什麼叫NAT,設定NAT的兩個方法

2021-09-07 16:17:47 字數 3707 閱讀 3891

nat是網路位址翻譯就是把公網ip翻譯成私有位址, 又叫埠對映或埠**. 採用路由方式是指adsl擁有乙個動態或固定的公網ip,adsl直接接在hub或交換機上,所有的電腦共享上網。這時adsl的外部位址只有乙個,比如61.177.*.*。 而內部的ip是人為設定的,比如adsl設為192.168.0.1,下面的電腦就依次設為192.168.0.*(*表示1,2,3,...)。  

另一種方法就是開放主機。開放主機(dmz host)是針對ip位址,取消防火牆的功能,將該區域網的ip位址直接對映到外部ip之上,採用開放主機(dmz)的方式,不必管埠是多少。這種方式只支援一台內部電腦。

nat———網路位址翻譯

注:我們驢友一般來說都是家庭使用者,所以我們大多數是用到「埠nat(pat)」

******************************************

隨著internet的飛速發展,網上豐富的資源產生著巨大的吸引力。接入internet、訪問internet成為當今資訊業最為迫切的需求。

但這受到ip位址的許多限制。首先,許多區域網在未聯入internet之前,就已經執行許多年了,區域網上有了許多現成的資源和應用程式,但它的ip位址分配不符合internet的國際標準,因而需要重新分配區域網的ip位址,這無疑是勞神費時的工作;其二,隨著internet的膨脹式發展,其可用的ip位址越來越少,要想在isp處申請乙個新的ip位址已不是很容易的事了。這不僅僅是費用的問題,而是ip位址的現行標準ipv4決定的。當然,隨著ipv6的出台,這個問題應當能夠得到解決。但從ipv4到ipv6的公升級不是一兩天就能完成的。

nat(網路位址翻譯)能解決不少令人頭疼的問題。它解決問題的辦法是:在內部網路中使用內部位址,通過nat把內部位址翻譯成合法的ip位址,在internet上使用。其具體的做法是把ip包內的位址域用合法的ip位址來替換。

nat功能通常被整合到路由器、防火牆、isdn路由器或者單獨的nat裝置中。nat裝置維護乙個狀態表,用來把非法的ip位址對映到合法的ip位址上去。每個包在nat裝置中都被翻譯成正確的ip位址發往下一級,這意味著給處理器帶來了一定的負擔。但這對於一般的網路來說是微不足道的,除非是有許多主機的大型網路。

需要注意的是,nat並不是一種有安全保證的方案,它不能提供類似防火牆、包過濾、隧道等技術的安全性,僅僅在包的最外層改變ip位址。這使得黑客可以很容易地竊取網路資訊,危及網路安全。

nat有三種型別:靜態nat(staticnat)、nat池(poolednat)和

埠nat(pat)。其中靜態nat設定起來最為簡單,內部網路中的每個主機都被永久對映成外部網路中的某個合法的位址。而nat池則是在外部網路中定義了一系列的合法位址,採用動態分配的方法對映到內部網路。pat則是把內部位址對映到外部網路的乙個ip位址的不同埠上。根據不同的需要,各種nat方案都是有利有弊。

■使用nat池

使用nat池,可以從未註冊的位址空間中提供被外部訪問的服務,也可以從內部網路訪問外部網路,而不需要重新配置內部網路中的每台機器的ip位址。例如,建立在nt+iis伺服器上的內部試驗子網192.168.0.0,其網路位址屬於b類保留位址。作為企業網的乙個子網,其ip位址不分配給企業網上的裝置而僅僅侷限在試驗子網的裝置上。為了使企業網能訪問到這個內部網,在網路上增加一條靜態路徑,使資訊能回傳給cisco4700路由器。其中的路由器可以把內部網和企業網連線起來,使之能相互訪問。在內部網中不要使用rip協議,因為使用rip後,內部網路相對外部來說變得不可見了。

這樣,本地資訊可以相互訪問了,但由於192.168.0.0屬於保留位址,故不能直接訪問internet。所以在路由器中設定乙個nat池,用來翻譯來自內部網路的ip包,把它的ip位址對映成位址池(pooledaddresses)中的合法ip位址。那麼,內部網可以訪問internet上的任何伺服器,internet上的任何主機也能通過tcp或udp訪問到內部網。

採用nat池意味著可以在內部網中定義很多的內部使用者,通過動態分配的辦法,共享很少的幾個外部ip位址。而靜態nat則只能形成一一對應的固定對映方式。該引起注意的是,nat池中動態分配的外部ip位址全部被占用後,後續的nat翻譯申請將會失敗。慶幸的是,許多有nat功能的路由器有超時配置功能。例如在上述的cisco4700中配置成開始15分鐘後刪除當前的nat程序,為後續的nat申請預留出外部ip位址。通過試驗表明,一般的外部連線不會很長,所以短的時間閾值也可以接受。當然使用者可以自行調節時間閾值,以滿足各自的需求。

nat池提供很大靈活性的同時,也影響到網路原有的一些管理功能。例如,snmp管理站利用ip位址來跟蹤裝置的運**況。但使用nat之後,意味著那些被翻譯的位址對應的內部位址是變化的,今天可能對應一台工作站,明天就可能對應一台伺服器。這給snmp管理帶來了麻煩。乙個可行的解決方案就是把劃分給nat池的那部分位址在snmp管理平台上標記出來,對於這些不響應管理訊號的位址不予報警,如同它們被關掉了一樣。

■使用pat

pat在遠端訪問產品中得到了大量的應用,特別是在遠端撥號使用者使用的裝置中。pat可以把內部的tcp/ip對映到外部乙個註冊ip位址的多個埠上。pat可以支援同時連線64500個tcp/ip、udp/ip,但實際可以支援的工作站個數會少一些。因為許多internet應用如http,實際上由許多小的連線組成。

在internet中使用pat時,所有不同的tcp和udp資訊流看起來彷彿都**於同乙個ip位址。這個優點在小型辦公室(soho)內非常實用,通過從isp處申請的乙個ip位址,將多個連線通過pat接入internet。實際上,許多soho遠端訪問裝置支援基於ppp的動態ip位址。這樣,isp甚至不需要支援pat,就可以做到多個內部ip位址共用乙個外部ip位址上internet。雖然這樣會導致通道的一定擁塞,但考慮到節省的isp上網費用和易管理的特點,用pat還是很值得的。

■基於nat的負載平衡

以上所談論的均是關於使用nat和pat來把內部ip位址轉換成外部合法的ip位址使用。下面介紹nat的另乙個運用:作為用於負載平衡的dns系列伺服器(dnsround-robin)的乙個替代品。dns系列伺服器解決了多個ip位址共用乙個網域名稱的問題。它會在響應dns申請時跳躍式地尋找可用的ip位址。達到的效果就是乙個網域名稱可以對應多個ip位址。這種功能可以應用在乙個http伺服器群中,利用它可以平衡多個伺服器的負載。但是這裡還有乙個問題,ip客戶端會在本地緩衝dns/ip位址解析,從而使它的後續的申請都會到達同乙個ip位址,減弱了dns系列伺服器的作用。

使用基於nat的負載平衡方案,則可以避免這個問題。路由器或其它nat裝置把需要負載平衡的多個ip位址翻譯成乙個公用的ip位址,每個tcp連線被nat送到乙個ip位址,而後續的tcp連線則被nat送到下乙個ip位址。真正實現了負載平衡。當然,基於nat的負載平衡只能在nat上實現,而不能在pat上實現。

■安全問題

當nat改變包的ip位址後,需要認真考慮這樣做對安全設施帶來的影響。

對於防火牆,它利用ip位址、tcp埠、目標位址以及其它在ip包內的資訊來決定是否干預網路的連線。當使用了nat之後,可能就不得不改變防火牆的規則,因為nat改變了源位址和目的位址。

在許多配置中,nat被整合在防火牆系統之中,提供訪問控制和位址翻譯的功能。不要把nat設在防火牆之外,因為黑客可以輕易地騙過nat,讓nat認為它是乙個授權使用者,從而進入網路。

若企業網中使用了vpn(虛擬專用網),並用ipsec進行加密安全保證,那麼錯誤地設定nat將會破壞vpn的功能。把nat放在受保護的vpn內部,而不是在中間。因為nat改變ip包內的位址域,而ipsec規定一些資訊是不能被改變的。若ip位址被改變了,ipsec就會認為這個包是偽造的,拒絕使用。

雖然nat帶來了許多優越性,例如使現有網路不必重新編址、減少了isp接入費用,還可以起平衡負載的作用,但nat潛在地影響到一些網路管理功能和安全設施,這就需要謹慎地使用它。

什麼叫NAT,設定NAT的兩個方法

nat是網路位址翻譯就是把公網ip翻譯成私有位址,又叫埠對映或埠 採用路由方式是指adsl擁有乙個動態或固定的公網ip,adsl直接接在hub或交換機上,所有的電腦共享上網。這時adsl的外部位址只有乙個,比如61.177.而內部的ip是人為設定的,比如adsl設為192.168.0.1,下面的電腦...

什麼叫NAT,設定NAT的兩個方法

nat是網路位址翻譯就是把公網ip翻譯成私有位址,又叫埠對映或埠 採用路由方式是指adsl擁有乙個動態或固定的公網ip,adsl直接接在hub或交換機上,所有的電腦共享上網。這時adsl的外部位址只有乙個,比如61.177.而內部的ip是人為設定的,比如adsl設為192.168.0.1,下面的電腦...

SharePoint 禁用本地回環的兩個方法

有兩種方法中,若要變通解決此問題,請根據您的具體情況使用下列方法之一。設定disablestrictnamechecking 為 1 的登錄檔項。281308 連線到 smb 共享一台基於 windows 2000 的計算機或基於 windows server 2003 的計算機上可能無法使用別名 ...