18新利最新登入网络地址转换如何工作

作者:杰夫·泰森
网络地址转换通过重用IP地址来提高安全性。NAT路由器转换进入和离开专用网络的流量。查看计算机网络的更多图片。"width=
网络地址转换通过重用IP地址来提高安全性。NAT路由器转换进入和离开专用网络的流量。查看更多计算机网络图片

如果您正在阅读本文,那么您很可能已经连接到Internet,并在HowStuffWorks网站上查看了本文。18新利最新登入你很有可能在吸毒网络地址转换(NAT)现在。

互联网已经发展得比任何人想象的都要大。虽然确切的规模未知,但目前估计大约有1亿台主机和3.5亿多活跃的互联网用户。这比整个美国的人口还要多!事实上,增长的速度如此之快,以至于互联网的规模实际上每年都在翻倍。

广告

那么,互联网的规模与NAT有什么关系呢?一切!用于一台计算机与其他计算机通信Web服务器在互联网上,它必须有一个IP地址.一个IP地址(IP代表互联网协议)是一个唯一的32位数字,用于标识您的计算机在网络上的位置。基本上,它的工作原理就像你的街道地址一样——作为一种找到你确切位置并将信息发送给你的方式。18luck手机登录

当IP地址首次出现时,每个人都认为有足够多的地址来满足任何需求。理论上,你可以4,294,967,296个唯一地址(232).实际可用地址的数量要小一些(大约在32亿到33亿之间),这是因为地址被划分为类的方式,而且有些地址被留作多播、测试或其他特殊用途。

随着互联网的爆炸式增长家庭网络和商业网络,可用IP地址的数量根本不够。显而易见的解决方案是重新设计地址格式,以允许更多可能的地址。这是正在开发(称为IPv6),但需要数年时间才能实施,因为它需要修改整个互联网的基础设施。

这是NAT (RFC 1631)来拯救。网络地址转换允许单个设备,如路由器,作为Internet(或“公共网络”)和本地(或“私有”)网络之间的代理。这意味着只需要一个唯一的IP地址就可以代表一组计算机。

但是IP地址的短缺只是使用NAT的原因之一。在本文中,您将了解更多关于NAT如何使您受益的信息。18新利最新登入但首先,让我们仔细了解一下NAT以及它到底能做什么……

广告

NAT做什么?

NAT就像一个大办公室里的接待员。假设你已经告诉前台,除非你要求,否则不要转给你任何电话。之后,你打电话给一个潜在的客户,并给他留言,让他给你回电话。你告诉接待员你在等这位客户的电话,并帮她接通。

客户拨打总机号码到你的办公室,这是客户唯一知道的号码。当客户告诉接待员她正在找你时,接待员会检查一个与你的名字和你的分机号相匹配的查找表。接待员知道您请求了这个电话,因此将来电者转到您的分机。

广告

由Cisco开发的网络地址转换用于设备(防火墙路由器或者是位于内部网络和外部世界之间的计算机。NAT有多种形式,可以通过以下几种方式工作:

在静态NAT中,IP地址为192.168.32.10的计算机将始终转换为213.18.123.110。"width=
在静态NAT中,IP地址为192.168.32.10的计算机将始终转换为213.18.123.110。
  • 静态NAT—将未注册的IP地址与已注册的IP地址一一对应。当设备需要从网络外部访问时尤其有用。
在动态NAT中,IP地址为192.168.32.10的计算机将转换为213.18.123.100到213.18.123.150范围内的第一个可用地址。"width=
在动态NAT中,IP地址为192.168.32.10的计算机将转换为213.18.123.100到213.18.123.150范围内的第一个可用地址。
  • 动态NAT—将未注册IP地址映射到已注册IP地址组中的已注册IP地址。
  • 重载—一种动态NAT,通过不同的端口将多个未注册的IP地址映射为一个已注册的IP地址。这也被称为PAT(端口地址转换),单地址NAT或端口级多路转换。
在重载中,私有网络上的每台计算机都被转换为相同的IP地址(213.18.123.100),但是分配了不同的端口号。"width=
在重载中,私有网络上的每台计算机都被转换为相同的IP地址(213.18.123.100),但是分配了不同的端口号。
  • 重叠—当内部网络中使用的IP地址是另一个网络中使用的注册IP地址时,路由器必须维护一个这些地址的查找表,以便拦截它们并用注册的唯一IP地址替换它们。需要注意的是,NAT路由器必须将“内部”地址转换为注册的唯一地址,也必须将“外部”注册地址转换为专用网络的唯一地址。这可以通过静态NAT或使用DNS动态NAT。
内部IP范围(237.16.32.xx)也是另一个网络使用的注册范围。因此,路由器正在转换地址以避免与另一个网络的潜在冲突。当信息发送到内部网络时,它还会将已注册的全局IP地址转换回未注册的本地IP地址。18luck手机登录"width=
内部IP范围(237.16.32.xx)也是另一个网络使用的注册范围。因此,路由器正在转换地址以避免与另一个网络的潜在冲突。当信息发送到内部网络时,它还会将已注册的全局IP地址转换回未注册的本地IP地址。18luck手机登录

内部网络通常为a局域网(LAN),通常简称为存根域.存根域是在内部使用IP地址的局域网。存根域中的大部分网络流量都是本地的,因此它不会在内部网络之外传播。stub域可以包括已注册的IP地址和未注册的IP地址。当然,任何使用未注册IP地址的计算机都必须使用网络地址转换来与世界其他地方通信。

在下一节中,我们将介绍配置NAT的不同方式。

广告

NAT配置

根据IP地址是在私网(stub域)还是在公网(Internet),以及流量是流入还是流出,IP地址有不同的指定。"width=
根据IP地址是在私网(stub域)还是在公网(Internet),以及流量是流入还是流出,IP地址有不同的指定。

NAT可以通过多种方式配置。在下面的示例中,NAT路由器被配置为将位于私有(内部)网络上的未注册(内部,本地)IP地址转换为已注册的IP地址。当内部设备的未注册地址需要与公共(外部)网络通信时,就会发生这种情况。

  • ISP为您的公司分配一个IP地址范围。分配的地址块被注册,唯一的IP地址并被调用内部全局地址.未注册的私有IP地址被分为两组。一个是小群体(外部本地地址)将被NAT路由器使用。另一个更大的群体,被称为本地地址内,将用于存根域。外部本地地址用于转换唯一的IP地址,称为外部全球地址在公共网络上的设备。
  • 存根域中的大多数计算机使用内部本地地址相互通信。
  • 存根域上的一些计算机在网络外进行大量通信。这些计算机有内部全局地址,这意味着它们不需要转换。
  • 当存根域中具有内部本地地址的计算机想要与网络外部通信时,数据包将进入其中一个NAT路由器。
  • NAT路由器检查路由表,看是否有目的地址的表项。如果是这样,NAT路由器就会转换数据包,并在地址转换表中为它创建一个条目。如果目的地址不在路由表中,则丢弃该报文。
  • 使用内部全局地址,路由器将包发送到它的目的地。
  • 公共网络上的计算机向私有网络发送一个包。数据包上的源地址是一个外部全局地址。目的地址是一个内部全局地址。
  • NAT路由器查看地址转换表,确定目的地址在表中,并将其映射到存根域中的一台计算机。
  • NAT路由器将数据包的内部全局地址转换为内部本地地址,并将其发送到目的计算机。

NAT重载利用了TCP/IP协议栈多路复用,它允许一台计算机与一台(或多台)使用不同网络的远程计算机保持多个并发连接TCP或UDP港口.IP报文的报头包含以下信息:18luck手机登录

广告

  • 源地址—原始计算机的IP地址,例如201.3.83.132
  • 源端口-初始计算机为此数据包分配的TCP或UDP端口号,例如端口1080
  • 目的地址—接收计算机的IP地址,如145.51.18.223
  • 目的港—发起计算机要求接收计算机打开的TCP或UDP端口号,例如端口3021

地址指定每一端的两台计算机,而端口号确保两台计算机之间的连接具有唯一标识符。这四个数字的组合定义了一个TCP/IP连接。每个端口号使用16位,这意味着可能有65,536 (216)的值。实际上,由于不同的制造商以略微不同的方式映射端口,因此可以预期大约有4,000个可用端口。

广告

动态NAT和重载

这是如何18新利最新登入动态NAT工作原理:

  • 已经建立了一个内部网络(存根域),其中的IP地址不是专门分配给该公司的IANA互联网号码分配机构),是负责分发IP地址的全球权威机构。应该考虑这些地址不可路由的因为它们不是唯一的。
  • 该公司设置了一个支持nat的路由器。路由器有一系列由IANA提供给该公司的唯一IP地址。
  • 存根域上的计算机试图连接到网络外的计算机,例如Web服务器。
  • 路由器从存根域中的计算机接收数据包。
  • 路由器将计算机的不可路由IP地址保存到路由器地址转换表.路由器将发送计算机的不可路由IP地址替换为唯一IP地址范围内的第一个可用IP地址。转换表现在具有计算机的不可路由IP地址与唯一IP地址之一匹配的映射。
  • 当一个包从目的计算机返回时,路由器检查包上的目的地址。然后它在地址转换表中查看数据包属于存根域中的哪台计算机。它将目的地址更改为地址转换表中保存的地址,并将其发送到该计算机。如果在表中没有找到匹配,它就丢弃数据包。
  • 计算机从路由器接收数据包。只要计算机与外部系统通信,这个过程就会重复。

这是如何18新利最新登入重载工作原理:

广告

  • 一个内部网络(存根域)已经建立了不可路由的IP地址,这些IP地址不是由IANA专门分配给该公司的。
  • 该公司设置了一个支持nat的路由器。路由器有IANA提供给该公司的唯一IP地址。
  • 存根域上的计算机试图连接到网络外的计算机,例如Web服务器。
  • 路由器从存根域中的计算机接收数据包。
  • 路由器将计算机不可路由的IP地址和端口号保存到地址转换表中。路由器将发送计算机的不可路由IP地址替换为路由器的IP地址。路由器将发送计算机的源端口号替换为与路由器在地址转换表中保存发送计算机地址信息的位置相匹配的端口号。18luck手机登录转换表现在有了计算机的不可路由IP地址和端口号以及路由器的IP地址的映射。
  • 当数据包从目的计算机返回时,路由器检查数据包上的目的端口。然后它在地址转换表中查看数据包属于存根域中的哪台计算机。它将目的地址和目的端口更改为地址转换表中保存的地址和端口,并将其发送到该计算机。
  • 计算机从路由器接收数据包。只要计算机与外部系统通信,这个过程就会重复。
  • 由于NAT路由器现在已经将计算机的源地址和源端口保存到地址转换表中,因此它将在连接期间继续使用相同的端口号。每次路由器访问表中的一个条目时,计时器都会被重置。如果在计时器到期之前没有再次访问该表项,则该表项将从表中删除。

在下一节中,我们将讨论存根域的组织。

广告

存根域

查看下面的内容,了解存根域上的计算机18新利最新登入在外部网络中是如何显示的。

源计算机A

IP地址:192.168.32.10

广告

计算机端口:400

NAT路由器IP地址:215.37.32.203

NAT路由器指定端口号:1

源计算机B

IP地址:192.168.32.13

计算机端口:50

NAT路由器IP地址:215.37.32.203

NAT路由器指定端口号:2

源计算机C

IP地址:192.168.32.15

计算机端口:3750

NAT路由器IP地址:215.37.32.203

NAT路由器指定端口号:3

源计算机D

IP地址:192.168.32.18

计算机端口:206

NAT路由器IP地址:215.37.32.203

NAT路由器指定端口号:4

如您所见,NAT路由器存储每台计算机的IP地址和端口号。然后,它用它自己的注册IP地址和与表中数据包源计算机的条目的位置对应的端口号替换IP地址。因此,任何外部网络都将NAT路由器的IP地址和路由器分配的端口号视为每个数据包的源计算机信息。18luck手机登录

您仍然可以在存根域中拥有一些使用专用IP地址的计算机。您可以创建一个IP地址访问列表,告诉路由器网络上哪些计算机需要NAT。所有其他IP地址将通过未转换。

路由器所支持的同时翻译的数量主要取决于动态随机存取记忆体(动态随机存取存储器)它有。但是,由于地址转换表中的一个典型条目只需要大约160字节,因此一个具有4mb DRAM的路由器理论上可以同时处理26214个转换,这对于大多数应用程序来说已经足够了。

IANA为不可路由的内部网络地址预留了特定的IP地址范围。这些地址被认为是未注册的(更多信息请查看18luck手机登录RFC 1918:私有互联网的地址分配,定义这些地址范围)。任何公司或机构都不能声称拥有未注册地址,也不能在公共计算机上使用这些地址。路由器被设计为丢弃(而不是转发)未注册的地址。这意味着来自未注册地址的计算机的数据包可以到达已注册的目标计算机,但其回复将被它到达的第一个路由器丢弃。

用于网络的三类IP地址都有一个范围:

  • 范围1:A类- 10.0.0.0 ~ 10.255.255.255
  • 范围2:B类- 172.16.0.0 ~ 172.31.255.255
  • 范围3:C类- 192.168.0.0 ~ 192.168.255.255

尽管每个范围属于不同的类别,但您不需要为内部网络使用任何特定的范围。不过,这是一种很好的实践,因为它大大减少了IP地址冲突的可能性。

广告

保安及行政

静态NAT(入站映射)允许存根域上的计算机在与网络外的设备通信时保持特定的地址。"width=
静态NAT(入站映射)允许存根域上的计算机在与网络外的设备通信时保持特定的地址。

动态NAT会自动创建一个防火墙您的内部网络与外部网络之间,或者您的内部网络与Internet之间。NAT只允许来自存根域内的连接。从本质上讲,这意味着外部网络上的计算机无法连接到您的计算机,除非您的计算机发起了联系。你可以浏览互联网,连接到一个网站,甚至下载一个文件;但其他人无法锁定你的IP地址,并使用它连接到你电脑上的端口。

在特定的情况下,也称为静态NAT入站映射,允许外部设备发起到存根域中计算机的连接。例如,如果您希望从内部全局地址到分配给Web服务器的特定内部本地地址,静态NAT将启用该连接。

广告

一些NAT路由器提供广泛的过滤和流量日志。过滤允许您的公司控制员工在Web上访问的网站类型,防止他们查看可疑的材料。您可以使用流量日志来创建一个日志文件,记录哪些站点被访问,并从中生成各种报告。

NAT有时会被混淆代理服务器,但它们之间有明确的区别。NAT对源计算机和目的计算机都是透明的。双方都没有意识到这是第三个设备。但是代理服务器是不透明的。源计算机知道它正在向代理服务器发出请求,并且必须配置为这样做。目的计算机认为代理服务器源计算机,并直接处理它。而且,代理服务器通常工作在第4层(传输)OSI参考模型或更高,而NAT是一种第三层(网络)协议。代理服务器工作在更高的层,在大多数情况下会比NAT设备慢。

NAT工作在OSI参考模型的网络层(第3层)——这是路由器工作的层。"width=
NAT工作在OSI参考模型的网络层(第3层)——这是路由器工作的层。

NAT的真正好处是显而易见的网络管理.例如,您可以将Web服务器或FTP服务器移动到另一台主机上,而不必担心断开链接。只需更改路由器上的入站映射以反映新主机。您还可以轻松地更改内部网络,因为唯一的外部IP地址要么属于路由器,要么来自全局地址池。

NAT和DHCP(动态主机配置协议)是天作之合。您可以为您的存根域选择一个未注册的IP地址范围,并让DHCP服务器根据需要分配它们。随着需求的增长,扩展网络也变得更加容易。你不需要向IANA申请更多的IP地址。相反,您可以增加DHCP中配置的可用IP地址范围,以便立即为网络上的其他计算机预留空间。

广告

多宿主

随着企业越来越依赖Internet,拥有多个Internet连接点正迅速成为其网络战略不可或缺的一部分。多重连接,称为多宿主这样,如果其中一个连接出现故障,就减少了潜在的灾难性停机的可能性。

除了保持可靠的连接外,多归属还允许公司执行负载平衡通过减少通过单一连接连接到互联网的电脑数量。通过多个连接分配负载可以优化性能,并可以显著减少等待时间。

广告

多主网络通常连接到几个不同的网络互联网服务提供商(互联网服务供应商)。每个ISP为公司分配一个IP地址(或IP地址范围)。路由器使用边界网关协议(边界网关协议)是TCP/IP协议套件的一部分,用于在使用不同协议的网络之间路由。在多主网络中,路由器利用IBGP(内部边界网关协议)在存根域端,和EBGP(外部边界网关协议)与其他路由器通信。

如果到ISP的其中一个连接失败,那么多归属确实会产生影响。一旦指定连接到该ISP的路由器确定连接断开,它将通过其他路由器重新路由所有数据。

NAT可用于促进可伸缩路由,以实现多宿主、多提供者连接。有关多归巢的更多信息,请参见思科:启用企业多址

有关NAT和相关主题的更多信18luck手机登录息,请查看下一页的链接。

广告

NAT常见问题解答

什么是网络地址转换?
网络地址转换或NAT是一种向本地服务器和主机提供互联网连接的映射方法。在NAT中,您获取多个本地IP并将它们映射到一个全局IP,以便在路由设备上传输信息。18luck手机登录
NAT会影响网速吗?
NAT只会对你的网速有一点点影响。如果你使用一个合理的路由器来翻译你的ip,这几乎是不明显的。
网络地址转换有什么好处?
启用NAT后,更容易重用您的个人IP地址,并具有额外的安全性。此外,NAT允许您保持您的外部和内部IP地址私有和安全。您还可以通过仅使用几个外部IP通过internet连接多个主机来节省IP地址的内存。
NAT和PAT的区别是什么?
NAT代表网络地址转换,而PAT代表端口地址转换。顾名思义,NAT和PAT都用于将私有ip转换为公共ip,以节省空间,连接多台设备。不同之处在于,PAT使用端口号来映射IP地址,而NAT则不使用。
18新利最新登入NAT有多少种类型?
NAT有很多种形式。静态NAT以一对一的方式将未注册的IP地址映射到已注册的IP地址;动态NAT将未注册IP地址从一组已注册IP地址映射到已注册IP地址;重载通过使用不同的端口将多个未注册的IP地址映射到单个已注册的IP地址;当一个网络上的一台设备与internet或外部网络上的另一台设备在同一子网上分配IP地址时,就会发生重叠。
特色

广告

加载……
Baidu