NAT(Network Address Translation探花 porn,网罗地址休养)是将IP数据报文头中的IP地址休养为另一个IP地址的经由。在内容应用中,NAT主要用于已矣独有网罗看望世界网罗的功能。这种通过使用少许的公网IP地址代表较多的私网IP地址的状貌,将有助于减缓可用IP地址空间的清寒。
图1描述了一个基本的NAT应用。
图1 地址休养的基本经由
(1) 内网用户主机(192.168.1.3)向外网行状器(1.1.1.2)发送的IP报文通过NAT开导。
(2) NAT开导寻查报头内容,发现该报文是发往外网的,将其源IP地址字段的私网地址192.168.1.3休养成一个可在Internet上选路的公网地址20.1.1.1,并将该报文发送给外网行状器,同期在NAT开导的网罗地址休养表中记载这一映射。
(3) 外网行状器给内网用户发送的搪塞报文(其入手标的IP地址为20.1.1.1)到达NAT开导后,NAT开导再次寻查报头内容,然后查找刻下网罗地址休养表的记载,用内网独有地址192.168.1.3替换入手的标的IP地址。
上述的NAT经由对结尾(如图中的Host和Server)来说是透明的。对外网行状器而言,它合计内网用户主机的IP地址等于20.1.1.1,并不知说念有192.168.1.3这个地址。因此,NAT“瞒哄”了企业的独有网罗。
地址休养的优点在于,在为里面网罗主机提供了“秘籍”保护的前提下,已矣了里面网罗的主机通过该功能看望外部网罗的资源。但它也有一些污点:
肛交l 由于需要对数据报文进行IP地址的休养,触及IP地址的数据报报文的报头弗成被加密。在应用公约中,如果报文中有地址或端口需要休养,则报文弗成被加密。举例,弗成使用加密的FTP蚁合,不然FTP公约的port号令弗成被正确休养。
l 网罗调试变得愈加波折。比如,某一台里面网罗的主机试图挫折其它网罗,则很难指出究竟哪一台主机是坏心的,因为主机的IP地址被屏蔽了。
地址休养截至在内容应用中,咱们可能但愿某些里面网罗的主机不错看望外部网罗,而某些主机不允许看望,即当NAT开导寻查IP数据报文的报头内容时,如果发现源IP地址属于不容看望外部网罗的里面主机,它将不进行地址休养。另外,也但愿唯一指定的公网地址才可用于地址休养。
开导不错愚弄ACL(Access Control Limit,看望截至列表)和地址池来对地址休养进行截至。
l 看望截至列表不错灵验地截至地址休养的使用范畴,唯一中意看望截至列表规则的数据报文才不错进行地址休养。
l 地址池是用于地址休养的一些一语气的公网IP地址的逼近,它不错灵验地截至公网地址的使用。用户可凭证我方领有的正当IP地址数量、里面网罗主机数量以及内容应用情况,界说稳妥的地址池。在地址休养的经由中,NAT开导将会从地址池中挑选一个IP地址作念为数据报文休养后的源IP地址。
NAT已矣基腹地址休养从的地址休养经由可见探花 porn,当里面网罗看望外部网罗时,地址休养将会选定一个稳妥的外部地址,来替代里面网罗数据报文的源地址。在图1中是选定NAT开导出接口的IP地址(公网IP地址)。这么总共里面网罗的主机看望外部网罗时,只可领有一个外部网罗的IP地址,因此,这种情况同期只允许最多有一台里面网罗主机看望外部网罗。
当里面网罗的多台主机并发的条款看望外部网罗时,NAT也可已矣对并发性苦求的反应,允许NAT开导领有多个公有IP地址。当第一个内网主机看望外网时,NAT选定一个公有地址IP1,在地址休养表中添加记载并发送数据报;当另一内网主机看望外网时,NAT选定另一个公有地址IP2,依此类推,从而中意了多台内网主机看望外网的苦求。
NAPT
NAPT(Network Address Port Translation,网罗地址端口休养)是基腹地址休养的一种变形,它允很多个里面地址映射到褪色个公有地址上,也可称之为“多对一地址休养”。
NAPT同期映射IP地址和端标语:来自不同里面地址的数据报文的源地址不错映射到褪色外部地址,但它们的端标语被休养为该地址的不同端标语,因而仍然大略分享褪色地址,也等于“私网IP地址+端标语”与“公网IP地址+端标语”之间的休养。
图2 NAPT基喜悦趣暗意图
如图2所示,三个带有里面地址的数据报文到达NAT开导,其中报文1和报文2来自褪色个里面地址但有不同的源端标语,报文1和报文3来自不同的里面地址但具有交流的源端标语。通过NAPT映射,四个数据报的源IP地址王人被休养到褪色个外部地址,但每个数据报王人被赋予了不同的源端标语,因而仍保留了报文之间的分散。当各报文的酬报报文到达时,NAT开导仍大略凭证酬报报文的标的IP地址和标的端标语来分散该报文应转发到的里面主机。
收受NAPT不错愈加充分地愚弄IP地址资源,已矣更多里面网罗主机对外部网罗的同期看望。
当今,NAPT复古两种不同的地址休养方式:
l Endpoint-Independent Mapping(不慈祥对端地址和端口休养方式)
该方式下,NAT开导通过成立三元组(源地址、源端标语、公约类型)表项来进行地址分拨和报讳疾忌医滤。即,只若是来自交流源地址和源端标语的报文,不管其标的地址是否交流,通过NAPT映射后,其源地址和源端标语王人被休养为褪色个外部地址和端标语,何况NAT开导允许外部网罗的主机通过该休养后的地址和端口来看望这些里面网罗的主机。这种方式不错很好得复古位于不同NAT开导之后的主机间进行互访。
l Address and Port-Dependent Mapping(慈祥对端地址和端口休养方式)
该方式下,NAT开导通过成立五元组(源地址、源端标语、公约类型、标的地址、标的端标语)表项为依据进行地址分拨和报讳疾忌医滤。即,关于来自交流源地址和源端标语的报文,若其标的地址和标的端标语不同,通过NAPT映射后,交流的源地址和源端标语将被休养为不同的外部地址和端标语,何况NAT开导只允许这些标的地址对应的外部网罗的主机才不错通过该休养后的地址和端口来看望这些里面网罗的主机。这种方式安全性好,然则未便于位于不同NAT开导之后的主机间进行互访。
里面行状器NAT瞒哄了里面网罗的结构,具有“屏蔽”里面主机的作用,然则在内容应用中,可能需要给外部网罗提供一个看望内网主机的契机,如给外部网罗提供一台Web行状器,或是一台FTP行状器。
NAT开导提供的里面行状器功能,等于通过静态树立“公网IP地址+端标语”与“私网IP地址+端标语”间的映射相关,已矣公网IP地址到私网IP地址的“反向”休养。举例,不错将20.1.1.1:8080树立为内网某Web行状器的外部网罗地址和端标语供外部网罗看望。
如图3所示,外部网罗用户看望里面网罗行状器的数据报文经过NAT开导时,NAT开导凭证报文的标的地址查找地址休养表项,将看望里面行状器的苦求报文的标的IP地址和端标语休养成里面行状器的独有IP地址和端标语。当里面行状器酬报该报文时,NAT开导再凭证已有的地址映射相关将酬报报文的源IP地址和端标语休养成公网IP地址和端标语。
图3 里面行状器基喜悦趣暗意图
DNS mapping
一般情况下,DNS行状器和看望私网行状器的用户王人在公网,通过在NAT开导的公网接口上树立里面行状器,不错将公网地址、端口等信息映射到私网内的行状器上,使得公网用户不错通过里面行状器的域名或公网地址来看望里面行状器。然则,如图4所示,如果DNS行状器在公网,私网用户但愿通过域名来看望私网的Web行状器,则会由于DNS行状器向私网用户发送的反应报文中包含的是私网行状器的公网地址,而导致收到反应报文的私网用户无法愚弄域名看望私网行状器。通过在开导上树立DNS mapping不错惩办该问题。
图4 NAT DNS mapping职责暗意图
DNS mapping功能是指,通过树立“域名+公网IP地址+公网端标语+公约类型”的映射表,成立里面行状器域名与里面行状器公网信息的对应相关。在树立了NAT的接口上,开导查验接管到的DNS反应报文,凭证报文中的域名查找用户树立的DNS mapping映射表,并凭证表项内的“公网地址+公网端口+公约类型”信息查找里面行状器地址映射表中该信息对应的私网地址,替换DNS查询服从中的公网地址。这么,私网用户收到的DNS反应报文中就包含了要看望的里面行状器的私网地址,也就大略使用里面行状器域名看望褪色私网内的里面行状器。
Easy IPEasy IP功能是指进行地址休养时,成功使用接口的外网IP地址看成休养后的源地址,大略最猛进度的检朴IP地址资源。它也不错愚弄看望截至列表截至哪些里面地址不错进行地址休养。
NAT复古的独特公约NAT不仅已矣了一般的地址休养功能,同期提供了完善的地址休养ALG (Application Layer Gateway,应用级网关)机制,使其不错复古一些独特的应用公约,而不需要对NAT平台进行任何的修改,具有精采的可施行性。这些独特公约的报文载荷里佩戴了地址或端口信息,该信息也可能需要进行地址休养。
可复古的独特公约包括:FTP(File Transfer Protocol,文献传输公约)、PPTP(Point-to-Point Tunneling Protocol,点到点纯正公约)、ICMP(Internet Control Message Protocol,因特网截至音问公约)、DNS(Domain Name System,域名系统)、ILS(Internet Locator Service,Internet定位行状)、RTSP(Real Time Streaming Protocol,及时流公约)、H.323、SIP(Session Initiation Protocol,会话发起公约)、NetMeeting 3.01、NBT(NetBIOS over TCP/IP,基于TCP/IP的网罗基本输入输出系统)等。
复古NAT多实例
NAT多实例允许分属于不同MPLS VPN的用户通过褪色个出口看望外部网罗,同期允许分属于不同MPLS VPN的用户使用交流的私网地址。当MPLS VPN用户看望外部网罗时,地址休养将里面网罗主机的IP地址和端口替换为开导的外部网罗地址和端口,同期还记载了用户的MPLS VPN信息(如公约类型和路由标志符RD等)。酬报报文到达时,地址休养将外部网罗地址和端口收复为里面网罗主机的IP地址和端口,同期可得知是哪一个MPLS VPN用户的看望。
同期,地址休养复古里面行状器的多实例,给外部提供看望MPLS VPN内主机的契机。举例,MPLS VPN1内提供Web行状的主机地址是10.110.1.1,不错使用202.110.10.20看成Web行状器的外部地址,Internet的用户使用202.110.10.20的地址就不错看望到MPLS VPN1提供的Web行状。
另外,NAT还可愚弄外部网罗地址所佩戴的MPLS VPN信息,复古多个MPLS VPN之间的互访。该特质的复古情况与开导的型号运筹帷幄,请以开导的内容情况为准。
NAT日记NAT日记是NAT开导在进行NAT休养时生成的一种系统信息。该信息包括报文的源IP地址、源端口、标的IP地址、标的端口、休养后的源IP地址、休养后的源端口以及用户延长的操作等。它只用于记载内网用户看望外部网罗的情况,不记载外部用户对内网行状器的看望。
内网用户通过NAT开导看望外部网罗时,多个用户共用一个外网地址,从而无法定位看望网罗的用户。愚弄日记功能不错及时追踪、记载内网用户看望外部网罗的情况探花 porn,增强网罗的安全性。