NAT的基本原理与应用ppt课件.ppt

1、NAT原理与基本应用原理与基本应用0 NAT技术实现了私网与公网的互访，为私网提供了安全保障，也给公网带来了安全隐患。1学习指南学习指南 NAT相关的基本概念 重点理解NAT的入口和出口转换流程2参考资料参考资料 RFC 3022 Traditional IP Network Address Translator (Traditional NAT) RFC2993 Architectural Implications of NAT RFC 2663 IP Network Address Translator (NAT) Terminology and Considerations RFC 30

2、27 Protocol Complications with the IP Network Address Translator3 学习： NAT基本概念 NAT工作原理4第第2章章 NAT工作原理工作原理5NAT基本概念基本概念 NAT(Network Address Translator) 网络地址转换，即改变IP报文中的源或目的地址的一种处理方式； 使一个局域网中的多台主机使用少数的合法地址访问外部资源，也可以按照要求设定内部的WWW、FTP、TELNET的服务提供给外部网络使用； 有效的隐藏了内部局域网的主机IP地址，起到了安全保护的作用。6NAT基本概念基本概念 公有地址和私有地址

3、私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址： 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 7NAT基本概念基本概念 地址池 地址池是由一些外部地址（全球唯一的IP地址）组合而成的，我们称这样的一个地址集合为地址池。在内部网络的数据包通过地址转换达到外部网络时，将会选择地址池中的某个地址作为转换后的源地址，这样可以有效利用用户的外部地址，提高内部网络访

4、问外部网络的能力。8NAT基本概念基本概念 访问控制列表 访问列表是由ACCESS-LIST命令生成的，它依据IP数据包报头以及它承载的上层协议数据包头的格式定义了一定的规则，可以表示允许或者是禁止具有某些特征(包头数据可以描述的）的数据包，地址转换按照这样的规则判定哪些包是被允许转换或者是禁止转换，这样可以禁止一些内部的主机访问外部网络，提高一些网络的安全性问题。9NAT基本概念基本概念 转换关联 转换关联就是将一个地址池和一个访问列表关联起来，这种关联指定了“具有某些特征的IP报文”是使用“这样的地址池中的地址”，而另一些可能是使用另外一个地址池中的地址。在地址转换时，是根据这样的对应进行

5、地址转换的。当一个内部网络的数据包文发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换的关联找到于之相对应的地址池，我们就可以把源地址转换成这个地址池中的某一个地址，完成地址转换。 10NAT基本概念基本概念 内部服务器映射表 内部服务器映射表是由NAT SERVER命令配置的，允许用户依照自己的需要提供内部服务。在转换时，根据用户的配置查找外部数据包的目的地址，如果是访问内部的服务器，则转换成相应的内部服务器的目的地址和端口，达到访问内部服务器的目的。还原时对源地址进行查找，判断是否是从内部服务器出去的报文，如果是将源地址转换成相应的外部地址。11第第1章章 NAT基本概念

6、基本概念12NAT的基本工作原理的基本工作原理 NAT在系统中的位置IPTCP/UDPLink LayerNAT13NAT的基本工作原理的基本工作原理 透明的地址分配 静态的地址分配指一个特定的主机使用固定的地址访问外部的网络。 动态的地址分配是指NAT在一些地址中挑选一个地址，做为内部网络的主机访问外部网络的IP地址。无论是那种，地址的分配应该对用户来说是透明的。14NAT的基本工作原理的基本工作原理 NAT的基本工作方式： NAT一对一的地址转换 PAT多对一的地址转换 NPAT多对多的地址转换15NAT的基本工作原理的基本工作原理 NAT方式16NAT的基本工作原理的基本工作原理 NAT

7、方式 在出方向上转换IP报文头中的源IP地址，而不对端口进行转换。 在私有网络地址和外部网络地址之间建立一对一映射，实现比较简单 只转换IP报文头中的IP地址，所以适用于所有IP报文转换17NAT的基本工作原理的基本工作原理 PAT方式 PAT（Port Address Translation）方式的地址转换利用了TCP/UDP协议的端口号，进行地址转换。 PAT方式的地址转换是采用了“地址端口”的映射方式，因此可以使内部局域网的许多主机共享一个IP地址访问Internet。在私有网络地址和外部网络地址之间建立多对一映射。 不同的内部网地址，转换时采用相同的公网地址，并依靠不同的端口号来区分每

8、一个内部网主机。18NAT的基本工作原理的基本工作原理 NPAT方式 NPAT（Nat & Port Address Translation）方式的地址转换也是利用了TCP/UDP协议的端口号，进行地址转换。 私网地址和公网地址之间建立了多对多的映射关系。 NPAT方式也是采用“地址端口”的映射关系，因此可以使内部局域网的多个主机共享多个IP地址访问Internet。19NAT的基本工作原理的基本工作原理 内部服务器 内部服务器是一种反相的地址转换。 地址转换屏蔽了内部网络中的主机，而内部服务器可以提供外部网络访问内部网络的服务。可以配置WWW、FTP、Telnet等服务。 内部服务器映射表是

9、由NAT SERVER命令配置的，在转换时，根据用户的配置查找外部数据包的目的地址，如果是访问内部的服务器，则转换成相应的内部服务器的目的地址和端口，达到访问内部服务器的目的。还原时对源地址进行查找，判断是否是从内部服务器出去的报文，如果是将源地址转换成相应的外部地址。20NAT的基本工作原理的基本工作原理 内部服务器21NAT的基本工作原理的基本工作原理 利用ACL控制地址转换不能访问Internet可以使用地址转换访问Internet22NAT的基本工作原理的基本工作原理 DNS和内部服务器使用私网地址 由于内部www服务器和DNS服务器都在一个私网内，这样，当内部DNS进行为内部服务器进行域名到IP地址的转换时，会得到一个内部网的IP地址，然后DNS将这个内部地址返回给外部要访问的内部服务器的主机。而这个地址由于是私网地址，所以外部网访问不到。 NE16公网PCNATwww 服 务器DNS 服务器PC内部网23