通信工程师考试培训互联网技术IP地址[3]
摘要:4.网络地址转换(NAT)解决IP地址缺乏的另一个尝试是网络地址转换,(NetworkAddressTranslation,NAT),它是一个IETF标准,允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址,反之亦然。它也可以应用到防火墙技术里,把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备。同时,它
4.网络地址转换(NAT)
解决IP地址缺乏的另一个尝试是网络地址转换,(NetworkAddressTranslation,NAT),它是一个IETF标准,允许一个机构以一个地址出现在Internet上。NAT将每个局域网节点的地址转换成一个IP地址,反之亦然。它也可以应用到防火墙技术里,把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备。同时,它还帮助网络可以超越地址的限制,合理地安排网络中的公有Internet地址和私有IP地址的使用。
NAT技术能帮助解决IP地址紧缺的问题,而且能使得内外网络隔离,提供一定的网络安全保障。方法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址在Internet上使用,其具体做法是把IP包内的地址域用合法的IP地址来替换。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去,每个包在NAT设备中都被翻译成正确的IP地址,发往下一级,这意味着给处理器带来了一定的负担,但对于一般的网络来说,这种负担是微不足道的。
NAT有3种类型:静态NAT(StaticNAT)、动态NAT(PooledNAT)和网络地址端口转换(Port-LevelNAT,NAPT)。其中,静态NAT是设置最为简单和最容易实现的一种,内部网络中的每个主机都被一直映射成外部网络中的某个合法的地址。而动态NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上?根据不同的需要,3种NAT方案各有利弊。
动态NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程连接也可以采用动态NAT当远程用户联接上之后,动态NAT就会分配给它一个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。
网络地址端口转换(NetworkAddressPortTranslation,NAPT)是常用的一种转换方式。
NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的1P地址后面。NAPT与动态NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。
在Internet中使用NAPT时,所有不同的TCP和UDP信息流看起来好像来源于同一个IP地址。优点是在小型办公室内非常实用,通过从ISP处申请的一个IP地址,将多个连接通过NAPT接入Internet.实际上,许多SOHO远程访问设备支持基于PPP的动态IP地址。这样,ISP甚至不需要支持NAPT,就可以做到多个内部IP地址共用一个外部IP地址上Internet,虽然这样会导致信道的一定拥塞,但考虑到节省ISP上网费用和易管理的特点,使用NAPT还是很值得的。
NAT技术可以让区域网路中的所有机器经由一台通往Internet的Server连接到Internet,而且只箱要注册该Server的一个IP就够了。在没有NAT技术时,必须在Server上安装sockd,并且所有的Clients都必须要支援sockd,才能够经过server的sockd连线出去。这种方式最大的问题是,通常只有Telnet/Ftp/www-browser支援sockd,其他的程式都不能使用:而且使用sockd的速度稍慢。因此使用网络地址转换(NAT)技术,这样Client不需要做任何的变动,只需要把gateway设到该Server上就可以了,而且所有的程式(如kali/kahn等)都可以使用。最简单的NAT设备有两条网络连接:一条连接到Internet,一条连接到专用网络。专用网络中使用私有IP地址(有时也被称做Network10地址,地址使用留做专用的从10.0.0.0开始的地址〉的主机,通过直接向NAT设备发送数据包连接到Intemet上。与普通路由器不同,NAT设备实际上对数据包头进行修改,将专用网络的源地址变为NAT设备自己的Internet地址,而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。
在使用NAT时,Internet上的主机从表面上看起来直接与NAT设备通信,而非与专用网络中实际的主机通信。输入的数据包被发送到NAT设备的IP地址上,并且NAT设备将目的包头地址由自己的Internet地址变为真正的目的主机的专用网络地址。而结果是,理论上一个全球IP地址后面可以连接几百台、几千台乃至几百万台拥有专用地址的主机。但是,这实际上存在着缺陷。例如,许多Intemet协议和应用依赖于真正的端到端网络,在这种网络上,数据包完全不加修改地从源地址发送到目的地址。例如,IP安全架构不能跨NAT设备使用,因为包含原始IP源地址的原始包头采用了数字签名。如果改变源地址的话,数字签名将不再有效。NAT还提出了管理上的挑战。尽管NAT对于一个缺少足够的全球Internet地址的组织、分支机构或者部门来说是一种不错的解决方案,但是当重组、合并或收购需要对两个或更多的专用网络进行整合时,它就变成了严重的问题。甚至在组织结构稳定的情况下,NAT系统不能多层嵌套,从而造成路由瘫痪。
当改变网络的IP地址时,都要仔细考虑这样做会给网络中已有的安全机制带来什么样的影响。例如,防火墙根据IP报头中包含的TCP端口号、信宿地址、信源地址以及其他一些信息来决定是否让该数据包通过。可以依NAT设备所处位置来改变防火墙过滤规则,这是因为NAT改变了信源或信宿地址。如果一个NAT设备,如一台内部路由器,被买于受防火墙保护的一侧,将不得不改变负责控制NAT设备身后网络流量的所有安全规则。在许多网络中,NAT机制都是在防火墙上实现的。它的目的是使防火墙能够提供对网络访问与地址转换的双重控制功能。除非可以严格地限定哪一种网络连接可以被进行NAT转换,否则不要将NAT设备置于防火墙之外只要用户能够使NAT误以为他的连接请求是被允许的,都可以以一个授权用户的身份对网络进行访问。如果企业正在迈向网络技术的前沿,并正在使用IP安全协议(IPSec)来构造一个虚拟专用网(VPN)时,错误地放置NAT设备是不允许的。原则上,NAT设备应该被置于VPN受保护的一侧,因为NAT需要改动IP报头中的地址域,而在IPSec报头中该域是无法被改变的,这便可以准确地获知原始报文发自于哪一台工作站。如果IP地址被改变了,那么IPSec的安全机制也就失效了,因为既然信源地址都可以被改动,那么报文内容也可以被改动。
返回目录:通信工程师考试培训互联网技术重点汇总
编辑相关推荐:
延伸阅读
- 中级通信工程师互联网技术好考吗?
- 互联网技术中级通信是考什么?
- 通信工程师备考经验分享:互联网技术备考心得
- 2024年通信工程师中级互联网技术考试大纲
- 2023年通信工程师中级互联网技术考前三页纸
- 中级通信工程师互联网技术考试知识点:物联网
通信工程师微信公众号
通信工程师备考资料免费领取
去领取
距离2024 通信工程师考试
还有- 1
- 2
- 9
专注在线职业教育23年
APP 
微信群 
QQ群 
扫描二维码
扫描二维码
