网络安全技术——网络地址转换(NAT)

已于 2022-04-24 13:27:10 修改
阅读量7.8k 收藏 9
点赞数
分类专栏: HCIA 路由交换 网络安全技术 文章标签: 网络
于 2022-04-09 19:52:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62594100/article/details/124064638
版权

采用NAT(Network Address Translation,网络地址转换)技术可实现中小型企业私有网络IP和公有网络IP地址之间的转换,NAT是私有网络在节约IP地址的前提下访问互联网的常用工具。当然,NAT还具备其他的功能,诸如增强安全性、隐藏服务器等功能。我们重点讨论以下话题:

1.NAT的操作与实现;

2.配置NAT;

3.NAT的一些潜在问题。

一、NAT的基本工作原理

在RFC1631中对NAT有很多描述,非常类似与CIDR(Classless Inter-Domain Routing,无类别域间路由),NAT设计之初的目的是解决IP地址不足的问题,慢慢地其作用发展到隐藏内部地址、实现服务负载均衡、完成端口地址转换等功能。

NAT完成将IP报文报头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(简称内网,使用私有网路IP地址)访问外部网络(简称外网,使用公共网络IP地址)的功能。NAT功能一般部署在连接内网和外网的网关设备上。当收到的报文源地址为私有网络(简称私网)地址、目的地址为公共网络(简称公网)地址时,采用NAT功能可以将源私网地址转换成公网地址。这样公网目的地就能够收到报文,并做出响应。此外,在网关上还会创建一个NAT映射表,以便判断从公网收到的报文应该发往的私网目的地址。

所谓公网是由运营商运维的互联网,是指除RFC1918规定的私网IP地址之外的公网IP地址组成的互联网。在公网上不能路由私网的IP地址,私网IP地址范围包括:

A类IP地址——10.0.0.0~10.255.255.255

B类IP地址——172.16.0.0~192.31.255.255

C类IP地址——192.168.0.0~192.168.255.255

这意味着这些地址都不能出现在互联网上,只可以在企业、家庭内部使用(而且不同企业之间完全不会相互影响,比如A公司可以使用10.1.1.0/24网络,B公司也可以使用10.1.1.0/24网络)。下图描述了一个典型的NAT应用,内网中的私网地址被转换完毕之后可以访问互联网(公共网络)。

 我们在上图基础上进行扩展,扩展后的网络拓扑图如下所示,该图描述一个典型的内部地址在网关设备上的转换过程。在网关AR1上进行了私网IP地址192.168.1.1到公网IP地址200.10.10.1的转换配置,当网关收到主机A发送的报文后,会先将报文中的源地址192.168.1.1转换为200.10.10.1,然后将报文路由到目的设备。目的设备回复的报文目的IP地址是200.10.10.1.当网关收到回复报文后,也会执行地址转换,将200.10.10.1转换成192.168.1.1,然后转发报文到主机A。和主机A在同一网络中的其他主机,如主机B,访问公网的过程也需要网关AR1完成NAT。

 二、NAT的实现

在华为设备上实现NAT的基本方式有:

Basic NAT

NAT 服务器

动态 NAT

Easy IP

1.Basic NAT方式

Basic NAT方式是一对一的、静态的地址转换方式,在这种方式下,只转换IP地址,而不处理TCP/UDP的端口号。一个公网IP地址不能同时被多个私网用户使用,静态Basic NAT方式并不能起到节约IP的作用,所以应用场景较少。

2.NAT服务器

NAT功能在使内网用户访问公网的同时,也满足了公网用户访问私网主机的需求。当一个私网需要向公网用户提供Web和FTP等服务时,私网中的服务器必须随时向公网用户提供访问,NAT服务器可以满足这个需求,但是需要通过配置将服务器私网IP地址和端口号转换为公网IP地址和端口号并发布出去。路由器在收到一个公网主机的请求报文后,根据报文的目的IP地址和端口号查询地址转换表项,路由器根据匹配的地址转换表项,将报文的目的IP地址和端口号转换成私网IP地址和端口号,并将报文转发给私网中的服务器。该技术可以起到“隐藏”服务器的目的,是现网常用的技术。

3.动态NAT

动态NAT基于地址池实现私有地址与公有地址的转换。动态NAT首先要定义合法地址池,然后采用动态分配地方法映射到内部网络。动态NAT是动态一对一的映射,每台主机都会分配到地址池中的一个唯一地址。当网关收到回复报文后,会根据之前的映射再次进行转换之后转发给对于主机。当不需要此连接时,对应的地址映射将会被删除,相应的公网地址也会重新出现在地址池中待用。该功能也称为NAPT(网络地址端口转换)。

4.Easy IP

Easy IP方式利用访问控制列表来控制哪些内部地址可以进行地址转换。Easy IP方式特别适合中小型局域网访问Internet情况,此时内部主机较少、出端口通过拨号方式获得临时公网IP地址以供内部主机访问Internet。对于这种情况,可以使用Easy IP方式使局域网用户都通过这个临时公网IP地址接入Internet。该技术很多时候和PPPoE结合起来使用。

傲娇回忆杀
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NAT网络地址转换技术
B站:众元网络
09-12 1561
NAT(Network Address Translation,网络地址转换)是一种网络地址转换技术, NAT使用少量公网IP地址代表比较多的私有IP地址这种方式方式,减缓可用的IP地址空间的枯竭,它不仅能解决IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。NAT技术常见的转换方式:(1) 静态NAT:每个私有地址都有与之对应并且固定的共有地址,他们的关系是一对一的,如下图所示,在网关NAT映射表中,每个私网地址对应了一个公有地址;
网络地址转换NAT原理
每天学习一点点,成长一小步
06-11 2533
NAT:它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。因此我们可以认为,NAT在一定程度上,能够有效的解决公网地址不足的问题。
NAT网络地址转换)技术详解
最新发布
weixin_74299972的博客
06-11 1788
当内部网络中的设备需要访问外部网络时,NAT设备会将该设备的私有IP地址和端口号转换为公共IP地址和端口号,并将转换后的数据包发送到外部网络。当内部网络中的设备需要访问外部网络时,NAT设备会从公共IP地址池中分配一个公共IP地址给该设备,并将该设备的私有IP地址和分配的公共IP地址建立映射关系。NAT技术允许一个私有IP地址网络通过路由器或防火墙等设备访问公共IP地址网络,同时隐藏了内部网络的真实IP地址,提高了网络安全性。随着网络规模的扩大和业务的增长,NAT技术的扩展性成为了一个重要的问题。
网络地址转换NAT)的工作原理与细节
qq_30576521的博客
09-02 1755
NAT是什么,应用场景有哪些?它仅仅是用来解决IPv4地址数量不足的工具吗?和NAPT又有怎样的关系?这些问题都将在本文中得到解答。
网络基础学习(终章):网络地址转换NAT原理
weixin_42054864的博客
06-07 637
● 在私有网络中使用私有地址,并在网络出口使用NAT技术,可以有效减少网络所需的IPV4公有地址数目,NAT技术有效的缓解了IPV4公有地址短缺的问题。● 动态NAT , NART , Easy IP为私网主机访问公网源地址转换。● NAT Sever实现了内网主机对公网提供服务。● 静态NAT提供了一对一映射,支持双向互访。
NAT详解(网络地址转换
Java、C语言、嵌入式开发,计算机科学与技术专业(海南大学)
12-24 1万+
目录一句话说清楚它是干什么的:概念:实现方式:NAPT(PAT): 一句话说清楚它是干什么的: 一种地址转换技术,将ip数据报报头中的IP地址转换为另一个ip地址,并通过转换端口号达到地址重用的目的,是一种可以缓解IPv4公网地址枯竭的过渡技术。 概念: NAT(Network Address Translation),是指网络地址转换,1994年提出的。 当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
NAT原理(网络地址转换
weixin_44681307的博客
07-30 352
攻击者无法直接访问内部网络中的设备,因为他们无法知道设备的私有IP地址,只能访问到NAT设备的公共IP地址。这样可以大大增强网络的安全性。再买第二个IP地址,但是这个IP地址不需要配置再路由器的进接口上,直接配置到NAT地址转换表就可以,公网寻址也是能找到我们这个IP的,因为是我们买的,寻址时候自然会找到我们公司这台路由器查看NAT地址池。最后发出去的端口号是NAT地址池随机生成的端口号,当信息回来的时候会查看NAT地址池,根据相应的端口号查找相应的内网IP地址和对应的端口号(服务端口)。
接入广域网技术——NAT内、外部网络地址转换.docx
10-01
接入广域网技术——NAT内、外部网络地址转换.docx
计算机网络实验——路由器基本配置实验报告
09-20
- **NAT网络地址转换)**:配置NAT以解决IP地址短缺问题,同时保护内部网络不受外部访问。 4. **实验报告撰写** 实验报告应包括以下部分: - **实验目的**:阐述实验的目标,即理解路由器工作原理和配置方法。...
IP网络技术基础.zip
01-31
8. NAT网络地址转换):NAT允许内部网络的设备共享一个或少数几个公共IP地址访问外部网络,解决了IP地址短缺问题,同时增加了网络安全性。 9. IPsec(IP安全协议):为IP通信提供安全性的框架,包括加密和身份...
网络运维笔记——T221.docx
07-11
网络运维笔记——T221》主要涵盖了网络运维中的关键知识点,包括TCP与UDP报文首部的解析、访问控制列表(ACL)的工作原理与配置,以及网络地址转换NAT)的操作流程和相关概念。以下是这些主题的详细解释: 一、...
NAT地址转换原理及应用(pdf)
11-19
随着Internet的高速发展,现在面临的一个最大的问题之一便是IP地址不够用的问题,在IPV6正式使用之前,NAT地址转换(Network Address Translation) 技术便是解决IP地址短缺问题的最主要的技术手段。 地址转换技术实现了私有网络访问外部网络的功能,同时又可以极大的减少使用全局IP地址,达到节约IP地址的目的。实达系列路由器具有强大的NAT地址转换功能,在这里详细介绍NAT的原理、优点和局限性以及相关的利用实达路由器NAT功能的组网方案。
网络运维笔记——T221.pdf
07-10
网络地址转换NAT)的工作过程与配置】 NAT(Network Address Translation)用于解决IP地址短缺问题,同时也保护了内部网络。 1. **定义**:将私有IP转换为公有IP,反之亦然。 2. **类型**: - **静态NAT**:...
网络技术:NAT 网络地址转换及原理
Linuxhus的博客
09-03 6950
NAT 网络地址转换(NAT)技术的理论部分可以看博客——网络层——NATNAT 的功能大致为:在局域网中组织会为内部主机分配私有地址,当内部主机发送数据包到外部网络时私有地址就会自动转换为公有 IP 地址,公有 IP 地址返回的流量的目的地址也会自动转换为内部私有地址。NAT 通常工作在末节网络的边界。 在 NAT 术语中,NAT 转换后的地址称之为全局地址,NAT 转换前的地址为本地地址。内部本地地址是需要进行 NAT 转换的主机的私有地址,外部本地地址是与 ISP 相连的路由器接口的地址
交换机与路由器技术:静态NAT、动态NAT、PAT和端口镜像
m0_51456787的博客
07-21 3780
1)静态转换1对1转换1个内网地址转换为1个外网地址,形成的是永久性的对应关系,可以根据外网地址直接定位到内网地址,可以实现内网访问外网,也可以实现外网访问内网(2)动态转换多对多转换内网多个IP转换为外网多个IP,当内网主机数量多于外网IP地址个数时,无法实现内网所有主机同时上网,由于是动态的对应关系,所以无法根据外网地址锁定到内网地址,只能实现内网访问外网(3)端口多路复用(PAT)多对1转换(源地址转换NAT代理上网).........
NAT的基本原理
WuDan_1112的博客
03-16 1万+
NAT的介绍 NAT(Network Address Translation)是网络地址转换,它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准,允许一个整体机构以一个公用IP(Internet Protocol)地址出现在Internet上。顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术,因此我们可以认为,NAT在一定程度上,能够有效的解决公网地址不足的问题。 公有网络地址 公有网络地址(以下简称公网地址
网络类型NAT3改NAT1 基于(联通)光猫桥接、路由器红米AX5、win10系统
热门推荐
TopTab的博客
02-08 6万+
粗略步骤 1、光猫改桥接 2、路由器设置拨号上网,填入账号密码,配置DMZ静态IP等 3、在win10验证NAT类型 前置准备 宽带的账号密码(这个打客服问,一般是默认密码) 默认密码123456,或者888888,或者是身份证号码后6位 第一步:(联通)光猫改桥接 方法一:光猫改桥接,直接联系宽带的客服,叫他帮你改 方法二:获得超级管理地址和超级权限密码,然后自己手动修改(作者TopTab采用) 1、电话联通客服,转人工,转宽带,告诉客服你需要桥接,然后,和技术人员交流后,获得光猫超级权限地址以及超级权限
地址转换的基本原理
鸭梨的博客
07-15 2664
地址转换的基本原理是在转发网络包时对IP头部中的IP地址和端口号[插图]进行改写。具体的过程我们来看一个实际的例子,假设现在要访问Web服务器,看看包是如何传输的。 首先,TCP连接操作的第一个包被转发到互联网时,会像图3.18这样,将发送方IP地址从私有地址改写成公有地址。这里使用的公有地址是地址转换设备的互联网接入端口的地址。与此同时,端口号也需要进行改写,地址转换设备会随机选择一个空闲的端口。然后,改写前的私有地址和端口号,以及改写后的公有地址和端口号,会作为一组相对应的记录保存在地址转换设备内部的一
【HCIA持续更新】NAPT
yaoyimingde的博客
02-25 416
NAPT 动态NAPT的工作原理 1、动态NAT选择地址池中的地址转换时不会转换端口号,即No-PAT(No-PAT Address Translation 非端口地址转换),公有地址与私有地址还是1:1的映射关系,无法提高公有地址利用率 2、NAPT(Natwork Address and Part Translation,网络地址端口转换):从地址池中选择地址进行地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:n映射,可以有效提高公有地址利用率 NAPT转化示例
掌握网络安全基础:ACL与NAT技术详解
网络技术第6章主要探讨网络安全技术中的关键组件——访问控制列表(ACL)。这一章节详细介绍了ACL的基本原理和应用场景,以及其在实际网络系统建设与运维中的重要性。 首先,ACL是网络设备用来管理和控制网络流量的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值