- 相關推薦
計算機網絡地址翻譯(NAT)的原理及具體應用論文
網絡地址翻譯(NAT,Network Address Translation)是計算機網絡技術中的一個重要技術。通過分析NAT技術的原理,文章完整的介紹了NAT技術的各個方面,并以CISCO路由器為例,提出了具體應用。
隨著Internet的膨脹式發展,其可用的公網IP地址越來越少,要想再申請到一個新的公網IP地址已是很不容易的事了。NAT技術很方便的解決了這些問題。NAT(Network Address Translation)網絡地址翻譯,指的是將一個內網私有IP地址轉換成外網(公網)IP地址。利用NAT技術,公網IP地址可以對外代表一個或多個內部地址。我們一般可以把NAT技術分為三種:靜態NAT,動態NAT和NAPT,其中NAPT又可以稱為PAT。
1、靜態NAT
靜態NAT的工作原理很簡單。NAT將網絡分為內部網絡(inside)和外部網絡(outside),內部網絡指的是單位內部局域網,外部網絡指的是公共網絡,一般是指Internet。靜態NAT將內部本地私有IP地址與外部合法公網IP地址進行一對一的轉換,且需要指定到底內部IP和哪個合法地址進行轉換,即需要建立一張網絡地址轉換表;內部地址與全局地址一一對應,每當內部節點與外界通信時,內部私有IP地址就會轉換為對應的公網IP 地址。
某學校內部局域網使用的IP網段是192.168.0.0/24,現在它們申請了一段公網IP:100.0.0.3—— 100.0.0.100/24。靜態NAT就是要求內部私有IP地址和公網IP地址是一一對應的關系。那么假設PC1有一個私有 IP:192.168.0.3/24,當它需要訪問Internet時,它先向路由器發出請求,路由器會根據靜態NAT的設置,把私有 IP(192.168.0.3)轉換為公網IP(100.0.0.3),然后把數據包發送出去。Internet需要返回數據時,返回的數據是發送給 100.0.0.3,然后由路由器根據對應關系,把這個數據包發送到192.168.0.3。
可以看出,靜態NAT實現的是一對一的轉換,將內部私有IP固定的轉換為外網合法IP,這是不可能節省IP地址資源的。但是靜態NAT的好處是,如果內網中建立了服務器,比如Web,Ftp,E-mail等服務器,這些服務器往往同時為內網和外網提供服務,對于這樣的服務,就必須建立靜態 NAT進行轉換。
CISCO路由器的配置命令是:
端口模式下:
Ip nat inside !將某端口指定為內部端口
Ip nat outside!將端口指定為外部端口
全局模式下:
Ip nat inside source static inside_ip outside_ip
Inside_ip,指的是內部IP地址
Outside_ip,指的是翻譯成的外部IP地址
2、動態NAT
動態NAT也是實現私有IP和公網IP之間的一一對應轉換,但是它們的關系是不固定的,就是說私有IP訪問外網時也要進行轉換,轉換成公網IP,但是轉換時不是固定轉換成某一IP,而是隨機的。
(1)首先還是要地址轉換,內網轉換成外網。(2)和靜態的不同,是動態的轉換。動態NAT是定義了一個地址池(pool),其中地址池中的地址是一組連續的外網IP地址,所有內網中允許的IP都可以使用地址池中的任意一個進行轉換。所謂允許的IP是指可以在路由器上使用訪問控制列表來定義, 允許哪一部分內網IP使用這個地址池進行轉換。根據訪問控制列表的命令要求,允許的IP一般是某一個網段,如192.168.0.0/24等。(3)動態 NAT的外網轉換IP是動態的,不固定,當需要時從地址池隨機選擇。用完后(通信結束)就需要把這個地址放回地址池,供其他主機使用。這樣就可以部分緩解外網IP地址壓力。(4)注意,靜態NAT和動態NAT可以共存。如果有需要內、外網都訪問的服務器,可以采用靜態NAT,別的可以采用動態NAT。動態 NAT還有一個好處,因為內網主機訪問出去的IP經常隨機變化,增加了網絡安全性。
3、PAT或NAPT
PAT是NAT技術中的一種特殊的方法,可以將一段私有IP轉換成一個公網IP地址,從而節省了公網IP地址資源,這種技術稱為 PAT(Port Address Translation)端口地址翻譯。有的地方稱為NAPT(Network Address Port Translation)網絡地址端口轉換,意思是一樣的。
實際上PAT和動態NAT幾乎是一樣的,只不過在地址轉換的時候沒有地址池,或說地址池內只有一個地址,所有的私有地址都轉換成同一個公網IP地址,轉換時對網關路由器的外網接口IP地址進行復用(overload)。復用技術是通過利用對話的端口號來實現的。
端口模式下:
Ip nat inside !將某端口指定為內部端口
Ip nat outside!將端口指定為外部端口
全局模式下:
(1)Ip nat pool name start_ip end_ip netmask netmask
其中:name指的是地址池的名稱
Start_ip end_ip指的是地址池的開始IP和結束IP,在PAT時,這兩個IP地址是一樣的,但要寫兩個,不能省略。如100.0.0.1 100.0.0.1
Netmask指的是地址池的IP地址的子網掩碼
(2)access_list number permit source wildcard
其中:number指的是訪問控制列表的號碼,1——99
source wildcard指的是允許地址轉換的地址段和對應的通配符。
(3)ip nat inside source list number pool name overload
其中:number還是那個2號命令中的那個訪問控制列表號
Name還是那個1號命令中地址池的名字
Overload是實現PAT的關鍵字,不能省略
和動態NAT對照比較可以看出,PAT僅僅在定義IP地址池的地方換成一個IP地址和最后增加overload兩處不同。
最后,NAT隱藏了內部IP地址,使其具有一定的安全性,但我們絕不能將NAT作為網絡單一的安全防范措施,尤其是靜態NAT。因為:
(1)NAT只對地址進行轉換而不進行其他操作,因此,一旦建立了與外部網絡的連接時,NAT不會阻止任何從外部返回的惡意破壞信息。(2) 雖然NAT隱藏了端到端的IP地址,但它并不隱藏主機信息。如果通過NAT設備訪問某些功能服務器,服務器記錄的不僅是主機名,還有內部IP地址和操作系統。(3)Internet上的惡意攻擊通常針對機器的“熟知端口”,如HTTP的80端口、FTP的21端口和POP的110端口等。雖然NAT可以屏蔽不向外部網絡開放的端口,但針對面向熟知端口的攻擊,它是無能為力的。(4)許多NAT設備都不記錄從外部網絡到內部網絡的連接,這會使內部計算機受到來自外部網絡的攻擊時,由于沒有記錄可以追查,根本無法發覺自己受到過什么攻擊。
【計算機網絡地址翻譯(NAT)的原理及具體應用論文】相關文章:
計算機應用基礎論文02-24
中職計算機應用基礎中的應用論文10-09
計算機應用方向探析論文10-09
網絡計算機應用教學論文10-09
廣播中計算機的應用論文10-10
應用能力為核心的高職計算機應用分析論文10-09
[經典]計算機網絡應用論文07-20
計算機多媒體技術的應用論文07-12
計算機網絡應用論文07-20
計算機應用畢業論文11-03
