第八章NAT原理与基本应用讲解.pptVIP

Page * NAT的基本工作原理 DNS和内部服务器使用私网地址 由于内部www服务器和DNS服务器都在一个私网内，这样，当内部DNS进行为内部服务器进行域名到IP地址的转换时，会得到一个内部网的IP地址，然后DNS将这个内部地址返回给外部要访问的内部服务器的主机。而这个地址由于是私网地址，所以外部网访问不到。 Page * NAT的基本工作原理 DNS在公网上，内部主机无法使用域名访问内部服务器 当内部pc通过域名访问时，会到外部的DNS上请求IP地址，由于DNS是在外部，所以它会返回一个公网的地址或找不到地址。这样导致内部PC通过域名访问时，得到是个外部的地址或者得不到地址，导致内部用户不能正常访问内部服务器。 Qusetion：有什么好的方法可以解决DNS问题？ Page * NAT的基本工作原理 以太网口支持地址池 在以太网环境中，如果地址池中的地址与接口的地址在不同的网段上，那么可以通过添加路由的方式来解决。而如果在同一个网段上，则对方不会缺省的将报文发送到此设备上，因为对方发现这是一个同网段的地址，会发送ARP请求，如果得不到响应，将认为这个地址不存在，当然报文将无法到达本端。因此需要对以太网接口做特殊处理，使得当地址池中的地址和接口的地址在同一个网段也可以支持。 Page * NAT的基本工作原理 以太网口支持地址池（续） 如果一个ARP请求报请求的地址不是以太网接口的IP地址，ARP模块将这个ARP请求丢弃，现在NAT模块提供一个函数，根据地址、接口判断这个地址是否是在这个接口上的一个地址池中的地址。如果是，告诉ARP对这个IP地址发送ARP应答，MAC地址就是这个以太网接口的MAC地址。 Page * NAT的基本工作原理 支持多个方向上负载分担应用 Page * NAT基本工作原理 地址转换的优点： 地址转换可以使内部网络用户方便的访问Internet。 地址转换可以使内部局域网的许多主机共享一个IP地址上网。 地址转换可以屏蔽内部网络的用户，提高内部网络的安全性。 地址转换同样可以提供给外部网络WWW、FTP、Telnet服务。 Page * NAT基本工作原理 地址转换的缺点： 地址转换对于报文内容中含有有用的地址信息的情况很难处理。 地址转换不能处理IP报头加密的情况。 地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。 影响报文转发的效率。 无法确定源地址。 因为同样的内部地址在不同时刻的外部地址是不一样的，所以如果从内部网络攻击外部网络，将造成定位攻击源的困难。 Page * NAT基本工作原理 NAT地址转换的改进 为满足公安部以及一些企事业单位的需求，对NAT流（FLOW）信息进行日志记录，通过日志信息了解NAT转换前的地址信息。 用户日志只在NAT的出方向进行日志记录，根据报文的源IP地址、转换后的源IP地址、目的IP地址、源端口、转换后的源端口、目的端口、协议号等7元组来标识一条流，并生成该NAT流的日志记录。 根据这些日志信息进行分析查询，可以方便地追踪一些非法活动以及不正当的操作等，提高网络设备的可用性和安全性 Page * 问题 NAT转换流程是怎样的？ 静态NAT与动态NAT如何实现？ 如何部署NAT？ NAT有哪些需要改进的地方？ Page * 总结 NAT基本概念 NAT转发流程 NAT的优势和局限 总结 * 此页用来描述该章的授课内容，方便老师授课。 这种形式适合于本章下面不再细分节的情况。 内容处将本章要讲解的主要内容列成简练的标题。 此页仅授课时使用，胶片＋注释不引用。 Page * NAT技术实现了私网与公网的互访，为私网提供了安全保障，也给公网带来了安全隐患。 Page * 学习指南 开篇会介绍一些和NAT相关的基本概念 重点理解NAT的入口和出口转换流程 Page * 参考资料 RFC 3022 Traditional IP Network Address Translator (Traditional NAT) RFC2993 Architectural Implications of NAT RFC 2663 IP Network Address Translator (NAT) Terminology and Considerations RFC 3027 Protocol Complications with the IP Network Address Translator Page * 学习完此课程，您将会： NAT基本概念 NAT工作原理 Page * 第1章 NAT基本概念 第2章 NAT工作原理 Page * NAT基本概念 NAT(Network Address Translator) 网络地