NAT网络地址转换
NAT概念
NAT(Network Address Translation)网络地址转换。是一种隶属于接入广域网(WAN)技术,是一种将私有(保留)地址转换为合法IP地址的转换技术。这种方法需要在私有IP链接到公网IP的路由器上安装NAT软件,装有NAT软件的路由器叫做NAT路由器,里面至少有一个有效的公网IP地址,以用来链接。
简单理解,NAT是一种将内部私有网络地址翻译成合法的网络IP地址的技术。
NAT功能
NAT不仅能解决IP地址不足的问题(这种技术只能起到缓解作用,真正需要解决还需要IPV5来实现),而且能有效地避免来自网络外部的攻击。
私有地址
A类:10.0.0.0-10.255.255.255
B类:172.16.0.0-172.31.255.255
C类:192.168.0.0 - 192.168.255.255
NAT转换
在整个NAT转换中,最关键的流程有以下几点:
- 网络被分为私网和公网两个部分,NAT网关设置在私网到公网的路由出口位置,双向流量必须要经过NAT网关。
- 网络访问只能先由私网方发起,公网无法主动访问私有主机
- NAT网关在两个访问方向上完成两次地址的转换或翻译,出方向做源信息替换,入方向做目的信息转换
- NAT网关的存在对通信双方是保持透明的
- NAT网关为了实现双向翻译的功能,需要维护一张关联表,把会话的信息保存下来。
实现方式
NAT实现方式有三种:静态转换(Static NAT)、动态转换(Dynamic NAT)、端口多用复用(OverLoad)
静态转换:将内部网络的私有IP地址转换为共有IP地址,IP地址是一对一的,是一成不变的,某个私有IP只转换某个共有IP地址,这种方式对节约IP地址没有,主要是满足一些特殊的组网要求。比如希望隐藏内部主机的真正IP地址,或者实现两个IP地址重叠网络的通信。
动态转换:将内部网络的私有IP地址转换为共有IP地址时,IP地址是不确定的,是随机的,所有被授权访问上私有IP地址,可以随机转换为任何指定的合法IP地址。动态转换可以将未注册的IP地址映射到IP地址池中的一个地址,不需要配置路由器,但必须有足够的公有IP地址,以便让链接到因特网的主机都 能够同时发送和接收分组。
当数据传输完毕后,路由器将把使用完的内部全局地址放回地址池中,以供其他内部地址进行转换。
端口多路复用:将改变外出数据包的数据包的源端口并进行端口转换,采用端口多路复用方式。内部网络的所有主机均可以共享一个合法外部IP地址实现互联网的访问。最大程度上节约IP地址。同时又可以隐藏网络内部的所有主机,有效避免来自网络外部的攻击。
NAT端口映射关系:是将TCP或UDP协议中的内部局部地址需要转换的端口号转换成为内部全局地址的端口号。其允许多个内部地址映射到同一个公有地址的不同端口。
