网络地址转换技术原理重点.ppt

网络地址转换技术原理 2016年4月22日 因特网在快速发展过程中出现了几个问题: 1、IPv4协议规定的32位IP地址资源越来越少。 2、因特网中基于IP地址的恶意攻击严重威胁着因特网用户，特别是对外提供服务的网络服务器的使用安全。 3、对于网络服务器来说，要接受数量巨大的连接请求，单台计算机不可能负载如此大的流量，为了保证网络服务的畅通，必须多台计算机对连接请求进行负载均衡，同时也起到了冗余备份的目的。 网络地址转换（NAT）技术的产生解决了上述问题。 网络地址转换技术原理 NAT技术原理 网络地址转换(Network Address Translation， NAT)是一种网络层技术，并具有扩展到传输层的特性。 NAT设备通过改变通过它的数据报的源IP地址和（或）目的IP地址，将内部网络中使用的私有IP地址和在因特网上使用的公有IP地址进行转换，达到将内部网络接入因特网的目的。 NAT转换有3种方式：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)和网络地址端口转换NAPT（Port-Level NAT）。 网络地址转换技术原理 静态NAT：是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。 动态NAT：是指将内部网络的私有IP地址转换为公有IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。 网络地址端口转换：在动态NAT的基础上，加入了端口参数。可以将内部不同本地地址都转换成一个内部全局地址，但是这些地址会被转换在该全局地址的不同端口上。可以保持回话的唯一性。从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自外部网络的攻击。 网络地址转换技术原理 网络地址转换技术原理 1、 内部地址翻译(Translation Inside Local Address) 2、网络地址端口转换NAPT（Port-Level NAT）。  网络地址转换技术原理 内部本地地址（Inside Local address,IL）：分配给内部网络设备的地址，一般为私有地址，并且这个地址不会对外部网络公布。 内部全局地址（Inside Global address,IG）：代表一个或更多内部地址到外部网络的合法地址。通过这个地址，外部网络设备可以知道内部网络设备。 外部本地地址（Outside Global address,OL）:外部网络的主机地址，看起来是内部网络的私有地址，内部网络设备可以通过它知道外部网络设备。 外部全局地址（Outside Global address,OG）：分配给外部网络设备的地址，一般为合法地址，并且这个地址不会向内部网络公布。 网络地址转换技术原理 1、 内部地址翻译 当内部网络与外部网络通讯时，需要配置NAT，将内部私有IP地址转换成外部合法IP地址。内部地址翻译的整个过程如图1所示。 图1 内部地址翻译  网络地址转换技术原理 2、网络地址端口转换NAPT（Port-Level NAT）。 在内部全局地址复用操作中， NAT设备使用“内部全局地址＋TCP/UDP端口号”的形式来区分不同的内部主机。这也是所谓的“端口地址转换(PAT， PortAddress Translation)”技术。 网络地址转换技术原理 网络地址端口转换NAPT（Port-Level NAT） 图2 内部全局地址复用 网络地址转换技术原理 (1)内部主机192.168.1.2发起一个到外部主机202.194.133.1的连接。 网络地址转换技术原理 (2)当路由器接收到以192.168.1.2为源地址的第一个数据报时，引起路由器检查NAT映射表： ① 如果NAT没有转换记录，路由器就为192.168.1.2作地址转换，并创建一条转换记录。 网络地址转换技术原理 ②如果启用了PAT，就进行另外一次转换，路由器将复用全局地址并保存足够的信息以便能够将全局地址转换回本地地址。 PAT的地址转换记录称为扩展记录。 网络地址转换技术原理 (3)路由器用内部本地地址192.168.1.2对应的NAT转换记录中的内部全局地址，替换数据报源地址，经过转换后，数据报的源地址变为202.194.141.1，然后转发该数据报。 网络地址转换技术原理 (4)外部主机202.194.133.1接收到数据报后，将向202.194.141.1发送响应包。 网络地址转换技术原理 (5)当路由器接