实验十一nat课件

上海师范大学数理信息学院,Unit 11,网络地址转换(NAT),实验目的 了解NAT的工作原理。 实验内容 了解NAT的工作原理，实现由内网通过NAT访问因特网；端口映射,上海师范大学数理信息学院,什么是NAT,NAT是Network Address Translation(网络地址转换)的缩略语，是使用一台路由器在你的专用网络中的PC之间实现互连网接入共享的一种技术，尽管那些PC没有一个合法的公共IP地址 NAT路由器有 硬件 软件 要用作NAT路由器的服务器必须要安装两个网卡。其中一个网卡连接到互联网，另一个网卡连接到专用网 当内部网络客户端发送 Internet 连接请求时，NAT 协议驱动程序将截获该请求，并将其转发到目标 Internet 服务器。所有请求看上去都像是来自 NAT 服务器的外部 IP 地址。此过程隐藏了您的内部 IP 地址配置,上海师范大学数理信息学院,IP地址解析的考虑,连接到互联网的一个网卡必须指定一个互联网服务提供商(ISP)向你提供的IP地址 连接到你的专用网络的网卡可以使用192.168.x.x的地址段 建议设立一个DHCP服务器，让这个服务器从你选择的地址段中为你的网络中的工作站分配地址 必须为连接到你的专用网的NAT服务器中的网卡分配静态地址 必须让默认网关地址与你分配给你的NAT服务器的专用网地址相匹配 如果自己的DNS服务器，可使用你的互联网服务提供商的DNS服务器的地址。不过，如果你的网络正在运行活动目录，那么，你已经拥有了一台DNS服务器，你应该使用它的地址。然后，你可以在这台DNS服务器上设置一个转发器，这样，任何没有解析的请求都将转发到你的互联网服务提供商的DNS服务器。 让客户机指向你的DNS服务器而不是你的互联网服务提供商的DNS服务器,上海师范大学数理信息学院,NAT的技术背景,NAT可以缓解IP地址耗尽的问题 NAT对于用户是透明的 使具有私有地址的主机可与互联网上的其它主机通讯 可以让具有重叠IP地址的主机之间进行通讯 可以使用多台服务器进行负载均衡,上海师范大学数理信息学院,NAT技术的优缺点,优点 节省了公网上的合法IP地址 避免发生地址复用 增强了连接到internet的灵活性 网络变动时不必重新分配IP地址 缺点 地址转换会引起交换上的延迟 无法进行端到端的IP路由追踪 导致某些应用无法工作,上海师范大学数理信息学院,NAT的基本功能,应用了NAT功能的路由器将私有网络地址转换成公网地址 应用了NAT功能的路由器可以同时转换数据报文的源和目的IP,上海师范大学数理信息学院,NAT常用术语,内部本地地址（inside local） 只能在本地网络中路由的地址，是本地网络的真实地址 内部全局地址（inside global） 可以在外部网络中路由的地址，供内部主机做地址转换 外部本地地址（outside local） 只能在本地网络中路由的地址，供外部主机做地址转换 外部全局地址（outside global） 可以在全局网络中路由的地址，是外部网络的真实地址 地址池（address pool） 可用于转换的地址的集合,上海师范大学数理信息学院,NAT的转换过程,注意 ：使用 w1.x1.y1.z1 和 w2.x2.y2.z2 用来将有效的公用 IP 地址表示为是由ISP 分配的,0 用户使用 Web 浏览器连接到 w2.x2.y2.z2 的 Web 服务器 目标 IP 地址：w2.x2.y2.z2 源 IP 地址： 0 目标端口：TCP 端口 80 源端口：TCP 端口 1025,上海师范大学数理信息学院,NAT的转换过程,此 IP 数据包转发到 NAT 协议，它将传出的数据包地址转换成下面的形式 ） 目标 IP 地址：w2.x2.y2.z2 源 IP 地址：w1.x1.y1.z1 目标端口：TCP 端口 80 源端口：TCP 端口 5000 NAT 协议在表中保留了 0， TCP 1025 到 w1.x1.y1.z1， TCP 5000 的映射,上海师范大学数理信息学院,NAT的转换过程,转发的 IP 数据包是通过 Internet 发送的。响应通过 NAT 协议发回和接收。当接收时，数据包包含下面的公用地址信息 目标 IP 地址：w1.x1.y1.z1 源 IP 地址：w2.x2.y2.z2 目标端口：TCP 端口 5000 源端口：TCP 端口 80,上海师范大学数理信息学院,NAT的转换过程,NAT 协议检查转换表，将公用地址映射到专用地址，并将数据包转发给位于 0 的计算机。转发的数据包包含以下地址信息 目标 IP 地址： 0 源 IP 地址：w2.x2.y2.z2 目标端口：TCP 端口 1025 源端口：TCP 端口 80 对于来自 NAT 协议的传出数据包，源 IP 地址（专用地址）被映射到 ISP 分配的地址（公用地址），并且 TCP/UDP 端口号也会被映射到不同的 TCP/UDP 端口号。 对于到 NAT 协议的传入数据包，目标 IP 地址（公用地址）被映射到源 Intranet 地址（专用地址），并且 TCP/UDP 端口号被重新映射回源 TCP/UDP 端口号,上海师范大学数理信息学院,NAT的其它应用PAT,多个私网地址利用一个公网地址访问internet，以端口号做为不同session的标识,Internet,Inside,,,,,SA ,1,SA ,3,DA ,4,DA ,5,Outside,上海师范大学数理信息学院,NAT的其它应用TCP负载均衡,多台镜像的服务器对外显示为一台虚拟服务器，路由器将流量均衡到真实的服务器上,NAT table,Inside Global IP,Address: Port,27:80,27:80,27:80,Outside Global,IP Address: Port,:3058,:4371,:3062,Protocol,TCP,TCP,TCP,Inside Local IP,Address: Port,:80,:80,:80,6,Inside,,,,,SA 27,5,DA 27,1,DA ,3,Outside,2,SA ,4,Virtual Server 27,HTTP,Internet,上海师范大学数理信息学院,Windows中配置 NAT 服务器,开始 管理工具 路由和远程访问,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,需要的拨号接口是一种功能，能够让Windows在需要外部连接的时候建立一个拨号网络连接,连接到外部网络(通常是互联网)的网络接口,这个防火墙将阻止不必要的通信进入网络，如需要批准外部用户访问网络上的某些服务，可选择设置端口转发，让数据包穿过防火墙达到指定的网络资源,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,表示内部网络接口的接口,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,表示外部网络接口的接口,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,NAT 服务器还可以代表 NAT 客户端执行域名系统 (DNS) 查询。路由和远程访问 NAT 服务器对包括在客户端请求中的 Internet 主机名进行解析，然后将该 IP 地址转发给客户端 要配置路由和远程访问 NAT 服务器以分配 IP 地址并代表内部网络客户端执行代理 DNS 查询,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,上海师范大学数理信息学院,Windows中配置 NAT 服务器,使用请求拨号接口连接到 Inte