HCSCA104 HCNA-Security-CBSN 第四章 网络地址转换技术V2.5.pdf

 早在上世纪90年代初，有关RFC文档就提出IP地址耗尽的可能性。基于TCP/IP 协议的 Web应用使互联网迅速扩张，IPv4地址申请量越来越大。互联网可持续发展的问题日益 严重。中国的运营商每年向ICANN申请的IP地址数量为全球最多。曾经有专家预言，根 据互联网的发展速度，到2011年左右，全球可用的IPv4地址资源将全部耗尽。  IPv6的提出，就是为了从根本上解决IPv4地址不够用的问题。IPv6地址集将地址位数从 IPv4的32位扩展到了128位。对于网络应用来说，这样的地址空间几乎是无限大。因此 IPv6技术可以从根本上解决地址短缺的问题。但是，IPv6面临着技术不成熟、更新代价 巨大等尖锐问题，要想替换现有成熟且广泛应用的IPv4 网络，还有很长一段路要走。  既然不能立即过渡到IPv6网络，那么必须使用一些技术手段来延长IPv4的寿命。而技术 的发展确实有效延缓了IPv4地址的衰竭，专家预言的地址耗尽的情况并未出现。其中广 泛使用的技术包括无类域间路由 （CIDR ， Classless Inter-Domain Routing）、可变长子 网掩码 （VLSM ， Variable Length Subnet Mask）和网络地址转换 （NAT ， Network Address Translation ）。 4  私网地址出现的目的是为了实现地址的复用，提高IP地址资源的利用率，为了满足一些 实验室、公司或其他组织的独立于Internet之外的私有网络的需求，RFCA （Requests For Comment）1918为私有使用留出了三个IP地址段。具体如下：  A类IP地址中的～55 （/8）  B类IP地址中的～55 （/ 12）  C类IP地址中的～55 （/ 16）  上述三个范围内的地址不能在Internet上被分配，因而可以不必申请就可以自由使用。 内网使用私网地址，外网使用公网地址，如果没有NAT将私网地址转换为公网地址，会 造成通信混乱，最直接的后果就是无法通信。  使用私网地址和外网进行通信，必须使用NAT技术进行地址转换，保证通信正常。 5  NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程，主要用于实现内部网 络 （私有IP地址）访问外部网络 （公有IP地址）的功能。从实现上来说，一般的NAT转 换设备 （实现NAT功能的网络设备）都维护着一张地址转换表，所有经过NAT转换设备 并且需要进行地址转换的报文，都会通过这个表做相应的修改。地址转换的机制分为 如下两个部分：  内部网络主机的IP地址和端口转换为NAT转换设备外部网络地址和端口。  外部网络地址和端口转换为NAT转换设备内部网络主机的IP地址和端口。  也就是私有地址+端口与公有地址+端口之间相互转换。  NAT转换设备处于内部网络和外部网络的连接处。内部的PC与外部服务器的交互报文全 部通过该NAT转换设备。常见的NAT转换设备有路由器、防火墙等。 6  根据应用场景的不同，NAT可以分为以下三类：  源NAT （Source NAT）：用来使多个私网用户能够同时访问Internet。  地址池方式:采用地址池中的公网地址为私网用户进行地址转换，适合大 量的私网用户访问Internet的场景。  出接口地址方式 （Esay IP）:内网主机直接借用公网接口的IP地址访问 Internet ，特别适用于公网接口IP地址是动态获取的情况。  服务器映射：用来使外网用户能够访问私网服务器。  静态映射 （NAT Server ）：公网地址和私网地址一对一进行映射，用在 公网用户访问私网内部服务器的场景。  目的NAT （