nat地址转换软件 nat地址转换软件下载
如何正确应用网络地址转换(NAT)技术
NAT英文全称是Network Address Translation,称是网络地址转换,它是一个IETF标准,允许一个机构以一个地址出现在Internet上。
NAT将每个局域网节点的地址转换成一个IP地址,反之亦然。
它也可以应用到防火墙技术里,把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备,同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet 地址和私有IP地址的使用。
二、NAT技术的基本原理和类型 1、NAT技术基本原理 NAT技术能帮助解决令人头痛的IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。
它解决问题的办法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址在Internet上使用,其具体的做法是把IP包内的地址域用合法的IP地址来替换。
NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。
NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。
每个包在NAT设备中都被翻译成正确的IP地址,发往下一级,这意味着给处理器带来了一定的负担。
但对于一般的网络来说,这种负担是微不足道的。
2、NAT技术的类型 NAT有三种类型:静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT(Port-Level NAT)。
其中静态NAT设置起来最为简单和最容易实现的一种,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。
而动态地址NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。
NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
根据不同的需要,三种NAT方案各有利弊。
动态地址NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程联接也可以采用动态NAT。
当远程用户联接上之后,动态地址NAT就会分配给他一个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。
网络地址端口转换NAPT(Network Address Port Translation)是人们比较熟悉的一种转换方式。
NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。
NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。
在Internet中使用NAPT时,所有不同的TCP和UDP信息流看起来好像来源于同一个IP地址。
这个优点在小型办公室内非常实用,通过从ISP处申请的一个IP地址,将多个连接通过NAPT接入Internet。
实际上,许多SOHO远程访问设备支持基于PPP的动态IP地址。
这样,ISP甚至不需要支持NAPT,就可以做到多个内部IP地址共用一个外部IP地址上Internet,虽然这样会导致信道的一定拥塞,但考虑到节省的ISP上网费用和易管理的特点,用NAPT还是很值得的。
三、在Internet中使用NAT技术 NAT技术可以让你区域网路中的所有机器经由一台通往Internet的server 线出去,而且只需要注册该server的一个IP就够了。
在以往没有NAT技术以前,我们必须在server上安装sockd,并且所有的clients都必须要支援sockd,才能够经过server的sockd连线出去。
这种方式最大的问题是,通常只有telnet/ftp/www-browser支援sockd,其它的程式都不能使用;而且使用sockd的速度稍慢。
因此我们使用网络地址转换NAT技术,这样client不需要做任何的更动,只需要把gateway设到该server上就可以了,而且所有的程式(例如kali/kahn等等) 都可以使用。
最简单的NAT设备有两条网络连接:一条连接到Internet,一条连接到专用网络。
专用网络中使用私有IP地址(有时也被称做Network 10地址,地址使用留做专用的从10.0.0.0开始的地址)的主机,通过直接向NAT设备发送数据包连接到Internet上。
与普通路由器不同NAT设备实际上对包头进行修改,将专用网络的源地址变为NAT设备自己的Internet地址,而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。
四、应用NAT技术的安全策略 1、应用NAT技术的安全问题 在使用NAT时,Internet上的主机表面上看起来直接与NAT设备通信,而非与专用网络中实际的主机通信。
输入的数据包被发送到NAT设备的IP地址上,并且NAT设备将目的包头地址由自己的Internet地址变为真正的目的主机的专用网络地址。
而结果是,理论上一个全球唯一IP地址后面可以连接几百台、几千台乃至几百万台拥有专用地址的主机。
但是,这实际上存在着缺陷。
例如,许多Internet协议和应用依赖于真正的端到端网络,在这种网络上,数据包完全不加修改地从源地址发送到目的地址。
比如,IP安全架构不能跨NAT设备使用,因为包含原始IP 源地址的原始包头采用了数字签名。
如果改变源地址的话,数字签名将不再有效。
NAT还向我们提出了管理上的挑战。
尽管NAT 对于一个缺少足够的全球唯一Internet地址的组织、分支机构或者部门来说是一种不错的解决方案,但是当重组、 合并或收购需要对两个或更多的专用网络进行整合时,它就变成了一种严重的问题。
甚至在组织结构稳定的情况下,NAT系统不能多层嵌套...
NAT(网络地址转换)是如何工作的?
对于一台计算机要想和其他计算机进行通信或应用因特网上的We服务 (电子邮件等各种网络服务,译者) ,那么它必须要有一个 IP 地址。
一个 IP 地址是一串唯一的32位数字,它标识你的计算机在网络中的位置。
它基本上就像你的邮箱地址一样:一种能够正确找到你并把网络信息送给你的地址。
当初IP地址问世时,所有人都认为其拥有的地址能够覆盖到每一个人。
理论上,互不相同的IP 地址有4,294,967,296 (232) 个。
但实际上真正可用的地址数比这要少 (在32亿到33亿之间) ,因为IP地址按类别划分的方法和需要留出一些地址来进行广播, 伴随着因特网的膨胀和家庭网络与公司网络的不断增加,可用的 IP 地址显然已经不够了。
最容易想到的解决方案是重新设计地址格式让它拥有更多的地址。
这种方案正在开发,但是将花费数年才会实现,因为它需要跟换全球整个因特网的基础设备。
NAT路由器传送进出私有网络的示意图:498)this.width=498;" ode=0 这就是 NAT (RFC 1631) 需要拯救的地方。
总的来说,网络地址转换 (NAT) 允许一个单独的设备,比如像路由器,作为因特网 (公共网络) 和局域网 (私有网络) 之间的代理。
这就意味着对外部网络来说仅仅只需要一个单独的 IP 地址就可以代表一组 (内部网络的) 计算机。
IP 地址的短缺仅仅是使用NAT的一个原因。
另外两个原因是: 安全 管理 你将知道跟多关于你如何收益于NAT的东西,但是首先,让我们再靠近点看看 NAT 还能做什么 ... 本篇文档的读者应具备以下知识: IP 地址和路由的概念 所用到的工具 这篇文档的描述并不受限于任何特定的软件和硬件。
面具之后 NAT 就像一个大办公室里的传达员。
我们假设你让传达员拒绝将任何电话接进来给你,除非你要求将其接进来。
然后,你给潜在客户打了一个电话,(因为不在) 告诉他们回话给你。
你告诉传达员你正在等待一个来自这个客户的电话,并允许将他们接进来。
这个客户拨打了主号码 (办公室对外的电话号码,译者) 到你的办公室,这是客户唯一能查到的号码。
当客户告诉传达员他们想找谁的时候,传达员就会查看一张匹配有公司人名和其电话分机的查看表。
这个传达员知道你在等待这个电话,因此传达员将这个电话转到了你的分机。
思科开发的网络地址转换 (NAT) 设备是工作在内部网络和外部网络之间的。
NAT 的实现有许多种方式,并有许多种工作方法:498)this.width=498;" ode=0 静态NAT – 用一个一对一设备将一个未注册的 IP 地址映射到一个已注册的 IP 地址。
当一台设备需要被外界网络可达时尤其有用。
在静态 NAT 中,IP 地址是192.168.32.10 的计算机总是被转换成213.18.123.110:498)this.width=498;" ode=0 动态 NAT – 映射一个未注册的 IP 地址到一组已注册 IP 地址里的一个。
动态 NAT 也是在未注册和已注册 IP 地址之间建立映射关系,但是映射地址的来源是取决于通信时地址池中的可用注册 IP 地址数。
在动态 NAT 中,IP 地址是192.168.32.10的计算机总是转换成范围在213.18.123.100 - 213.18.123.150中第一个可用 IP 地址: 过载 – 映射多个未注册 IP 地址到一个已注册 IP 地址时,动态 NAT 采用不同的端口。
也就是所谓的 PAT (Pot Addess Tanslation, 端口地址转换),单地址 NAT 或端口级 NAT 复用。
在过载中,私有网络中的每一台计算机都转换到同一个 IP 地址 (213.18.123.100) 但是被分配不同的端口号:498)this.width=498;" ode=0 重叠 –当你在内网使用的 IP 地址已经在另一个网络中被注册并使用了,路由器就会维护一个有这些地址的检查表,这样路由器就可以截断 (内网) 这些地址并将它们替换到唯一已注册 IP 地址。
特别注意, NAT 路由器必须将 ”内部“ 已注册地址转换到另一个已注册唯一地址,还必须将 "外部" 已注册地址转换到私有网络的唯一地址。
这将通过静态 NAT 或是你能用 DNS 并实现动态 NAT 来实现。
内部 IP 地址的范围 (237.16.32.XX) 已被另一个网络注册并使用。
因此,路由器将进行地址转换来避免和另一个网络的潜在冲突。
当信息被送往内部网络时,它还将外部已注册的 IP 地址转换回本地原来的 IP 地址:498)this.width=498;" ode=0 内部网络通常是一个局域网 (LAN, Local Aea Newok),通常也被称为存根域。
存根域只在内部使用 IP 地址的局域网。
存根域中的大多数流量都只在内部传送,不会离开这个内部网络。
一个存根域包括注册和未注册的 IP 地址。
当然,任何使用未注册 IP 地址的计算机都必须用网络地址转换来和外部网络通信 (任何时候存根域内只有一部份主机要与外界通信,甚至还有许多主机可能从不与外界通信,所有整个存根域只需要共享少量的全局IP地址, 译者注)。
有多种方法能配置 NAT。
在下面的例子中,NAT 路由器被配置来将处于私有 (内部) 网络中的未注册 IP 地址 (内部地址) 转换成注册 IP 地址。
当一台拥有未注册地址的内部设备需要和公共 (外部) 网络通信时,NAT将会起作用。
NAT网络地址转换的实现方式有哪些呢?
1、静态NAT(一对一) 2、动态NAT(多对多) 3、端口多路复用PAT(多对一) 1、静态配置 (1)配置外部接口IP地址 (2)配置内部接口IP 地址 (3)在内部局部和内部全局地址之间建立地址转换 router(config)#ip nat inside source static local-ip global-ip (4)在内外部接口上启用NAT router(config)#int s0/0 router(config-if)# ip nat outside router(config)#int f0/0 router(config-if)# ip nat inside 2、动态NAT配置 (1) (2)与静态配置相同 (3)定义内部网络中允许访问外部网络的访问控制列表 router(config)#access-list access-list-number permit source source-wildcard router(config)#access-list 1 permit 192.168.100.0 0.0.0.255 (4)定义合法的IP地址池 router(config)#ip nat pool pool-name start-ip end-ip {netmask netmask|prefix-length prefix-length } [type rotary] netmask:表示子网掩码 prefix-length:表示网络前缀 type rotary (可选):地址池中的地址为循环使用 router(config)#ip nat pool test 61.159.62.130 61.159.62.132 netmask 255.255.255.192 (5)实现网络地址转换 router(config)#ip nat inside source list access-list-number pool pool-name router(config)#ip nat inside source list 1 pool test (6)在内外部接口上启用NAT 3、PAT端口多路复用,就是把多个内部地址转化为一个外部地址(通过端口来区别)。
这个外部地址可以是定义的只包括一个地址的地址池;也可以是使用外部接口的ip地址。
方法一 :使用一个外部全局地址 (3)定义内部访问列表 router(config)#access-list 1 permit 10.1.1.0 0.0.0.255 (4)定义合法地址池 router(config)#ip nat pool onlyone 61.159.62.130 61.159.62.130 netmask 255.255.255.248 因为只有一个地址,所以地址池的起始地址与终止地址相同 (5)设置复用动态IP地址转换: router(config)#ip nat inside source list access-list-number pool pool-name overload router(config)#ip nat inside source list 1 pool onlyone overload 方法二:使用路由器外部接口地址 (5)设置复用动态IP地址转换: router(config)#ip nat inside source list 1 interface s0/0 overload
如何配置NAT(网络地址转换)?
使得互联网上的计算机通过其思科路由器访问其内部的We和电子邮件服务器。
这需要在专门公用的IP地址和专门私用的IP地址之间配置一个静态的NAT转换。
下面笔者谈一下解决这个问题的一些具体做法。
近来,绝大多数人都使用NAT来连接到互联网。
NAT将私有的IP地址转换为公有的IP地址,从而使得用户能够访问公共的互联网。
我们中的多数人都使用这样一种形式的NAT,称为端口地址转换(Pot Addess Tanslation (PAT)),思科称之为NAT oveload. 要开始这项工作,让我们先看一下我们需要操作的对象是什么。
请看下图: 这就是我们的目标:我们想通过处于外部的网络(也就是Intenet)与内部的网络(也就是私有网络)之间的路由器配置一个静态的IP转换。
在一个拥有基本的We接口的Linksys路由器上,这并不难做。
然而,在一个使用命令行界面(即CLI)的路由器上,如果你并不知道正确的命令或者在什么地方运用它们,你就会面临着困难。
在开始之前,收集你需要的数据是一个不错的主意。
下面是我们这个例子中所需要的信息: 路由器内部接口E00: IP 10.1.1.1 路由器外部接口S00: IP 63.63.63.1 We邮件服务器私有IP地址:10.1.1.2 We邮件服务器公有IP地址:63.63.63.2 要获取你网络内部和到达你的We邮件服务器的数据通信,你可以采用两个重要的措施: 1.NAT配置 2.防火墙配置 在本文中,笔者将提供基本的NAT配置。
然而,一定要确保不管你为你的防火墙采用了什么配置,一定要允许这些数据通信通过。
不管你正运用基本的访问控制列表(ACL)或者是正使用思科的IOS防火墙属性集(详细信息见:Cisco IOS fiewall featue set),一定要确信你理解了思科IOS的操作顺序,这样才能为适当的IP地址(不管是公有的还是私有的)配置你的防火墙。
换句话说,哪一个先发生呢?是 NAT转换,还是防火墙过滤?例如,在使用ACL时,一个输入的ACL检查要先于NAT转换。
因此,你需要在头脑中牢牢记住拥有公有IP地址的ACL. 既然我们已经清楚了这些背景信息,下面就开始我们的静态NAT配置之旅吧。
对我们例子来说,我们要从如下的这个基本配置开始:inteface Seial00ip addess 63.63.63.1 255.255.255.0ip nat outsideinteface Ethenet00ip addess 10.1.1.1 255.255.255.0ip nat inside 我们需要NAT转换将We电子邮件服务器的外部IP地址从63.63.63.2 转换为 10.1.1.2 (从 10.1.1.2 转换为 63.63.63.2)。
下面就是在外部和内部NAT配置之间缺少的环节中的操作:oute(config)#ip nat inside souce static tcp 10.1.1.2 25 63.63.63.2 25oute(config)#ip nat inside souce static tcp 10.1.1.2 443 63.63.63.2 443oute(config)#ip nat inside souce static tcp 10.1.1.2 80 63.63.63.2 80oute(config)#ip nat inside souce static tcp 10.1.1.2 110 63.63.63.2 110 我们使用了上述的端口数字,因为它们适合我们想要执行操作的描述。
但是需要记住,你的端口数字可能会有所不同。
笔者关闭了用于SMTP(发送邮件)的 25号端口、用于HTTPS(安全We)的443号端口,用于HTTP(We通信)的80号
网络地址转换(NAT)需要配置什么?怎么配置网络地址转换(NAT
NAT简介 NAT(Netwok Addess Tanslation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。
在网络内部,各计算机间通过内部的IP地址进行通讯。
而当内部的计算机要与外部intenet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。
● NAT 的应用环境: 情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Intenet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。
CISCO NAT经典基础配置 ● 全部采用端口:ISP分配的IP202.99.160.129inteface fastethenet00ip addess 192.168.1.1 255.255.255.0duplex autospeed autoin nat insideno shutdowninteface fastethenet01ip addess 192.168.2..1 255.255.255.0duplex autospeed autoin nat outsideno shutdownip nat pool OnlyYou 202.99.160.130 202.99.160.130 netmask 255.255.255.252OnlyYou代表地址池的名称。
2个202.99.160.130是代表只用一个ip做转换后ip.access-list 1 pemit 192.168.1.0 0.0.0.255access-list 1 pemit 192.168.2.0 0.0.0.255ip nat inside souce list1 pool OnlyYou oveload ● 动态地址转换+端口:ISP分配的IP 有:202.99.160.130~190 255.255.255.192Inteface fastethenet01Ip addess 192.168.1.1 255.255.255.0Ip addess 192.168.2.1 255.255.255.0 secondayDuplex autoSpeed autoIp nat insideNo shutdown Inteface seial 00Ip addess 202.99.160.129 255.255.255.192Duplex autoSpeed autoIp nat outsideNo shutdwonIp nat pool OutPot 202.99.160.190 202.99.160.190 netmask 255.255.255.192Ip nat pool OutPool 202.99.160.130 202.99.160.190 netmask 255.255.255.192Ip nat inside souce list1 pool OutPot 192.168.1.0段主机全部转成202.99.160.190Ip nat inside souce list2 pool OutPool出于访问ftp站点等考虑:192.168.2.0和192.168.3.0段主机全部转成202.99.160.130到202.99.160.189中的所有地址。
Access-list1 pemit 192.168.1.0 0.0.0.255Access-list2 pemit 192.168.2.0 0.0.0.255Access-list2 pemit 192.168.3.0 0.0.0.255 ● 静态地址转换:ISP分配的IP地址是:211.82.220.80~211.82.220.8 7、211.82.220.81 255.255.255.248.要求Intanet上的We.E-mail.Ftp.Media可以被外部访问。
Inteface fastethenet00Ip addess 192.168.1.1 255.255.255.0Duplex autoSpeed autoIp nat insideNo shutdownInteface fastethenet01Ip addess 211.82.220.81 255.255.255.248Speed autoDuplex autoIp nat outsideNo shutdownIp nat pool Outpool 211.82.220.86 211.82.20.86 netmask 255.255.255.248Access-list 1 pemit 192.168.1.2 0.0.0.255Access-list 1 pemit 192.168.1.3 0.0.0.255Access-list 1 pemit 192.168.1.4 0.0.0.255Access-list 1 pemit 192.168.1.5 0.0.0.255Ip nat inside souce list1 pool Outpool oveloadIp nat inside souce static 192.168.1.2 211.82.220.82Ip nat inside souce static 192.168.1.3 211.82.220.83Ip nat inside souce static 192.168.1.4 211.82.220.84Ip nat inside souce static 192.168.1.5 211.82.220.85 ● NAT映射:如果ISP提供的IP地址比较多还可以,但如果不是的时候(如就两个时),一个用于内网地址转换,另一个用于对外网提供服务。
ISP提供的内网上网IP.Inteface ethenet0 Ip addess 192.168.1.1 255.255.255.0 Duplex auto Speed auto Ip nat inside No shutdown Inteface fastethenet00 Ip addess 211.82.220.129 255.255.255.248 Duplex auto Speed auto Ip nat outside No shutdown Access-list 1 pemit 192.168.1.0 0.0.0.255 Ip nat pool Eveyody 211.82.220.130 211.82.220.130 netwok 255.255.255.252 Ip nat inside souce list1 pool Eveyody oveload Ip nat inside souce static tcp 192.168.1.2 80 202.99.220.130 80 Ip nat inside souce static tcp 192.168.1.3 21 202.99.220.130 21 Ip nat inside souce static tcp 192.168.1.4 25 202.99.220.130 25 Ip nat inside souce static tcp 192.168.1.5 110 202.99.220.130 110 ● 利用地址转换实现负载均衡:当有如象腾讯公司似的多服务器时,使用路由器实现负载平衡,可以使它们有平等的访问机会。
Inteface fastethenet01 Ip addess 192.168.1.1 255.255.255.0 Duplex auto Speed auto Ip nat inside No shutdown Inteface fastethenet00 Ip addess 202.110.198.81 255.2555.255.248 Duplex auto Speed auto Ip nat outside Access-list 1 pemit 202.110.198.82 Access-list 2 pemit 202.110.198.83 Access-list 3 pemit 192.168.1.0 0.0.0.255 Ip nat pool Wese 192.168.1.2 192.168.1.3 255.255.255.248 type otay Ip nat pool Ftpse 192.168.1.4 192.168.1.5 255.255.255.248 type otay Ip nat pool nomal 202.110.198.84 202.110.198.84 netmask 255.255.255.248 Ip nat inside destination list 1 pool Wese Ip nat inside destination list 2 pool Ftpse
防火墙网络地址转换(NAT)的功能是什么?
由于IPv4地址即将耗尽,宽带服务供应商现在正在想办法解决如何继续为其新客户提供IP地址的问题。
问题的答案似乎很明显:如果NAT在服务供应商面对的客户端有效,那么它对于客户端所面对的服务商也应该同样有效。
这也是大规模NAT(LSN)的基础。
LSN添加了新的转换层,因此,就如同IPv4地址用于CPE NAT内部一样,它们也可以被用来向CPE NAT外部指定地址。
服务供应商在其公共IPv4外指定的地址数达到了LSN设备联网接口的数量。
在LSN与客户相连的一端,一个专属IPv4地址块外有一地址——172.16.0.0/12——它被指定到与CPE NAT相连的每一个界面。
然后,每个客户可以使用另一个IPv4地址块——通常是10.0.0.0/8——来为其网络中的所有设备确立地址。
客户端网络中的设备有可能向带有10.1.1.1源地址的互联网终端发送数据包;而后,CPE NAT会通过附带的端口映射将源地址转换成类似172.16.1.1的地址。
在LSN中,源地址会被转换成公共IPv4地址——201.15.83.1,且其数据包会被发送到终端。
与201.15.83.1响应的数据包会被发送到服务供应商的IPv4地址集,然后再发送到合适的LSN,而后NAT会将该终端地址转换成172.16.1.1,再把数据包转发给对应的CPE NAT,后者会将终端地址转换成10.1.1.1。
要实现互联网到正确客户网络,再到准确设备的传输,取决于两个条件: 1. 对话由客户端网络发起,因此CPE NAT和LSN才能获取准确的地址和端口映射; 2. 外部路由图总是指向容易被识别的终端。
因此,来自公共互联网的数据包可以被传送到服务供应商醒目的IPv4地址集;一旦数据包到达服务供应商的网络,便会有一个更为明确的路由将数据包发送到特定的LSN。
LSN拥有从外之内的地址/端口映射,该映射指向一个特定的CPE NAT,而CPE NAT又拥有另一个从一个从外之内的地址/端口映射,可以将数据包发送到与之直接相连的终端,或是为数据包提供一条在客户网络边界里的特殊路由。
这一架构是一个NAT444架构:它将IPv4地址转换成另一个IPv4地址,再转换成第三个IPv4地址。
这个方法之所以吸引人是因为可以在不更改现有CPE NAT的情况下,对其进行利用。
而NAT不在乎其外部IPv4地址是公共的还是私有的,因此,对于CPE NAT而言,一切没什么不同。
服务供应商部署该架构的时候,不需要对客户的设备提出特殊要求,也不需要更改其设备,任何传统NAT都可以使用。
尽管NAT444很简单,但也不是一劳永逸。
任何架构,当然也包括LSN在内,可扩展性是我们经常顾虑的问题。
对于宽带服务供应商而言,每个客户网络都代表着其CPE NAT背后的若干设备。
而每个设备又能生成多个应用数据流。
现在,我们还不知道一个单独的LSN究竟能处理多少客户网络,也不知道公共IPv4地址的性能如何。
NAT444有可能出现地址重叠问题,这种重叠发生在客户网络和服务供应商使用的私有地址之间。
例如,如果服务供应商在LSN和CPE NAT之间,使用172.16.0.0/12地址块以外的地址,而客户也使用相同的地址,那么两者之间的唯一性就被破坏,这可能导致数据包误传。
要确保客户使用的地址范围与服务供应商所使用的不冲突。
如果用户想将数据包传送到同一NAT之后的其他客户。
防火墙,路由ACL甚至是服务器中的过滤政策通常会阻止外部数据包进入拥有专属源地址的网络。
为了回避这种过滤,数据包必须通过LSN,以便它们的源地址可以被转换成一个公共地址,然后再将数据包一起传送到终端。
即便数据包不通过LSN到达终端,其NAT资源也会被消耗掉。
对于这两些问题,我们建议先留出剩下的公共IPv4空间作为ISP共享地址空间。
因为地址块可能会被保留供NAT444架构使用,相同的地址可以和RFC1918地址一样,在不同LSN之后使用。
但是由于它们不是RFC1918地址,它们不会与任何客户网络的专有地址相冲突。
而且,正由于它们不是RFC1918地址,它们也不好被过滤政策阻止;同一LSN后客户间的数据流就不需要 穿越LSN。
还有一种方法可以解决这些问题。
使用LSN和CPE NAT之间的公共IPv6地址。
源于客户网络的IPv4数据包会被转换成IPv6数据包,以完成CPE NAT到LSN之间的交接,然后再被LSN转换回IPv4数据包。
这一架构就是NAT464架构。
CPE NAT外部的IPv6地址和其内部的IPv4地址不会产生冲突。
假设CPE NAT将传入的数据包转换成本地网络的IPv4地址,那么就不会出现过滤的问题,也就不会影响到同一LSN后两个客户端之间的沟通。
NAT将私网IP转换为公网IP的过程是哪些?
随着IPv6时代的到来,我也一直怀疑,是不是还有必要再去学习NAT技术——因为网络的资源不再如IPv4时代匮乏,而NAT技术正是为解决IP地址的紧缺而存在的,如此,NAT便没有存在的必要了。
但是,随着这篇文章的翻译,我的怀疑慢慢变成庆幸,渐而又变为肯定,通过翻译所学到的东西,不再仅仅是翻译第一手资料带来的成就感,更多的是通过翻译,去领悟技术前辈们的智慧与经验,也通过翻译,养成自己从第一手资料获得信息的习惯,从而将视野放得更宽,让理解更为透彻——至少,很多东西都是要经过仔细斟酌才真正转化为自己思想的一部分的。
正是如此,我才坚定的要把这篇文章翻译完,也如之前所提到的,如果时间允许的话,我会用C#来写一些例子,让大家更好的理解NAT技术,掌握NAT技术(主要涉及到即时通讯、文件对等传输和语音应用三个方面)。
这篇文章主要是介绍一下“代理”机制的起因以及给P2P应用带来的不便,不需要任何基础知识:) 1. Introduction 1、简介 关键词: middleboxe(s) —— 我翻译成“代理”,也许有更好的翻译 host —— 我翻译成“主机”,希望大家不要理解成服务器了,主机就是一台普通的终端机 Present-day Internet has seen ubiquitous deployment of "middleboxes" such as network address translators(NAT), driven primarily by the ongoing depletion of the IPv4 address space. The asymmetric addressing and connectivity regimes established by these middleboxes, however, have created unique problems for peer-to-peer (P2P) applications and protocols, such as teleconferencing and multiplayer on-line gaming. These issues are likely to persist even into the IPv6 world, where NAT is often used as an IPv4 compatibility mechanism [NAT-PT], and firewalls will still be commonplace even after NAT is no longer required. 在当今的Internet中,普遍存在使用“代理”设备来进行网络地址转换(NAT),导致这种现象的原因是 IPV4 地址空间的资源耗尽危机。
虽然不对称 asymmetric 的地址分配和连通性制度已经在代理中被定义,但是却给端对端应用程序和协议制定造成了一些特殊的问题。
像电话会议和多媒体网络游戏。
这些问题即使在IPV6世界中还是会存在,因为NAT作为IPV4的一种兼容性机制经常被使用[NAT-PT],并且防火墙将仍然将普遍存在,即使不再需要NAT技术。
Currently deployed middleboxes are designed primarily around the client/server paradigm, in which relatively anonymous client machines actively initiate connections to well-connected servers having stable IP addresses and DNS names. Most middleboxes implement an asymmetric communication model in which hosts on the private internal network can initiate outgoing connections to hosts on the public network, but external hosts cannot initiate connections to internal hosts except as specifically configured by the middlebox"s administrator. In the common case of NAPT, a client on the internal network does not have a unique IP address on the public Internet, but instead must share a single public IP address, managed by the NAPT, with other hosts on the same private network.The anonymity and inaccessibility of the internal hosts behind a middlebox is not a problem for client software such as web browsers, which only need to initiate outgoing connections. This inaccessibility is sometimes seen as a privacy benefit. 当前使用的“代理”技术主要是为 客户端/服务端 C/S 结构设计的,为了实现那些需要连接但是又没有固定IP地址的客户端能够连接到一台配置好的拥有固定IP和DNS域名的服务器。
大多数的“代理”使用一种 asymmetric 通信模型,即 私网(局域网) 的主机能发起一个“外出”连接去连接公网上的主机。
但是公网上的主机却无法发送信息给私网上的主机(除非对“代理”进行特殊的配置),NAPT(网络地址端口转换)的普通情况是,一个私网客户端不需要一个公网的固定的IP地址,但是必须要共享一个由NAPT控制的公网的固定IP地址(当然这个NAPT是处于同一个私网内部的)。
这样的话,这些匿名的并且看起来难以触及的藏在NAT之后的内网主机对于像 Web浏览器 这种软件来说就不是一个问题,因为内网的主机只需要发起向外部的连接就可以了。
这样一来,无法触及也还是有他的优点的——那就是具有保密性。
In the peer-to-peer paradigm, however, Internet hosts that would normally be considered "clients" need to establish communication sessions directly with each other. The initiator and the responder might lie behind different middleboxes with neither endpoint having any permanent IP address or other form of public network presence. A common on-line gaming architecture, for example, is for the participating application hosts to contact a well-known server for initialization and administration purposes. Subsequent to this, the hosts establish direct connections with ...
-