【云计算 IT 基础知识】系列1 目录/汇总(持续更新)
5.3.9 NAT
概念
网络地址转换NAT(Network Address Translation)是一种将私有(保留)地址转化为合法IP地址的转换技术。NAT可以将多个私有地址转换为少量IP地址,从而解决lP地址不 足的问题,并能有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
几个和NAT相关的概念:
l 内部局部IP地址(Inside Local IP Address):在内部网络中分配给主机的私有IP地址。
l 内部全局IP地址(Inside Global IP Address):为一个合法的IP地址。它对外代表一 个或多个内部局部IP地址。
l 外部全局IP地址(Outside Global IP Address):在外部网络中,由其所有者给主机分配的IP地址(为私有地址)。
l 外部局部IP地址(Outside Local IP Address):外部主机表现在内部网络的IP地址。
特点
NAT主要有如下优点:
l 节省公有合法IP地址。
l 解决地址交叉问题。
l 增强灵活性。
l 增加安全性,隐藏内部网络的细节,避免来自外部网络的攻击。
而NAT的缺点主要有:
l 增大了延迟。
l 增加了配置和维护的复杂性。 l 不支持某些应用。
分类
NAT的类型有以下三种:
l 静态转换
将内部网络的私有IP地址转换为公有IP地址。IP地址对是一对一的,是一成不变 的。某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网 络对内部网络中某些特定设备(如服务器)的访问。
l 动态转换
将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定、随机的,所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。即只要指定哪 些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网 络内部的计算机数量时。可以采用动态转换的方式。
l 端口多路复用
改变外出数据包的源端口并进行端口转换。采用端口多路复用,内部网络的所有主机均可共享一个合法外部IP地址,实现对Internet的访问,从而最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自Internet的攻击。目前 网络中应用最多的就是端口多路复用方式。
原理
局域网内部的私有地址必须转换成公有地址才能访问Internet。NAT的基本工作原理为改变IP包头,用其他地址替换IP包头中的目的地址、源地址中的一个或两个。NAT的工作 原理示意图如图5-26所示。
地址说明如下:
l 路由器1在内部网络1的IP地址为192.168.1.0,路由器1在Internet的IP地址为 202.16.58.1。
l 路由器2在内部网络2的IP地址为192.168.10.0,路由器2在Internet的IP地址为 202.16.58.2。
l 对于主机1而言:
– 192.168.1.36为内部局部IP地址。
– 202.16.58.1为内部全局IP地址。
– 202.16.58.2为外部局部IP地址。
– 192.168.10.5为外部全局IP地址。
主机1访问主机A的流程简要说明如下:
1. 主机1向路由器1发送请求消息。消息中携带主机1的私有IP地址和MAC地址,以及 目的主机为192.168.10.0网络中的主机A的信息。
2. 路由器1收到请求消息后,将主机1的源IP地址转换成内部全局IP地址,为主机1分 配一个随机产生的端口号(用于识别不同的主机),并将该内部全局IP地址的请求 消息发送到Internet。
3. 路由器2收到经过Internet传输的请求消息,根据其中的目标主机信息,将该请求消 息发送给192.168.10.0网络中的主机A。
4. 主机A对消息进行处理,并将应答消息发送给路由器2。
5. 路由器2将主机A的私有IP地址转换成外部局部IP地址,并将该应答消息转发给路由 器1。
6. 路由器1收到该消息,查看自己缓存中对应的主机和端口,并向主机1进行转发。
------------------------------------------------------------