主頁 >  其他 > 網路技術:NAT 網路地址轉換及原理

網路技術:NAT 網路地址轉換及原理

2021-09-05 07:25:24 其他

NAT

網路地址轉換(NAT)技術的理論部分可以看博客——網路層——NAT,NAT 的功能大致為:在局域網中組織會為內部主機分配私有地址,當內部主機發送資料包到外部網路時私有地址就會自動轉換為公有 IP 地址,公有 IP 地址回傳的流量的目的地址也會自動轉換為內部私有地址,NAT 通常作業在末節網路的邊界,

在 NAT 術語中,NAT 轉換后的地址稱之為全域地址,NAT 轉換前的地址為本地地址內部本地地址是需要進行 NAT 轉換的主機的私有地址,外部本地地址是與 ISP 相連的路由器介面的地址,這會是個公有地址,進行 NAT 轉換時,內部本地地址將會轉換為內部全域地址,外部全域地址會成為目的地址,

地址型別

含義

內部本地地址

轉換前的內部源地址

外部本地地址

轉換后的目標地址

內部全域地址

轉換后的源地址

外部全域地址

轉換前的外部目標地址

相關視頻講解:

C++架構師學習地址:C/C++Linux服務器開發高級架構師/Linux后臺架構師

網路穿透,P2P,打洞的核心原理,NAT,穿透的原理

網路穿透,NAT,打洞,了解p2p的秘密

NAT 的優缺點

優點

  1. 允許內網使用私有地址,從而節省了 ISP 分配的公網地址;
  2. 增強了與公有網路連接的靈活性;
  3. 在內網使用私有地址,可以讓公有地址的更換提供方便;
  4. 隱藏內網的 IP 地址的細節,

缺點

  1. NAT 轉換有一定的時間開銷,會使性能下降;
  2. 基于端到端的功能可能無法實作;
  3. 由于更改了 IP 地址,端到端的 IP 地址因此無法追蹤;
  4. 修改了報頭的值,導致資料包的完整性檢查失敗;
  5. TCP 連接可能因此中斷,

NAT 的型別

靜態 NAT

靜態 NAT 實作本地地址和全域地址的一對一映射,這些映射由網路管理員進行配置,當配置靜態 NAT 的設備向互聯網發送流量時,內部本地地址會被轉換為已配置的內部全域地址,內部全域地址是共有的 IPv4 地址,很顯然,靜態 NAT 并不能節省共有 IP 地址的使用,
例如有如圖所示拓撲,可用的公網地址有 170.168.2.2、170.168.2.3、170.168.2.4,則 NAT 轉換表可能是:

內部本地 IP 地址

內部全域 IP 地址

192.168.1.21

170.168.2.2

192.168.1.22

170.168.2.3

192.168.1.23

170.168.2.4

例如主機 192.168.1.21 向外部網路發送分組,則配置了 NAT 的路由器發現分組的源 IP 地址是內部本地 IP 地址,則就將該地址轉換為內部全域 IP 地址并記錄在 NAT 表中,例如這里轉換為 170.168.2.2,轉換后分組會被轉發到外部介面,當路由器收到外部主機回傳的分組時,路由器會根據 NAT 表把內部全域 IP 地址轉換回內部本地 IP 地址,

動態 NAT

動態 NAT 實作本地地址和全域地址之間的多對多映射,將使用公有地址池,以先到先得的原則分配地址的使用,當配置了動態 NAT 的內部設備訪問外部網路時,動態 NAT 會分配 NAT 地址池中可用的 IPv4 地址,動態 NAT 的轉換也會受到 IP 地址池的 IP 地址數量限制,例如內部網路有 50 個使用私有地址的設備,IP 地址池有 5 個公有地址,則只能將這 50 個私有地址映射到這 5 個公有地址上,

PAT

埠地址轉換 PAT實作本地地址和全域地址之間的多對一映射,地址將通過埠號進行多載,由于埠號可以是 0 ~ 65536,所以一個公有 IP 地址可以多載 65536 次,內部本地地址進行轉換時,PAT 會將唯一的源埠號添加到內部全域地址上,埠號會用來區分流量,當目的主機回傳回應時,埠號會決定路由器將資料包轉發到哪個設備上,
在實際情況下埠號可能會被其他會話或者應用占用,此時如果使用的埠號已經被使用了,則 PAT 會從埠號組中分配一個可用的埠號,如果已經沒有可用的埠號了,PAT 會進入下一個公網地址進行轉換,并且重新分配埠號,
例如有如圖所示拓撲,可用的公網地址只有 170.168.2.2,則 NAT 轉換表可能是:

內部本地 IP 地址

內部全域 IP 地址

192.168.1.21:12000

170.168.2.2:12000

192.168.1.22:12000

170.168.2.3:12001

192.168.1.23:24000

170.168.2.4:12002

PAT 可以使用埠號對一個公網地址進行多載,例如主機 192.168.1.21 向外部網路發送分組,則配置了 NAT 的路由器發現分組的源 IP 地址是內部本地 IP 地址,則就將該地址轉換為內部全域 IP 地址并加上一個可用的埠號記錄在 NAT 表中,例如這里轉換為 170.168.2.2:12000,當路由器收到外部主機回傳的分組時,路由器會根據 NAT 表,根據埠號把內部全域 IP 地址轉換回內部本地 IP 地址,

C/C++Linux后臺服務器開發高級架構師學習視頻 點擊 架構師學習資料 獲取,內容知識點包括Linux,Nginx,ZeroMQ,MySQL,Redis,執行緒池,MongoDB,ZK,Linux內核,CDN,P2P,epoll,Docker,TCP/IP,協程,DPDK等等,免費學習地址:C/C++Linux服務器開發高級架構師/Linux后臺架構師

配置靜態 NAT

靜態 NAT 的配置比較簡單,因為只需要將一個內部地址映射到一個外部地址就行,在配置模式使用的命令如下,local-ip 表示進行 NAT 轉換的內部地址,global-ip 表示進行 NAT 轉換的外部地址,這樣就可以建立起地址的映射關系,

 Router(config)# ip nat inside source static local-ip global-ip

接著需要將介面配置為相對于 NAT 的內部介面和外部介面,內部介面使用如下命令在介面配置模式下定義:

 Router(config-if)# ip nat inside

外部介面使用如下命令在介面配置模式下定義:

Router(config-if)# ip nat outside

配置動態 NAT

動態 NAT 的配置需要先定義用于轉換的地址池,并且為這個地址池命名,使用的命令如下,“pool-name” 是地址池名,“start-ip” 是第一個可用 ip,“end-ip” 是最后一個可用的 ip,這 2 個引數將表示 ip 地址的范圍,netmask 關鍵字指示哪些地址位屬于網路位,

 Router(config)# ip nat pool pool-name start-ip end-ip {netmask netmask | prefix-length prefix-length}

接著需要定義一個 ACL 把需要進行 NAT 轉換的流量篩選出來,使用命令如下,使用命名 ACL 也可以:

Router(config)# access-list access-list-number permit source [ source-wildcard ]

接下來要將 ACL 和 NAT 地址池進行系結,使用的命令如下:

 Router(config)# ip nat inside source list access-list-number pool pool-name

最后接著需要將介面配置為相對于 NAT 的內部介面和外部介面,內部介面使用如下命令定義:

 Router(config-if)# ip nat inside

外部介面使用如下命令定義:

Router(config-if)# ip nat outside

配置 PAT

實驗拓撲

思科 11.2.3.7 Lab 配置 NAT 地址池過載和 PAT 的實驗拓撲如下,

地址分配表:

設備

介面

IP 地址

子網掩碼

默認網關

Gateway

G0/1

192.168.1.1

255.255.255.0

N/A

S0/0/1

209.165.201.18

255.255.255.252

N/A

ISP

S0/0/0 (DCE)

209.165.201.17

255.255.255.252

N/A

Lo0

192.31.7.1

255.255.255.255

N/A

PC-A

NIC

192.168.1.20

255.255.255.0

192.168.1.1

PC-B

NIC

192.168.1.21

255.255.255.0

192.168.1.1

PC-C

NIC

192.168.1.22

255.255.255.0

192.168.1.1

配置并檢驗 NAT 地址池過載

配置 NAT 地址池過載

配置網關路由器,將來自 192.168.1.0/24 網路的 IP 地址轉換為 209.165.200.224/29 范圍內的六個可用地址中的一個,
首先定義與 LAN 私有 IP 地址相匹配的訪問控制串列,由于要對 G0/1 介面的網段 192.168.1.0/24 做 NAT,因此定義 ACL 1 用來允許對 192.168.1.0/24 的流量能夠被轉換,標準 ACL 篩選流量的作用也可以從此處體現,

Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255

定義可用的公有 IP 地址池,和動態 NAT 一樣,使用的命令為 “ip nat pool pool-name start-ip end-ip { netmask netmask | prefix-length prefix-length }”,“pool-name” 是地址池名,“start-ip” 是第一個可用 ip,“end-ip” 是最后一個可用的 ip,這 2 個引數將表示 ip 地址的范圍,netmask 關鍵字指示哪些地址位屬于網路位,

 Gateway(config)# ip nat pool public_access 209.165.200.225  209.165.200.230 netmask 255.255.255.248

定義從內部源串列到外部地址池的 NAT,使用 “ip nat inside source list access-list-number pool pool-name overload” 命令系結 ACL 和地址池,注意到示例命令后面跟了個關鍵字 overload,該關鍵字表示過載,用于配置 PAT,

Gateway(config)# ip nat inside source list 1 pool public_access overload

指定介面,對介面使用 “ip nat inside” 配置內部介面,“ip nat outside” 命令配置外部介面,

Gateway(config)# interface g0/1
Gateway(config-if)# ip nat inside
Gateway(config-if)# interface s0/0/1
Gateway(config-if)# ip nat outside

檢驗 NAT 地址池過載

每臺 PC 對 192.31.7.1 地址執行 ping 操作后,顯示網關路由器上的 NAT 統計資料,

Gateway# show ip nat statistics

該命令可以顯示總轉換數,NAT 配置引數、地址池地址數量和已分配地址數量,

顯示網關路由器上的 NAT,

Gateway# show ip nat translations

該命令可以顯示活動的 NAT 轉換,

命令列出了 3 個內部本地 IP 地址,分別是 192.168.1.20、192.168.1.21、192.168.1.22,列出了 1 個內部全域 IP 地址 209.165.200.225,

洗掉 NAT 配置

洗掉可用公有 IP 地址池,

Gateway(config)# no ip nat pool public_access 209.165.200.225 209.165.200.230 netmask 255.255.255.248

洗掉從內部源串列到外部地址池的 NAT 轉換

 Gateway(config)# no ip nat inside source list 1 pool public_access overload

介面定義外部地址配置并檢驗 PAT

使用介面定義外部地址

首先定義與 LAN 私有 IP 地址相匹配的訪問控制串列,ACL 1 用來允許對 192.168.1.0/24 進行轉換,標準 ACL 篩選流量的作用也可以從此處體現,

Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255

指定介面,對介面使用 ip nat inside 和 ip nat outside 命令,

Gateway(config)# interface g0/1
Gateway(config-if)# ip nat inside
Gateway(config-if)# interface s0/0/1
Gateway(config-if)# ip nat outside

使用介面而不是地址池來定義外部地址,進而配置 PAT,將源串列與外部介面相關聯,

Gateway(config)# ip nat inside source list 1 interface serial 0/0/1 overload

檢驗 PAT

每臺 PC 對 192.31.7.1 地址執行 ping 操作后,顯示網關路由器上的 NAT 統計資料,

Gateway# show ip nat statistics

顯示網關路由器上的 NAT,

Gateway# show ip nat translations

命令列出了 3 個內部本地 IP 地址,分別是 192.168.1.20、192.168.1.21、192.168.1.22,列出了 1 個內部全域 IP 地址 209.165.201.18,

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/297511.html

標籤:其他

上一篇:OSPF的安全性設計

下一篇:軟體測驗之多測師帶你了解手工安全測驗

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 網閘典型架構簡述

    網閘架構一般分為兩種:三主機的三系統架構網閘和雙主機的2+1架構網閘。 三主機架構分別為內端機、外端機和仲裁機。三機無論從軟體和硬體上均各自獨立。首先從硬體上來看,三機都用各自獨立的主板、記憶體及存盤設備。從軟體上來看,三機有各自獨立的作業系統。這樣能達到完全的三機獨立。對于“2+1”系統,“2”分為 ......

    uj5u.com 2020-09-10 02:00:44 more
  • 如何從xshell上傳檔案到centos linux虛擬機里

    如何從xshell上傳檔案到centos linux虛擬機里及:虛擬機CentOs下執行 yum -y install lrzsz命令,出現錯誤:鏡像無法找到軟體包 前言 一、安裝lrzsz步驟 二、上傳檔案 三、遇到的問題及解決方案 總結 前言 提示:其實很簡單,往虛擬機上安裝一個上傳檔案的工具 ......

    uj5u.com 2020-09-10 02:00:47 more
  • 一、SQLMAP入門

    一、SQLMAP入門 1、判斷是否存在注入 sqlmap.py -u 網址/id=1 id=1不可缺少。當注入點后面的引數大于兩個時。需要加雙引號, sqlmap.py -u "網址/id=1&uid=1" 2、判斷文本中的請求是否存在注入 從文本中加載http請求,SQLMAP可以從一個文本檔案中 ......

    uj5u.com 2020-09-10 02:00:50 more
  • Metasploit 簡單使用教程

    metasploit 簡單使用教程 浩先生, 2020-08-28 16:18:25 分類專欄: kail 網路安全 linux 文章標簽: linux資訊安全 編輯 著作權 metasploit 使用教程 前言 一、Metasploit是什么? 二、準備作業 三、具體步驟 前言 Msfconsole ......

    uj5u.com 2020-09-10 02:00:53 more
  • 游戲逆向之驅動層與用戶層通訊

    驅動層代碼: #pragma once #include <ntifs.h> #define add_code CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS) /* 更多游戲逆向視頻www.yxfzedu.com ......

    uj5u.com 2020-09-10 02:00:56 more
  • 北斗電力時鐘(北斗授時服務器)讓網路資料更精準

    北斗電力時鐘(北斗授時服務器)讓網路資料更精準 北斗電力時鐘(北斗授時服務器)讓網路資料更精準 京準電子科技官微——ahjzsz 近幾年,資訊技術的得了快速發展,互聯網在逐漸普及,其在人們生活和生產中都得到了廣泛應用,并且取得了不錯的應用效果。計算機網路資訊在電力系統中的應用,一方面使電力系統的運行 ......

    uj5u.com 2020-09-10 02:01:03 more
  • 【CTF】CTFHub 技能樹 彩蛋 writeup

    ?碎碎念 CTFHub:https://www.ctfhub.com/ 筆者入門CTF時時剛開始刷的是bugku的舊平臺,后來才有了CTFHub。 感覺不論是網頁UI設計,還是題目質量,賽事跟蹤,工具軟體都做得很不錯。 而且因為獨到的金幣制度的確讓人有一種想去刷題賺金幣的感覺。 個人還是非常喜歡這個 ......

    uj5u.com 2020-09-10 02:04:05 more
  • 02windows基礎操作

    我學到了一下幾點 Windows系統目錄結構與滲透的作用 常見Windows的服務詳解 Windows埠詳解 常用的Windows注冊表詳解 hacker DOS命令詳解(net user / type /md /rd/ dir /cd /net use copy、批處理 等) 利用dos命令制作 ......

    uj5u.com 2020-09-10 02:04:18 more
  • 03.Linux基礎操作

    我學到了以下幾點 01Linux系統介紹02系統安裝,密碼啊破解03Linux常用命令04LAMP 01LINUX windows: win03 8 12 16 19 配置不繁瑣 Linux:redhat,centos(紅帽社區版),Ubuntu server,suse unix:金融機構,證券,銀 ......

    uj5u.com 2020-09-10 02:04:30 more
  • 05HTML

    01HTML介紹 02頭部標簽講解03基礎標簽講解04表單標簽講解 HTML前段語言 js1.了解代碼2.根據代碼 懂得挖掘漏洞 (POST注入/XSS漏洞上傳)3.黑帽seo 白帽seo 客戶網站被黑帽植入劫持代碼如何處理4.熟悉html表單 <html><head><title>TDK標題,描述 ......

    uj5u.com 2020-09-10 02:04:36 more
最新发布
  • 2023年最新微信小程式抓包教程

    01 開門見山 隔一個月發一篇文章,不過分。 首先回顧一下《微信系結手機號資料庫被脫庫事件》,我也是第一時間得知了這個訊息,然后跟蹤了整件事情的經過。下面是這起事件的相關截圖以及近日流出的一萬條資料樣本: 個人認為這件事也沒什么,還不如關注一下之前45億快遞資料查詢渠道疑似在近日復活的訊息。 訊息是 ......

    uj5u.com 2023-04-20 08:48:24 more
  • web3 產品介紹:metamask 錢包 使用最多的瀏覽器插件錢包

    Metamask錢包是一種基于區塊鏈技術的數字貨幣錢包,它允許用戶在安全、便捷的環境下管理自己的加密資產。Metamask錢包是以太坊生態系統中最流行的錢包之一,它具有易于使用、安全性高和功能強大等優點。 本文將詳細介紹Metamask錢包的功能和使用方法。 一、 Metamask錢包的功能 數字資 ......

    uj5u.com 2023-04-20 08:47:46 more
  • vulnhub_Earth

    前言 靶機地址->>>vulnhub_Earth 攻擊機ip:192.168.20.121 靶機ip:192.168.20.122 參考文章 https://www.cnblogs.com/Jing-X/archive/2022/04/03/16097695.html https://www.cnb ......

    uj5u.com 2023-04-20 07:46:20 more
  • 從4k到42k,軟體測驗工程師的漲薪史,給我看哭了

    清明節一過,盲猜大家已經無心上班,在數著日子準備過五一,但一想到銀行卡里的余額……瞬間心情就不美麗了。最近,2023年高校畢業生就業調查顯示,本科畢業月平均起薪為5825元。調查一出,便有很多同學表示自己又被平均了。看著這一資料,不免讓人想到前不久中國青年報的一項調查:近六成大學生認為畢業10年內會 ......

    uj5u.com 2023-04-20 07:44:00 more
  • 最新版本 Stable Diffusion 開源 AI 繪畫工具之中文自動提詞篇

    🎈 標簽生成器 由于輸入正向提示詞 prompt 和反向提示詞 negative prompt 都是使用英文,所以對學習母語的我們非常不友好 使用網址:https://tinygeeker.github.io/p/ai-prompt-generator 這個網址是為了讓大家在使用 AI 繪畫的時候 ......

    uj5u.com 2023-04-20 07:43:36 more
  • 漫談前端自動化測驗演進之路及測驗工具分析

    隨著前端技術的不斷發展和應用程式的日益復雜,前端自動化測驗也在不斷演進。隨著 Web 應用程式變得越來越復雜,自動化測驗的需求也越來越高。如今,自動化測驗已經成為 Web 應用程式開發程序中不可或缺的一部分,它們可以幫助開發人員更快地發現和修復錯誤,提高應用程式的性能和可靠性。 ......

    uj5u.com 2023-04-20 07:43:16 more
  • CANN開發實踐:4個DVPP記憶體問題的典型案例解讀

    摘要:由于DVPP媒體資料處理功能對存放輸入、輸出資料的記憶體有更高的要求(例如,記憶體首地址128位元組對齊),因此需呼叫專用的記憶體申請介面,那么本期就分享幾個關于DVPP記憶體問題的典型案例,并給出原因分析及解決方法。 本文分享自華為云社區《FAQ_DVPP記憶體問題案例》,作者:昇騰CANN。 DVPP ......

    uj5u.com 2023-04-20 07:43:03 more
  • msf學習

    msf學習 以kali自帶的msf為例 一、msf核心模塊與功能 msf模塊都放在/usr/share/metasploit-framework/modules目錄下 1、auxiliary 輔助模塊,輔助滲透(埠掃描、登錄密碼爆破、漏洞驗證等) 2、encoders 編碼器模塊,主要包含各種編碼 ......

    uj5u.com 2023-04-20 07:42:59 more
  • Halcon軟體安裝與界面簡介

    1. 下載Halcon17版本到到本地 2. 雙擊安裝包后 3. 步驟如下 1.2 Halcon軟體安裝 界面分為四大塊 1. Halcon的五個助手 1) 影像采集助手:與相機連接,設定相機引數,采集影像 2) 標定助手:九點標定或是其它的標定,生成標定檔案及內參外參,可以將像素單位轉換為長度單位 ......

    uj5u.com 2023-04-20 07:42:17 more
  • 在MacOS下使用Unity3D開發游戲

    第一次發博客,先發一下我的游戲開發環境吧。 去年2月份買了一臺MacBookPro2021 M1pro(以下簡稱mbp),這一年來一直在用mbp開發游戲。我大致分享一下我的開發工具以及使用體驗。 1、Unity 官網鏈接: https://unity.cn/releases 我一般使用的Apple ......

    uj5u.com 2023-04-20 07:40:19 more