[ 路丁前言 ] 一. NAT介绍 NAT(网络地址变换)是将专用型网络地址(如公司内网intranet)变换为公共详细地址(如互联网技术Internet)的一种技术性,它对外部掩藏了內部互联网的IP地址。
一. NAT介绍
一. NAT介绍 NAT(网络地址变换)是将专用型网络地址(如公司内网intranet)变换为公共详细地址(如互联网技术Internet)的一种技术性,它对外部掩藏了內部互联网的IP地址。根据在內部应用专用型IP地址,并将他们变换为一小部分外界网络地址,进而降低了IP地址申请注册的花费及其节约了现阶段愈来愈欠缺的IP地址。另外这也掩藏了內部网络拓扑结构,进而减少了內部互联网遭受进攻的风险性。 NAT作用一般被集成化到无线路由器、服务器防火墙、独立的NAT机器设备中,NAT机器设备(或手机软件)维护保养一个状态表,用于把內部互联网的专用型IP地址投射到外界网络地址上来。每一个数据文件在NAT机器设备(或手机软件)上都被转化成恰当的IP地址发向下一级。与一般无线路由器不一样的是,NAT机器设备是对报头开展改动,将內部互联网的源地址变成NAT机器设备自身的外界网络地址;而一般无线路由器仅在将数据信息包转发到到达站以前载入源地址和目地详细地址。
二. NAT变换表 1. 应用一个IP地址 2. 应用IP地址池 3. 另外应用IP地址和服务器端口三. NAT的地址转换方法 1. 静态地址变换 2. 动态性地址转换
二. NAT变换表 NAT应用一个变换表来纪录內部专用型详细地址和外界详细地址中间的投射。1. 应用一个IP地址 非常简单的方式是一个变换表仅有多列;专用型详细地址和外界详细地址。当这一无线路由器对出数据文件的源地址开展变换时,它也记录下来目地详细地址。当回应从这一目地详细地址回到时,无线路由器就应用这一数据文件的源地址(做为外界详细地址)来找到这一数据文件的专用型详细地址。这儿叙述的NAT体制规定通讯是由专用网进行的。下面的图得出了应用一个IP地址的状况。
图12-1 应用一个IP地址的NAT变换表
2. 应用IP地址池 应用一个IP地址的NAT,只容许一个专用网服务器联接一个外界服务器。要除掉这一限定,NAT无线路由器能够应用全世界详细地址池。比如,并不是仅应用一个全世界详细地址(200.24.5.8),NAT无线路由器能够应用4个详细地址(100.24.5.8、100.24.5.9、100.24.5.10、100.24.5.11)。在这类状况下,4个专用网服务器可另外连接到同一个外界服务器,由于每一对详细地址界定一条联接。可是,这类方式依然有一些缺陷。到同一个目地详细地址的联接不可以超出4条。没有一个专用网服务器能够另外浏览2个外界服务器程序。一样地,2个专用网服务器也不可以另外浏览同一个外界服务器程序。3. 另外应用IP地址和服务器端口 要容许在专用网服务器和外界服务器程序中间有多对多的关联,就必须在变换表格中有大量的信息内容。比如,假设在专用网内有两个服务器,详细地址为172.18.3.1和172.18.3.2,他们必须浏览服务器25.8.3.2上的HTTP网络服务器。假如变换表有5列而不是多列,即包含源服务器端口和目地服务器端口,及其网络层协议书,那麼这类二义性就消失了。下表得出了变换表的事例。
表12-1 另外应用IP地址和服务器端口
当从HTTP回到回应时,源地址(25.8.3.2)和目地服务器端口(1400)的组成界定了这一回应理应偏向专用网服务器。要使那样的变换可以一切正常的工作中,临时性服务器端口务必是惟一的。三. NAT的地址转换方法(动漫演试) 1. 静态地址变换 说白了静态地址变换就是指专用型详细地址和外界网络地址中间是静态数据一一投射的。这类变换一般用在內部在网上的服务器必须对外开放出示服务项目(如Web、E-mail服务项目等)的状况下。2. 动态性地址转换 在动态性地址转换的方法下,一组专用型详细地址与一个外界网络地址池中间创建起一种动态性的一一投射关联。这类地址转换方式下,內部服务器能够浏览外界互联网,外界服务器也可以对內部互联网开展浏览,但务必是以内网专用型IP地址与外界网络地址中间存有投射关联时才可以取得成功,而且这类投射关联是动态性的。
静态地址变换
各服务器开启工具区的"拓扑结构认证专用工具",挑选相对的网络架构,配备网口后,开展拓扑结构认证,假如根据拓扑结构认证,关掉专用工具再次开展试验,要是没有根据,请查验数据连接。 本训练将服务器A、B、C、D、E、F做为一组开展试验。 本训练中服务器B做为NAT网络服务器(服务器B的b1插口联接到Internet,b2插口联接到內部局域网络),服务器A、C、D做为Internet上的服务器,服务器E、F做为內部网络服务器。1. 服务器E起动试验服务平台菜单栏中的"UDP专用工具",做为UDP服务端来监视2828端口号。 服务器F起动试验服务平台菜单栏中的"UDP专用工具",做为UDP服务端来监视2929端口号。2. 为服务器B起动静态数据NAT服务项目,配备方式以下: (1)在服务器B上起动NAT服务项目("nat_config"); (2)服务器B在cmd下应用"nat_config "b1" full"指令将172.16.1.1插口设定为"公共插口联接到Internet"。 (3)服务器B在cmd下应用"nat_config "b2" private"指令将172.16.0.1插口设定为"专用型插口联接到专用型互联网"。 (4)服务器B在cmd下应用"nat_config "b1" addrpool 172.16.1.1 172.16.1.1 255.255.255.0"指令将详细地址池设定为从172.16.1.1到172.16.1.1(一个详细地址)。 (5)服务器B在cmd下应用"nat_config "b1" portmap udp 172.16.1.1 6000 172.16.0.2 2828"指令挑选投射UDP协议书,并加上一个新投射(从172.16.1.1:6000到172.16.0.2:2828)。 (6)服务器B在cmd下应用"nat_config "b1" portmap udp 172.16.1.1 6001 172.16.0.3 2929"指令挑选投射UDP协议书,并加上一个新投射(从172.16.1.1:6001到172.16.0.3:2929)。3. 服务器A、B、C、F起动协议书解析器刚开始捕捉数据信息并设定过虑标准(获取UDP协议书)。4. 服务器A起动"试验服务平台菜单栏中的UDP专用工具"并向服务器B(172.16.1.1)的6000端口号推送一条数据信息。 服务器C起动"试验服务平台菜单栏中的UDP专用工具"并向服务器B(172.16.1.1)的6001端口号推送一条数据信息。5. 服务器A、B、C、F终止捕捉数据信息,剖析捕捉到的数据信息。 ● 剖析服务器B捕捉到的数据信息,融合静态数据NAT的基本原理,试填好对话投射表:
表12-2 试验結果
● 融合本训练的結果,绘图第四步推送的UDP数据文件在互联网中的传送相对路径图。6. 服务器B在cmd下应用"recover_config"指令终止NAT服务项目。
动态性地址转换
本训练将服务器A、B、C、D、E、F做为一组开展试验。 本训练中服务器B做为NAT网络服务器(服务器B的b1插口联接到Internet,b2插口联接到內部局域网络),服务器A做为Internet上的网络服务器,服务器C、D做为Internet上的服务器,服务器E、F做为局域网络內部服务器。1. 服务器A起动试验服务平台菜单栏中的"UDP专用工具",做为UDP网络服务器来监视2828端口号。2. 在服务器B起动动态性NAT服务项目,配备方式以下: (1)在服务器B上重启NAT服务项目("nat_config")。 (2)服务器B在cmd下应用"nat_config "b1" full"指令将172.16.1.1插口设定为"公共插口联接到Internet"。 (3)服务器B在cmd下应用"nat_config "b2" private"指令将172.16.0.1插口设定为"专用型插口联接到专用型互联网"。 (4)服务器B在cmd下应用"nat_config "b1" addrpool 172.16.1.1 172.16.1.1 255.255.255.0"指令将详细地址池设定为从172.16.1.1到172.16.1.1。3. 服务器B、F起动协议书解析器刚开始捕捉数据信息,设定过虑标准(获取UDP协议书)。4. 服务器F起动试验服务平台菜单栏中的"UDP专用工具"并向服务器A(172.16.1.2)的2828端口号推送一条数据信息。5. 查看服务器B捕捉到的数据信息。 ● 剖析服务器B捕捉到的数据信息,融合动态性NAT的基本原理,试填好对话投射表:
表12-3 试验結果
6. 服务器C和服务器D各自ping服务器E(172.16.0.2)的IP地址,观查是不是ping通。7. 服务器B、F终止捕捉数据信息,剖析捕捉到的数据信息。 ● 融合试验結果,概述动态性NAT在网络信息安全上所具有的功效及其在对等通讯(在对等通信模型中,对等的彼此即能够做为手机客户端,还可以做为网络服务器来应用,他们根据立即将数据文件发给另一方开展通讯,彼此均能够积极创建联接)的危害。 ● 服务器B在cmd下应用"recover_config"指令终止NAT服务项目。
1. 概述NAT的关键功效。列举3个应用NAT的事例。2. 找到一种应用动态性NAT能够从外界互联网上的服务器进行通讯的方式。
评论