原理与基本应用培训胶片20060711a.pptxVIP

前 言NAT技术实现了私网与公网的互访，为私网提供了安全保障，也给公网带来了安全隐患。Page 学习指南开篇会介绍一些和NAT相关的基本概念重点理解NAT的入口和出口转换流程Page 参考资料RFC 3022Traditional IP Network Address Translator (Traditional NAT)RFC2993Architectural Implications of NATRFC 2663IP Network Address Translator (NAT) Terminology and ConsiderationsRFC 3027Protocol Complications with the IP Network Address TranslatorPage 目 标学习完此课程，您将会：NAT基本概念NAT工作原理Page 内容介绍第1章 NAT基本概念第2章 NAT工作原理Page NAT基本概念NAT(Network Address Translator)网络地址转换，即改变IP报文中的源或目的地址的一种处理方式；使一个局域网中的多台主机使用少数的合法地址访问外部资源，也可以按照要求设定内部的WWW、FTP、TELNET的服务提供给外部网络使用；有效的隐藏了内部局域网的主机IP地址，起到了安全保护的作用。Page NAT基本概念公有地址和私有地址私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址： - 55 - 55 - 55 Page NAT基本概念地址池地址池是由一些外部地址（全球唯一的IP地址）组合而成的，我们称这样的一个地址集合为地址池。在内部网络的数据包通过地址转换达到外部网络时，将会选择地址池中的某个地址作为转换后的源地址，这样可以有效利用用户的外部地址，提高内部网络访问外部网络的能力。Page NAT基本概念访问控制列表访问列表是由ACCESS-LIST命令生成的，它依据IP数据包报头以及它承载的上层协议数据包头的格式定义了一定的规则，可以表示允许或者是禁止具有某些特征(包头数据可以描述的）的数据包，地址转换按照这样的规则判定哪些包是被允许转换或者是禁止转换，这样可以禁止一些内部的主机访问外部网络，提高一些网络的安全性问题。有关的详细概念可以参考防火墙中的有关内容。Page NAT基本概念转换关联转换关联就是将一个地址池和一个访问列表关联起来，这种关联指定了“具有某些特征的IP报文”是使用“这样的地址池中的地址”，而另一些可能是使用另外一个地址池中的地址。在地址转换时，是根据这样的对应进行地址转换的。当一个内部网络的数据包文发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换的关联找到于之相对应的地址池，我们就可以把源地址转换成这个地址池中的某一个地址，完成地址转换。Page NAT基本概念内部服务器映射表内部服务器映射表是由NAT SERVER命令配置的，允许用户依照自己的需要提供内部服务。在转换时，根据用户的配置查找外部数据包的目的地址，如果是访问内部的服务器，则转换成相应的内部服务器的目的地址和端口，达到访问内部服务器的目的。还原时对源地址进行查找，判断是否是从内部服务器出去的报文，如果是将源地址转换成相应的外部地址。Page 内容介绍第1章 NAT基本概念第2章 NAT工作原理Page NAT的基本工作原理NAT在系统中的位置Page NAT的基本工作原理 NAT基本工作原理（以出口NAT为例）在IP层的出口处调用NATPage NAT的基本工作原理在IP层的入口出调用NATPage NAT的基本工作原理透明的地址分配静态的地址分配指一个特定的主机使用固定的地址访问外部的网络。动态的地址分配是指NAT在一些地址中挑选一个地址，做为内部网络的主机访问外部网络的IP地址。无论是那种，地址的分配应该对用户来说是透明的。Page NAT的基本工作原理NAT的基本工作方式：NAT－一对一的地址转换PAT－多对一的地址转换NPAT－多对多的地址转换Page NAT的基本工作原理NAT方式Page NAT的基本工作原理NAT方式在出方向上转换IP报文头中的源IP地址，而不对端口进行转换。在私有网络地址和外部网络地址之间建立一对一映射，实现比较简单只转换IP报文头中的IP地址，所以适用于所有IP报文转换Page NAT的基本工作原理PAT方式(0: 1001 - 6: 23) (00:12964 - 6: 23)(6: 23 -