NAT讲解.docVIP

NAT讲解 nat通俗讲解 看过很多NAT的相关知识，也用过不少，最近又一次接触了NAT. 回味了一下相关NAT的知识，发现还是这篇关于NAT的文章，讲解最为人性,精辟,通俗易懂! 现在进入正文 nat翻译成中文就是网络地址转换，顾名思义也就是把一个IP地址转换成另一个IP地址，有人问为什么转换，我们就来看看。 数据包中的IP头部包含源IP地址，也就是发出这个包的源节点的IP地址，和目的IP地址，也就是这个包最终会被谁收到。 举个例子，有一伙犯罪团伙，有三名成员，毒蛇，老虎，老狼，为了作案方便，他们都办了假身份证，毒蛇成了毛虫，老虎成了小白，老狼则办了一张绵羊的身份证。他们在窝点内部，直接用各自的真名来通话，作案的时候，他们对其他人来说，就是毛虫，小白和绵羊，别人称呼他们也是这三个名字。 实际中，如果想隐藏自己的真实身份，那么可以人为的把源IP地址改成一个其他的IP地址，对方接受到之后，以为消息就是从这个IP发了的，那么他回应的时候也使用这个地址作为回应消息的目的地址。目的地址处的nat设备，一旦收到这个消息，就把消息中的目的地址替换成发信人的真实ip地址，然后转交给发信人。 nat的出现其实最初是为了解决IP地址不够用的问题的，我们知道，IP地址中有一类私有地址，也就是大家谁都可以用的地址，就类似比如冬冬，娜娜这种名字，大家谁都可以用，但是你如果去办身份证，就不会让你用这个名字。IP地址就2的32次方那么多个，如果再有多余的节点要分配地址，就不够用了。那么就提出用nat类解决。也就是，如果犯罪团伙中有10名匪徒，但是匪头只成功地办了5张假身份证，那么每次只能有5个人拿着假身份证出去作案。剩下5个人只能在窝里呆着。如果剩下的5个人想作案，那么只能等到出去的5个人回来交班。一旦有外界要和匪帮联系，统统用假名字，匪头根据身份证假名字和真名字的对应，然后点匪（点名），让对应的匪徒出去和外界交涉。但是有一天匪头一想，这样太浪费了，得找个机制，让所有人都出动，他冥思苦想之后，出来一种办法：让多个人都用同一个身份证，但是给他们再区分一下，比如绵羊：80和绵羊：8000就不是一个人，找绵羊80的，匪头就告诉A匪，找绵羊8000的，匪头就告诉B匪。这样，终于全部出动了。这样匪头就可以只用一个假身份证，让全体成员出动，呵呵。 咱们还是别在这匪徒作案了，一会警察来抓我了呵呵。我们回到现实。目前企业申请一个IP，需要付钱给网通电信这样的垄断霸王，因为负担不起给企业中每个办公室的每台pc都配一个公网IP，也就是internet上每个人都能找到你的IP，通常企业都只申请一个IP，就像刚才说的，那么企业内部如果有多个人想和外界联系，他们用的源IP地址怎么办，那么刚才说过，大家都用这个IP做源IP地址，是个集体户，那么刚才也说了，得有个区分机制，不能集体了就全部集体，那么用什么来做这个区分符号呢？冥思苦想，是否可以更改IP头部结构，就像vlan id一样，加入一个东西来区分？可以，但是全世界所有机器上运行的IP协议程序都要改，不行。对了，tcp不是有端口号的么？而且和外界联系的时候，除了IP这一层，一定有一个传输层内容，比如tcp或者udp，而他们都有个端口号，也就是说除了源和目的IP地址，还要有源和目的tcp/udp端口号，我们就用这个已经存在在数据包中的端口号为第二区分符。 nat一共有4种具体实现，刚才说的那种，10个人，5个假身份证，5个人干活，5个人永远呆在窝里处理内务那种，叫做静态nat，也就是一个对一个，如果有100个身份证，10个匪徒，那么这个匪头比较历害，10个匪徒都能出去作案。 第二种情况，也是刚才那种情况，10个人，5个假身份证，但是大家都可以用，谁先抢来，谁就拿着出去作案，回来之后放到桌子上，没轮到的再去抢，抢着了就出去，抢不着还呆着，这样也就是同时只能有5名匪徒出去作案，但是全局意义上，每个匪徒都有机会出去。这叫做动态nat。第三种，10个匪徒，1个假身份证，大家都用这一个假身份证，但是可以同时出去作案，因为他们还有二级区分符：端口号。这种叫做PAT，端口地址转换，或者复用的nat转换。第四种，动态nat＋PAT，也就是10个人，5个身份证，其中前4张身份证用动态nat，大家来抢，谁先抢着是谁的，但是剩下一张，就给没抢到的用pat方式共享，当然效果没有一对一来的爽了。 我们来看看具体实现机制。 看ppt：一个路由器，两个接口，一个接外网，也就是isp接过来的，一个接内网，也就是和内网交换机连接。比如我现在就是内网的10。1。1。1这台机器，我现在打算访问,大家说第一步是做什么？对，是先进行dns解析，由于我机器上配置的dns，比如是202。102。134。68，我的机器判断，这个d