目录
PAT端口多路复用(Network Address PortTranslatio
一、NAT工作原理
NAT介绍
NAT (Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访。
NAT工作原理
Network Address Translation,网络地址转换
- NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信
- NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发
NAT数据包从内网到外网时,会转换源IP地址,由私有网络转换成公有网络
源IP192.168.10.10 ------------ 经过路由器经过NAT转换-----------》源IP变为218.2.1.1
目标IP218.2.1.100 目标IP218.2.1.100
NAT数据包从外网到内网时,会转换目标IP地址,由公有地址变为私有地址
源IP 218.2.1.100-----------------经过路由器经过NAT转换-----------》 源IP地址218.2.1.100
目标IP 218.2.1.1 目标IP变为192.168.10.10
NAT的功能
NAT不仅能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的入侵,隐藏并保护网络内部的计算机。
1.宽带分享:这是NAT主机的最大功能。
2.安全防护:NAT之内的PC联机到Internet.上面时,他所显示的IP是NAT主机的公网IP,所以client端的PC就具有一定程度的安全了,外界在进行portscan(端口扫描)的时候,就侦测不到源client端的PC。
- 优点:节省公有合法IP地址、处理地址重叠、增强灵活性、安全性
- 缺点:延迟增大、配置和维护的复杂性、不支持某些应用(比如VPN)
二、NAT的实现方法
静态转换(Static NAT):
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。私有地址和公有地址的对应关系由管理员手工指定。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问,并使该设备在外部用户看来变得“不透明”。
动态转换(Dynamic NAT):
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址对并不是一一对应的,而是随机的。所有被管理员授权访问外网的私有IP地 址可随机转换为任何指定的公有IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。每个地址 的租用时间都有限制。这样,当ISP提供的合法IP地址略少于网络内部的计算机数量时,可以采用动态转换的方式。
端口多路复用(Port Address Translation,PAT):
通过使用端口多路复用,可以达到一个公网地址对应多个私有地址的一对多转换。在这种工作方式下,内部网络的所有主机均可共享一个合法外部IP地 址实现对Internet的访问,来自不同内部主机的流量用不同的随机端口进行标示,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有 主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
三、NAT中部分配置功能简述
ACL 访问控制列表(access list )
ACL 种类
- 基本acl (范围2000~2999) :只能匹配源IP地址
- 高级acl (范围3000~3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段
ACL配置注意事项
① 一个接口的同一个方向,只能调用一个acl
② 一个acl里面可以有多个rule 规则,从上往下依次执行
③ 数据包一旦被某rule匹配,就不再继续向下匹配
④ 用来做数据包访问控制时,默认隐含放过所有(华为设备)
ACL的两种作用
① 用来对数据包做访问控制(丢弃或放行)
② 结合其他协议,用来控制匹配范围
PAT端口多路复用(Network Address PortTranslation)
PAT作用:
- 改变数据包的ip地址和端口号
- 能够大量节约公网IP地址。
PAT类型
- 动态PAT:包括NAPT和EasyIP
- 静态PAT:包括NAT Server