网络地址转换技术原理.ppt

网络地址转换技术原理,2016年4月22日,因特网在快速发展过程中出现了几个问题:1、IPv4协议规定的32位IP地址资源越来越少。2、因特网中基于IP地址的恶意攻击严重威胁着因特网用户，特别是对外提供服务的网络服务器的使用安全。3、对于网络服务器来说，要接受数量巨大的连接请求，单台计算机不可能负载如此大的流量，为了保证网络服务的畅通，必须多台计算机对连接请求进行负载均衡，同时也起到了冗余备份的目的。网络地址转换（NAT）技术的产生解决了上述问题。,网络地址转换技术原理,NAT技术原理网络地址转换(NetworkAddressTranslation，NAT)是一种网络层技术，并具有扩展到传输层的特性。NAT设备通过改变通过它的数据报的源IP地址和（或）目的IP地址，将内部网络中使用的私有IP地址和在因特网上使用的公有IP地址进行转换，达到将内部网络接入因特网的目的。NAT转换有3种方式：静态NAT(StaticNAT)、动态地址NAT(PooledNAT)和网络地址端口转换NAPT（Port-LevelNAT）。,网络地址转换技术原理,静态NAT：是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。动态NAT：是指将内部网络的私有IP地址转换为公有IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。网络地址端口转换：在动态NAT的基础上，加入了端口参数。可以将内部不同本地地址都转换成一个内部全局地址，但是这些地址会被转换在该全局地址的不同端口上。可以保持回话的唯一性。从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自外部网络的攻击。,网络地址转换技术原理,网络地址转换技术原理1、内部地址翻译(TranslationInsideLocalAddress)2、网络地址端口转换NAPT（Port-LevelNAT）。,网络地址转换技术原理,内部本地地址（InsideLocaladdress,IL）：分配给内部网络设备的地址，一般为私有地址，并且这个地址不会对外部网络公布。内部全局地址（InsideGlobaladdress,IG）：代表一个或更多内部地址到外部网络的合法地址。通过这个地址，外部网络设备可以知道内部网络设备。外部本地地址（OutsideGlobaladdress,OL）:外部网络的主机地址，看起来是内部网络的私有地址，内部网络设备可以通过它知道外部网络设备。外部全局地址（OutsideGlobaladdress,OG）：分配给外部网络设备的地址，一般为合法地址，并且这个地址不会向内部网络公布。,网络地址转换技术原理,1、内部地址翻译当内部网络与外部网络通讯时，需要配置NAT，将内部私有IP地址转换成外部合法IP地址。内部地址翻译的整个过程如图1所示。图1内部地址翻译,网络地址转换技术原理,2、网络地址端口转换NAPT（Port-LevelNAT）。在内部全局地址复用操作中，NAT设备使用“内部全局地址TCP/UDP端口号”的形式来区分不同的内部主机。这也是所谓的“端口地址转换(PAT，PortAddressTranslation)”技术。,网络地址转换技术原理,网络地址端口转换NAPT（Port-LevelNAT）图2内部全局地址复用,网络地址转换技术原理,(1)内部主机192.168.1.2发起一个到外部主机202.194.133.1的连接。,网络地址转换技术原理,(2)当路由器接收到以192.168.1.2为源地址的第一个数据报时，引起路由器检查NAT映射表：如果NAT没有转换记录，路由器就为192.168.1.2作地址转换，并创建一条转换记录。,网络地址转换技术原理,如果启用了PAT，就进行另外一次转换，路由器将复用全局地址并保存足够的信息以便能够将全局地址转换回本地地址。PAT的地址转换记录称为扩展记录。,网络地址转换技术原理,(3)路由器用内部本地地址192.168.1.2对应的NAT转换记录中的内部全局地址，替换数据报源地址，经过转换后，数据报的源地址变为202.194.141.1，然后转发该数据报。,网络地址转换技术原理,(4)外部主机202.194.133.1接收到数据报后，将向202.194.141.1发送响应包。,网络地址转换技术原理,(5)当路由器接收到内部全局地址的数据报时，将以内部全局地址202.194.141.1及其端口号、外部全局地址及其端口号为关键字查找NAT映射表，根据NAT映射表中的扩展记录将数据报的目的地址转换成192.168.1.2，并转发数据报给192.168.1.2。,网络地址转换技术原理,(6)192.168.1.2接收到应答包，并继续保持会话。第一步到第五步将一直重复，直到会话结束。,网络地址转换技术原理,图2中，外部主机202.194.133.1以为是在跟同一台主机通信，实际上是分别与内部网络两台地址不同的主机通信，它们的内部本地地址分别为192.168.1.2和192.168.1.3。,网络地址转换技术原理,图2内部全局地址复用,网络地址转换技术原理,通过对网络地址转换技术原理的学习可以看到，NAT技术不仅完美地解决了IPv4协议中IP地址不足的问题，而且还能有效避免来自外部网络的