华为技术培训资料-NAT原理与基本应用培训胶片.ppt

NAT原理与基本应用 ISSUE 4.0 NAT技术实现了私网与公网的互访，为私网提供了安全保障，也给公网带来了安全隐患。 学习指南 开篇会介绍一些和NAT相关的基本概念 重点理解NAT的入口和出口转换流程 参考资料 RFC 3022 Traditional IP Network Address Translator (Traditional NAT) RFC2993 Architectural Implications of NAT RFC 2663 IP Network Address Translator (NAT) Terminology and Considerations RFC 3027 Protocol Complications with the IP Network Address Translator 学习完此课程，您将会： NAT基本概念 NAT工作原理 第1章 NAT基本概念 第2章 NAT工作原理 NAT基本概念 NAT(Network Address Translator) 网络地址转换，即改变IP报文中的源或目的地址的一种处理方式； 使一个局域网中的多台主机使用少数的合法地址访问外部资源，也可以按照要求设定内部的WWW、FTP、TELNET的服务提供给外部网络使用； 有效的隐藏了内部局域网的主机IP地址，起到了安全保护的作用。 NAT基本概念 公有地址和私有地址 私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址： - 55 - 55 - 55 NAT基本概念 地址池 地址池是由一些外部地址（全球唯一的IP地址）组合而成的，我们称这样的一个地址集合为地址池。在内部网络的数据包通过地址转换达到外部网络时，将会选择地址池中的某个地址作为转换后的源地址，这样可以有效利用用户的外部地址，提高内部网络访问外部网络的能力。 NAT基本概念 访问控制列表 访问列表是由ACCESS-LIST命令生成的，它依据IP数据包报头以及它承载的上层协议数据包头的格式定义了一定的规则，可以表示允许或者是禁止具有某些特征(包头数据可以描述的）的数据包，地址转换按照这样的规则判定哪些包是被允许转换或者是禁止转换，这样可以禁止一些内部的主机访问外部网络，提高一些网络的安全性问题。有关的详细概念可以参考防火墙中的有关内容。 NAT基本概念 转换关联 转换关联就是将一个地址池和一个访问列表关联起来，这种关联指定了“具有某些特征的IP报文”是使用“这样的地址池中的地址”，而另一些可能是使用另外一个地址池中的地址。在地址转换时，是根据这样的对应进行地址转换的。当一个内部网络的数据包文发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换的关联找到于之相对应的地址池，我们就可以把源地址转换成这个地址池中的某一个地址，完成地址转换。 NAT基本概念 内部服务器映射表 内部服务器映射表是由NAT SERVER命令配置的，允许用户依照自己的需要提供内部服务。在转换时，根据用户的配置查找外部数据包的目的地址，如果是访问内部的服务器，则转换成相应的内部服务器的目的地址和端口，达到访问内部服务器的目的。还原时对源地址进行查找，判断是否是从内部服务器出去的报文，如果是将源地址转换成相应的外部地址。 第1章 NAT基本概念 第2章 NAT工作原理 NAT的基本工作原理 NAT在系统中的位置 NAT的基本工作原理 NAT基本工作原理（以出口NAT为例） 在IP层的出口处调用NAT NAT的基本工作原理 在IP层的入口出调用NAT NAT的基本工作原理 透明的地址分配 静态的地址分配指一个特定的主机使用固定的地址访问外部的网络。 动态的地址分配是指NAT在一些地址中挑选一个地址，做为内部网络的主机访问外部网络的IP地址。无论是那种，地址的分配应该对用户来说是透明的。 NAT的基本工作原理 NAT的基本工作方式： NAT－一对一的地址转换 PAT－多对一的地址转换 NPAT－多对多的地址转换 NAT的基本工作原理 NAT方式 NAT的基本工作原理 NAT方式 在出方向上转换IP报文头中的源IP地址，而不对端口进行转换。 在私有网络地址和外部网络地址之间建立一对一映射，实现比较简单 只转换IP报文头中的IP地址，所以适用于所有IP报文转换 NAT的基本工作原理 PAT方式 (0: 1001 - 6: 23) ------ (00:12964 -