目录:
- 1、NAT 的路由器如何保护其内部的计算机系统
- 2、什么是NAT?NAPT有哪些特点?NAT的优点和缺点有哪些?NAT的优点和缺点有哪些?
- 3、关于NAT的一些总结
- 4、谈NAT 桥接 仅主机
- 5、NAT与NAPT德区别。
- 6、NAT原理与规则
NAT 的路由器如何保护其内部的计算机系统
NAT 的路由器会将内部的主机与外界的网络隔离起来,把内部的IP地址映射到一个公网进而连接到互联网上。进而起到了保护内部的计算机系统的作用。
NAT网络的优点是能够节省有限的公网IP地址,处理地址重叠,增强网络的灵活性,最主要的是可以隐藏自己的真实地址,避免恶意网络的攻击,强化了网络的安全性。
NAT网络的缺点,在路由器中配置NAT无形中增加了路由器的工作量,导致了网络延迟增加,配置和维护的工作量也比较大。
扩展资料:
NAT的工作原理
借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
NAT将自动修改IP报文的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文的数据部分进行修改,以匹配IP头中已经修改过的源IP地址。否则,在报文数据部分嵌入IP地址的应用程序就不能正常工作。
NAT的实现方式
NAT的实现方式有三种:即静态转换Static Nat、动态转换Dynamic Nat、端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。
只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。
动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
端口多路复用是指改变外出数据包的源端口并进行端口转换,即端口地址转换,采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。
隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
参考资料来源:百度百科-nat
什么是NAT?NAPT有哪些特点?NAT的优点和缺点有哪些?NAT的优点和缺点有哪些?
NAT(Network Address Translation,网络地址转换)为1994年提出的,当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
NAT的优点:通过NAT转换,接入子网可以使用私用IP,对外连接时由路由绑定私用IP与对外IP的关系,修改传输的IP包上的地址,从而只需要255个对外IP就能满足内部接入子网的对外连接需求。
缺点:
1、在一个具有NAT功能的路由器下的主机并没有创建真正的IP地址,并且不能参与一些因特网协议。一些需要初始化从外部网络创建的TCP连接和无状态协议(比如UDP)无法实现。
除非NAT路由器管理者预先设置了规则,否则送来的数据包将不能到达正确的目的地址。一些协议有时可以在应用层**(见下)的辅助下,在参与NAT的主机之间容纳一个NAT的实例,比如FTP。NAT也会使安全协议变的复杂,比如IPsec。
2、NAT除了带来方便和代价之外,对全双工连接支持的缺少在一些情况下可以看作是一个有好处的特征而不是一个限制。
在一定程度上,NAT依赖于本地网络上的一台机器来初始化和路由器另一边的主机的任何连接,它可以阻止外部网络上的主机的恶意活动。这样就可以阻止网络蠕虫病毒来提高本地系统的可靠性,阻挡恶意浏览来提高本地系统的
NAPT的优势:能够使用一个全球有效IP地址获得通用性。
缺点:在于其通信仅限于TCP或UDP。当所有通信都采用TCP或UDP,NAPT允许一台内部计算机访问多台外部计算机,并允许多台内部主机访问同一台外部计算机,相互之间不会发生冲突。
扩展资料
借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
NAT将自动修改IP报文的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文的数据部分进行修改,以匹配IP头中已经修改过的源IP地址。
否则,在报文数据部分嵌入IP地址的应用程序就不能正常工作。
参考资料来源:百度百科-nat
参考资料来源:百度百科-网络地址转换
关于NAT的一些总结
标签: tcp/ip
网络地址转换又称网络掩蔽、IP掩蔽(英语:Network Address Translation,缩写:NAT),在计算机网络中是一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。它是一个方便且得到了广泛应用的技术。当然,NAT也让主机之间的通信变得复杂,导致了通信效率的降低。
NAT是作为一种 解决IPv4地址短缺 以避免保留IP地址困难的方案而流行起来的。
在一个典型的配置中,一个 本地网络 使用一个专有网络的指定子网(比如192.168.x.x或10.x.x.x)和连在这个网络上的一个路由器。这个 路由器 占 有这个网络地址空间的一个 专有地址 (比如192.168.0.1),同时它还通过一个或多个因特网服务提供商提供的 公有的IP地址(叫做“过载”NAT )连接到因特网上。 当信息由本地网络向因特网传递时,源地址从专有地址转换为公用地址。由路由器跟踪每个连接上的基本数据,主要是目的地址和端口。当有回复返回路由器时,它通过输出阶段记录的连接跟踪数据来决定该转发给内部网的哪个主机;如果有多个公用地址可用,当数据包返回时,TCP或UDP客户机的端口号可以用来分解数据包。对于因特网上的通信,路由器本身充当源和目的。
流行在网络上的一种看法认为,IPv6的广泛采用将使得NAT不再需要,因为NAT只是一个处理IPv4的地址空间不足的方法。
原文:
在一个具有NAT功能的路由器下的主机并 没有创建真正的IP地址 ,并且不能参与一些因特网协议。一些需要初始化从外部网络创建的TCP连接和无状态协议(比如UDP)无法实现。除非NAT路由器管理者预先设置了规则,否则送来的数据包将不能到达正确的目的地址。一些协议有时可以在应用层**(见下)的辅助下,在参与NAT的主机之间容纳一个NAT的实例,比如FTP。NAT也会使安全协议变的复杂,比如IPsec。
端对端连接是被IAB委员会(Internet Architecture Board)支持的核心因特网协议之一,因此有些人据此认为NAT是对公用因特网的一个破坏。一些因特网服务提供商(ISP)只向他们的客户提供本地IP地址,所以他们必须通过NAT来访问ISP网络以外的服务,并且这些公司能不能算的上真正的提供了因特网服务的话题也被谈起。
NAT除了带来方便和代价之外,对全双工连接支持的缺少在一些情况下可以看作是一个有好处的特征而不是一个限制。在一定程度上,NAT依赖于本地网络上的一台机器来初始化和路由器另一边的主机的任何连接,它可以阻止外部网络上的主机的恶意活动。这样就可以阻止网络蠕虫病毒来提高本地系统的可靠性,阻挡恶意浏览来提高本地系统的私密性。很多具有NAT功能的防火墙都是使用这种功能来提供核心保护的。另外,它也为UDP的跨局域网的传输提供了方便。
基本NAT和端口号转换
基本网络地址转换(Basic NAT)
这一种也 可称作NAT或“静态NAT” ,在RFC 2663中提供了信息。它在技术上比较简单 ,仅支持地址转换,不支持端口映射 。Basic NAT要求对 每一个当前连接都要对应一个公网IP地址 ,因此要维护一个公网的地址池。宽带(broadband)路由器通常使用这种方式来允许一台指定的设备去管理所有的外部链接,甚至当路由器本身只有一个可用外部IP时也如此,这台路由器有时也被标记为DMZ主机。由于改变了IP源地址,在重新封装数据包时候必须重新计算校验和,网络层以上的只要涉及到IP地址的头部校验和都要重新计算。
网络地址端口转换(NAPT)
这种方式支持端口的映射,并允 许多台主机共享一个公网IP地址 。
支持端口转换的NAT又可以分为两类: 源地址转换和目的地址转换 。前一种情形下发起连接的计算机的IP地址将会被重写,使得内网主机发出的数据包能够 到达外网主机 。后一种情况下被连接计算机的IP地址将被重写,使得外网主机发出的数据包能够 到达内网主机 。实际上, 以上两种方式通常会一起被使用以支持双向通信。
利用端口号的唯一性实现了公网ip转换为私网ip的这一步。PAT(NAT重载)能够使用 传输层端口号来标识主机 ,因此,从理论上说, 最多可让大约65000台主机共用一个公有IP地址
NAPT维护一个带有IP以及端口号的NAT表,结构如下。
内网IP 外网IP
192.168.1.55:5566 219.152.168.222:9200
192.168.1.59:80 219.152.168.222:9201
192.168.1.59:4465 219.152.168.222:9202
不同类型的NAT:
完全圆锥型NAT(Full cone NAT),即一对一(one-to-one)NAT
一旦一个内部地址(iAddr:port)映射到外部地址(eAddr:port),所有发自iAddr:port的包都经由eAddr:port向外发送。任意外部主机都能通过给eAddr:port发包到达iAddr:port(注:port不需要一样)
端口受限圆锥型NAT(Port-Restricted cone NAT)
类似受限制锥形NAT(Restricted cone NAT),但是还有端口限制。
一旦一个内部地址(iAddr:port1)映射到外部地址(eAddr:port2),所有发自iAddr:port1的包都经由eAddr:port2向外发送。
在受限圆锥型NAT基础上增加了外部主机源端口必须是固定的 。
对称NAT(Symmetric NAT)
每一个 来自相同内部IP与端口,到一个特定目的地地址和端口的请求, 都映射到一个独特的外部IP地址和端口。
同一内部IP与端口发到不同的目的地和端口的信息包,都使用不同的映射 只有曾经收到过内部主机数据的外部主机,才能够把数据包发回
谈NAT 桥接 仅主机
,自己复述一遍,加深印象
基本概念:
VMnet0 桥接
VMnet1 仅主机 -- 192.168.150.0 子网地址
VMnet8 NAT模式 -- 192.168.62.0 子网地址
同时在主机上会多出两块虚拟网卡
注意VMnet0 等是 虚拟交换机, Vmware nework Adapoer VMnet1 等为虚拟网卡
如果删除,还原 vmware的网络设置即可。
这里是没有仅主机的对应网卡的。原因后续阐述
网桥工作在物理层和数据链路层,作为一个物理层的设备,他接收信号,作为数据链路层的设备,网桥可以检查包含在帧中的MAC地址。
这也是网桥和集线器的不同所在。集线器广播所有数据,过滤工作交给主机。
网桥直接承担了过滤工作。依靠的是网桥表。
桥接模式就是将主机网卡与虚拟机得网卡,利用虚拟网桥进行通信。在桥接的作用下,可以想象成这样,类似把物理主机虚拟为一个交换机。所有桥接设置的虚拟机,包括物理机也都插在这个交换机中。
所有桥接下的网卡与网卡都是交换模式的。可以相互访问而不干扰。
桥接,就是和 物理机 同级。
如果需要联网,则虚拟机的**, DNS 都需要与主机网卡保持一致。IP 需要与 物理机处于同一个网段。
虚拟机上的虚拟网卡,物理网卡,都连接在虚拟交换机Vmnet0上,物理机是台机器,虚拟机是台机器,两者平级,所以并不需要额外得虚拟网卡
NAT 涉及的内容较多,也是 内网穿透/打洞的 理论基础。然而这块我没有接触过,只粗略了解过,什么锥形NAT IP/端口限制型NAT, 各种NAT组成的 打洞 类型。以后接触到再详细研究吧。
NAT: network address translation
路由器的 NAT 功能开了,则 内网的 主机 有一套私有地址,对外转发的时候,用公网地址。路由器自己维护了一张 NAT 表,来过滤包。
内部主机
IP: A
PORT:B
从路由器出去
IP : C
PORT : D
PORT 可相同,也可以不同。(依据NAT类型不同而定,以后遇到,再详细学习)
路由器内部产生一个新的表项。
现网中,可能是不断的套娃,你家的路由器挂在小区里的某个路由器下的NAT中,这个路由器又挂在整个区域的某个NAT中。
VM的NAT模式借助虚拟NAT设备和虚拟DHCP服务器,使得虚拟机可以联网。
物理机得设备中:
VMnet8 NAT模式 -- 192.168.62.0 子网地址
此时物理机可以被当作 开启了 NAT 功能得路由器。虚拟机 是 物理机下挂得一台机器。
注意理解上述红字内容。
在NAT模式中,主机网卡直接与虚拟NAT设备相连,然后虚拟NAT 和 虚拟 DHCP 接在了 交换机 VMnet8上。这样就实现了 虚拟机联网。
而虚拟网卡VMware Network Adapoer VMnet8 (192.168.62.1)则是为了让主机 和 其他 虚拟机通信而准备得。
上网则是 通过 主机得网卡+虚拟NAT设备 搞定得。
测试:
VMnet1 仅主机 -- 192.168.150.0 子网地址
host only 模式去除NAT,主机使用 VMware NetWork Adapter VMnet1 网卡与 其他虚拟机通信。
相当虚拟机把一条网线直接插到物理机上,Host-Only 模式 将虚拟机与外网隔开。使得虚拟机是一个独立得系统。只与主机相互通讯。
Host-Only 如果不另外设置,是不能上网得。
Host-Only 想上网,则需要将 物理机得 网卡 共享个 Vmware NetWork Adaptor VMNet 网卡。(右键网卡属性,设置即可)
会重新分配adaptor地址。重新设置dhcp。
设置 虚拟机
由此可以看出,将VMWare NetWork Adapter VMnet 的地址,当成了默认**了!
我觉得主要原因就是设置方便。
物理机当作了 NAT 得 Router, 物理机能上网,虚拟机就能上网,且不用重新设置 虚拟即得IP. 物理机不能上网,虚拟机当然也不能上网。
物理机 家 公司 来回切换,不用修改 虚拟机得地址。不受 物理机接入网络得影响。
桥接得话 虚拟机要保持与 物理机得IP地址一致。从家 到 公司,还要切换虚拟机得地址,很烦。
NAT与NAPT德区别。
1、功能不同
NAT是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
NAPT即网络端口地址转换,是人们比较熟悉的一种转换方式,使用一个合法公网地址,以不同的协议端口号与不同的内部地址相对应,也就是内部地址+内部端口与外部地址+外部端口之间的转换,用于企业只有一个公网IP但是有多个业务系统需要被互联网访问的场景。
2、作用不同
NAT不仅能解决IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAPT普遍用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT也被称为“一对多”的NAT,或者叫PAT(Port Address Translations,端口地址转换)、地址超载。
3、内部链接不同
NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。
NAPT算得上是一种较流行的NAT变体,通过转换TCP或UDP协议端口号以及地址来提供并发性。除了一对源和目的IP地址以外,这个表还包括一对源和目的协议端口号,以及NAT盒使用的一个协议端口号。
参考资料来源:百度百科-NAPT
参考资料来源:百度百科-NAT
NAT原理与规则
1、NAT基本原理是使用一台机器作为虚拟网络的**路由器,构建192.168..xxx.xxx这样的网段用于内部网络与外网通信。流量的进出都只能通过作为**的主机。 NAT路由器至少有一个全球ip
2、NAT用于 内部的本地ip想要和外网通信的场景中 。
3、NAT的工作模式:内网ip和外网通信时,先经过NAT,由转换表的规则将ip地址做转换后访问全球网络。目的主机收到数据包以为是NAT发来的,处理之后返回给NAT,NAT再次进行ip转换,回复给源主机。
4、总共3列:
方向(进/出),旧的ip和端口号,新的ip和端口号
评论前必须登录!
注册