无法和一个内部地址建立连接的,所以这个时候就出现了ALG这个功能。
ALG就是在发现如果报文头做了NAT,在这个时候如果发现这个是一个FTP的连接的时候,就需要同时改变PORT命令中的地址和端口。
HTTP在经过NAT网关时只需要使用普通的NAT转换处理,但是对于FTP,由于FTP在应用层中携带了IP地址或端口等信息,因此需要ALG的帮助才能正常穿越NAT网关。
FTP协议PORT模式的FTP在经过NAT时需要ALG的处理,因此NAT网关需要关注用户的每一个FTP命令,并识别需要进行ALG处理的命令,进行相应的ALG处理
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- NAT 个人 学习 总结