計算機網(wǎng)絡(luò )地址翻譯(NAT)的原理及具體應用論文

　　網(wǎng)絡(luò )地址翻譯(NAT,Network Address Translation)是計算機網(wǎng)絡(luò )技術(shù)中的一個(gè)重要技術(shù)。通過(guò)分析NAT技術(shù)的原理,文章完整的介紹了NAT技術(shù)的各個(gè)方面,并以CISCO路由器為例,提出了具體應用。

　　隨著(zhù)Internet的膨脹式發(fā)展,其可用的公網(wǎng)IP地址越來(lái)越少,要想再申請到一個(gè)新的公網(wǎng)IP地址已是很不容易的事了。NAT技術(shù)很方便的解決了這些問(wèn)題。NAT(Network Address Translation)網(wǎng)絡(luò )地址翻譯,指的是將一個(gè)內網(wǎng)私有IP地址轉換成外網(wǎng)(公網(wǎng))IP地址。利用NAT技術(shù),公網(wǎng)IP地址可以對外代表一個(gè)或多個(gè)內部地址。我們一般可以把NAT技術(shù)分為三種:靜態(tài)NAT,動(dòng)態(tài)NAT和NAPT,其中NAPT又可以稱(chēng)為PAT。

　　1、靜態(tài)NAT

　　靜態(tài)NAT的工作原理很簡(jiǎn)單。NAT將網(wǎng)絡(luò )分為內部網(wǎng)絡(luò )(inside)和外部網(wǎng)絡(luò )(outside),內部網(wǎng)絡(luò )指的是單位內部局域網(wǎng),外部網(wǎng)絡(luò )指的是公共網(wǎng)絡(luò ),一般是指Internet。靜態(tài)NAT將內部本地私有IP地址與外部合法公網(wǎng)IP地址進(jìn)行一對一的轉換,且需要指定到底內部IP和哪個(gè)合法地址進(jìn)行轉換,即需要建立一張網(wǎng)絡(luò )地址轉換表;內部地址與全局地址一一對應,每當內部節點(diǎn)與外界通信時(shí),內部私有IP地址就會(huì )轉換為對應的公網(wǎng)IP 地址。

　　某學(xué)校內部局域網(wǎng)使用的IP網(wǎng)段是192.168.0.0/24,現在它們申請了一段公網(wǎng)IP:100.0.0.3—— 100.0.0.100/24。靜態(tài)NAT就是要求內部私有IP地址和公網(wǎng)IP地址是一一對應的關(guān)系。那么假設PC1有一個(gè)私有 IP:192.168.0.3/24,當它需要訪(fǎng)問(wèn)Internet時(shí),它先向路由器發(fā)出請求,路由器會(huì )根據靜態(tài)NAT的設置,把私有 IP(192.168.0.3)轉換為公網(wǎng)IP(100.0.0.3),然后把數據包發(fā)送出去。Internet需要返回數據時(shí),返回的數據是發(fā)送給 100.0.0.3,然后由路由器根據對應關(guān)系,把這個(gè)數據包發(fā)送到192.168.0.3。

　　可以看出,靜態(tài)NAT實(shí)現的是一對一的轉換,將內部私有IP固定的轉換為外網(wǎng)合法IP,這是不可能節省IP地址資源的。但是靜態(tài)NAT的好處是,如果內網(wǎng)中建立了服務(wù)器,比如Web,Ftp,E-mail等服務(wù)器,這些服務(wù)器往往同時(shí)為內網(wǎng)和外網(wǎng)提供服務(wù),對于這樣的服務(wù),就必須建立靜態(tài) NAT進(jìn)行轉換。

　　CISCO路由器的配置命令是:

　　端口模式下:

　　Ip nat inside !將某端口指定為內部端口

　　Ip nat outside!將端口指定為外部端口

　　全局模式下:

　　Ip nat inside source static inside_ip outside_ip

　　Inside_ip,指的是內部IP地址

　　Outside_ip,指的是翻譯成的外部IP地址

　　2、動(dòng)態(tài)NAT

　　動(dòng)態(tài)NAT也是實(shí)現私有IP和公網(wǎng)IP之間的一一對應轉換,但是它們的關(guān)系是不固定的,就是說(shuō)私有IP訪(fǎng)問(wèn)外網(wǎng)時(shí)也要進(jìn)行轉換,轉換成公網(wǎng)IP,但是轉換時(shí)不是固定轉換成某一IP,而是隨機的。

　　(1)首先還是要地址轉換,內網(wǎng)轉換成外網(wǎng)。(2)和靜態(tài)的不同,是動(dòng)態(tài)的轉換。動(dòng)態(tài)NAT是定義了一個(gè)地址池(pool),其中地址池中的地址是一組連續的外網(wǎng)IP地址,所有內網(wǎng)中允許的IP都可以使用地址池中的任意一個(gè)進(jìn)行轉換。所謂允許的IP是指可以在路由器上使用訪(fǎng)問(wèn)控制列表來(lái)定義, 允許哪一部分內網(wǎng)IP使用這個(gè)地址池進(jìn)行轉換。根據訪(fǎng)問(wèn)控制列表的命令要求,允許的IP一般是某一個(gè)網(wǎng)段,如192.168.0.0/24等。(3)動(dòng)態(tài) NAT的外網(wǎng)轉換IP是動(dòng)態(tài)的,不固定,當需要時(shí)從地址池隨機選擇。用完后(通信結束)就需要把這個(gè)地址放回地址池,供其他主機使用。這樣就可以部分緩解外網(wǎng)IP地址壓力。(4)注意,靜態(tài)NAT和動(dòng)態(tài)NAT可以共存。如果有需要內、外網(wǎng)都訪(fǎng)問(wèn)的服務(wù)器,可以采用靜態(tài)NAT,別的可以采用動(dòng)態(tài)NAT。動(dòng)態(tài) NAT還有一個(gè)好處,因為內網(wǎng)主機訪(fǎng)問(wèn)出去的IP經(jīng)常隨機變化,增加了網(wǎng)絡(luò )安全性。

　　3、PAT或NAPT

　　PAT是NAT技術(shù)中的一種特殊的方法,可以將一段私有IP轉換成一個(gè)公網(wǎng)IP地址,從而節省了公網(wǎng)IP地址資源,這種技術(shù)稱(chēng)為 PAT(Port Address Translation)端口地址翻譯。有的地方稱(chēng)為NAPT(Network Address Port Translation)網(wǎng)絡(luò )地址端口轉換,意思是一樣的。

　　實(shí)際上PAT和動(dòng)態(tài)NAT幾乎是一樣的,只不過(guò)在地址轉換的時(shí)候沒(méi)有地址池,或說(shuō)地址池內只有一個(gè)地址,所有的私有地址都轉換成同一個(gè)公網(wǎng)IP地址,轉換時(shí)對網(wǎng)關(guān)路由器的外網(wǎng)接口IP地址進(jìn)行復用(overload)。復用技術(shù)是通過(guò)利用對話(huà)的端口號來(lái)實(shí)現的。

　　端口模式下:

　　Ip nat inside !將某端口指定為內部端口

　　Ip nat outside!將端口指定為外部端口

　　全局模式下:

　　(1)Ip nat pool name start_ip end_ip netmask netmask

　　其中:name指的是地址池的名稱(chēng)

　　Start_ip end_ip指的是地址池的開(kāi)始IP和結束IP,在PAT時(shí),這兩個(gè)IP地址是一樣的,但要寫(xiě)兩個(gè),不能省略。如100.0.0.1 100.0.0.1

　　Netmask指的是地址池的IP地址的子網(wǎng)掩碼

　　(2)access_list number permit source wildcard

　　其中:number指的是訪(fǎng)問(wèn)控制列表的號碼,1——99

　　source wildcard指的是允許地址轉換的地址段和對應的通配符。

　　(3)ip nat inside source list number pool name overload

　　其中:number還是那個(gè)2號命令中的那個(gè)訪(fǎng)問(wèn)控制列表號

　　Name還是那個(gè)1號命令中地址池的名字

　　Overload是實(shí)現PAT的關(guān)鍵字,不能省略

　　和動(dòng)態(tài)NAT對照比較可以看出,PAT僅僅在定義IP地址池的地方換成一個(gè)IP地址和最后增加overload兩處不同。

　　最后,NAT隱藏了內部IP地址,使其具有一定的安全性,但我們絕不能將NAT作為網(wǎng)絡(luò )單一的安全防范措施,尤其是靜態(tài)NAT。因為:

　　(1)NAT只對地址進(jìn)行轉換而不進(jìn)行其他操作,因此,一旦建立了與外部網(wǎng)絡(luò )的連接時(shí),NAT不會(huì )阻止任何從外部返回的惡意破壞信息。(2) 雖然NAT隱藏了端到端的IP地址,但它并不隱藏主機信息。如果通過(guò)NAT設備訪(fǎng)問(wèn)某些功能服務(wù)器,服務(wù)器記錄的不僅是主機名,還有內部IP地址和操作系統。(3)Internet上的惡意攻擊通常針對機器的“熟知端口”,如HTTP的80端口、FTP的21端口和POP的110端口等。雖然NAT可以屏蔽不向外部網(wǎng)絡(luò )開(kāi)放的端口,但針對面向熟知端口的攻擊,它是無(wú)能為力的。(4)許多NAT設備都不記錄從外部網(wǎng)絡(luò )到內部網(wǎng)絡(luò )的連接,這會(huì )使內部計算機受到來(lái)自外部網(wǎng)絡(luò )的攻擊時(shí),由于沒(méi)有記錄可以追查,根本無(wú)法發(fā)覺(jué)自己受到過(guò)什么攻擊。

【計算機網(wǎng)絡(luò )地址翻譯(NAT)的原理及具體應用論文】相關(guān)文章：

計算機應用論文06-25

計算機應用基礎論文12-02

計算機應用基礎論文07-23

計算機應用畢業(yè)論文09-29

計算機應用技術(shù)論文06-08

（合集）計算機應用論文15篇06-25

計算機應用畢業(yè)論文11-27

計算機網(wǎng)絡(luò )應用論文10-26

[經(jīng)典]計算機網(wǎng)絡(luò )應用論文10-09

計算機網(wǎng)絡(luò )應用論文05-17