計(jì)算機(jī)網(wǎng)絡(luò)地址翻譯(NAT)的原理及具體應(yīng)用論文

　　網(wǎng)絡(luò)地址翻譯(NAT,Network Address Translation)是計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的一個(gè)重要技術(shù)。通過分析NAT技術(shù)的原理,文章完整的介紹了NAT技術(shù)的各個(gè)方面,并以CISCO路由器為例,提出了具體應(yīng)用。

　　隨著Internet的膨脹式發(fā)展,其可用的公網(wǎng)IP地址越來越少,要想再申請到一個(gè)新的公網(wǎng)IP地址已是很不容易的事了。NAT技術(shù)很方便的解決了這些問題。NAT(Network Address Translation)網(wǎng)絡(luò)地址翻譯,指的是將一個(gè)內(nèi)網(wǎng)私有IP地址轉(zhuǎn)換成外網(wǎng)(公網(wǎng))IP地址。利用NAT技術(shù),公網(wǎng)IP地址可以對外代表一個(gè)或多個(gè)內(nèi)部地址。我們一般可以把NAT技術(shù)分為三種:靜態(tài)NAT,動態(tài)NAT和NAPT,其中NAPT又可以稱為PAT。

　　1、靜態(tài)NAT

　　靜態(tài)NAT的工作原理很簡單。NAT將網(wǎng)絡(luò)分為內(nèi)部網(wǎng)絡(luò)(inside)和外部網(wǎng)絡(luò)(outside),內(nèi)部網(wǎng)絡(luò)指的是單位內(nèi)部局域網(wǎng),外部網(wǎng)絡(luò)指的是公共網(wǎng)絡(luò),一般是指Internet。靜態(tài)NAT將內(nèi)部本地私有IP地址與外部合法公網(wǎng)IP地址進(jìn)行一對一的轉(zhuǎn)換,且需要指定到底內(nèi)部IP和哪個(gè)合法地址進(jìn)行轉(zhuǎn)換,即需要建立一張網(wǎng)絡(luò)地址轉(zhuǎn)換表;內(nèi)部地址與全局地址一一對應(yīng),每當(dāng)內(nèi)部節(jié)點(diǎn)與外界通信時(shí),內(nèi)部私有IP地址就會轉(zhuǎn)換為對應(yīng)的公網(wǎng)IP 地址。

　　某學(xué)校內(nèi)部局域網(wǎng)使用的IP網(wǎng)段是192.168.0.0/24,現(xiàn)在它們申請了一段公網(wǎng)IP:100.0.0.3—— 100.0.0.100/24。靜態(tài)NAT就是要求內(nèi)部私有IP地址和公網(wǎng)IP地址是一一對應(yīng)的關(guān)系。那么假設(shè)PC1有一個(gè)私有 IP:192.168.0.3/24,當(dāng)它需要訪問Internet時(shí),它先向路由器發(fā)出請求,路由器會根據(jù)靜態(tài)NAT的設(shè)置,把私有 IP(192.168.0.3)轉(zhuǎn)換為公網(wǎng)IP(100.0.0.3),然后把數(shù)據(jù)包發(fā)送出去。Internet需要返回?cái)?shù)據(jù)時(shí),返回的數(shù)據(jù)是發(fā)送給 100.0.0.3,然后由路由器根據(jù)對應(yīng)關(guān)系,把這個(gè)數(shù)據(jù)包發(fā)送到192.168.0.3。

　　可以看出,靜態(tài)NAT實(shí)現(xiàn)的是一對一的轉(zhuǎn)換,將內(nèi)部私有IP固定的轉(zhuǎn)換為外網(wǎng)合法IP,這是不可能節(jié)省IP地址資源的。但是靜態(tài)NAT的好處是,如果內(nèi)網(wǎng)中建立了服務(wù)器,比如Web,Ftp,E-mail等服務(wù)器,這些服務(wù)器往往同時(shí)為內(nèi)網(wǎng)和外網(wǎng)提供服務(wù),對于這樣的服務(wù),就必須建立靜態(tài) NAT進(jìn)行轉(zhuǎn)換。

　　CISCO路由器的配置命令是:

　　端口模式下:

　　Ip nat inside !將某端口指定為內(nèi)部端口

　　Ip nat outside!將端口指定為外部端口

　　全局模式下:

　　Ip nat inside source static inside_ip outside_ip

　　Inside_ip,指的是內(nèi)部IP地址

　　Outside_ip,指的是翻譯成的外部IP地址

　　2、動態(tài)NAT

　　動態(tài)NAT也是實(shí)現(xiàn)私有IP和公網(wǎng)IP之間的一一對應(yīng)轉(zhuǎn)換,但是它們的關(guān)系是不固定的,就是說私有IP訪問外網(wǎng)時(shí)也要進(jìn)行轉(zhuǎn)換,轉(zhuǎn)換成公網(wǎng)IP,但是轉(zhuǎn)換時(shí)不是固定轉(zhuǎn)換成某一IP,而是隨機(jī)的。

　　(1)首先還是要地址轉(zhuǎn)換,內(nèi)網(wǎng)轉(zhuǎn)換成外網(wǎng)。(2)和靜態(tài)的不同,是動態(tài)的轉(zhuǎn)換。動態(tài)NAT是定義了一個(gè)地址池(pool),其中地址池中的地址是一組連續(xù)的外網(wǎng)IP地址,所有內(nèi)網(wǎng)中允許的IP都可以使用地址池中的任意一個(gè)進(jìn)行轉(zhuǎn)換。所謂允許的IP是指可以在路由器上使用訪問控制列表來定義, 允許哪一部分內(nèi)網(wǎng)IP使用這個(gè)地址池進(jìn)行轉(zhuǎn)換。根據(jù)訪問控制列表的命令要求,允許的IP一般是某一個(gè)網(wǎng)段,如192.168.0.0/24等。(3)動態(tài) NAT的外網(wǎng)轉(zhuǎn)換IP是動態(tài)的,不固定,當(dāng)需要時(shí)從地址池隨機(jī)選擇。用完后(通信結(jié)束)就需要把這個(gè)地址放回地址池,供其他主機(jī)使用。這樣就可以部分緩解外網(wǎng)IP地址壓力。(4)注意,靜態(tài)NAT和動態(tài)NAT可以共存。如果有需要內(nèi)、外網(wǎng)都訪問的服務(wù)器,可以采用靜態(tài)NAT,別的可以采用動態(tài)NAT。動態(tài) NAT還有一個(gè)好處,因?yàn)閮?nèi)網(wǎng)主機(jī)訪問出去的IP經(jīng)常隨機(jī)變化,增加了網(wǎng)絡(luò)安全性。

　　3、PAT或NAPT

　　PAT是NAT技術(shù)中的一種特殊的方法,可以將一段私有IP轉(zhuǎn)換成一個(gè)公網(wǎng)IP地址,從而節(jié)省了公網(wǎng)IP地址資源,這種技術(shù)稱為 PAT(Port Address Translation)端口地址翻譯。有的地方稱為NAPT(Network Address Port Translation)網(wǎng)絡(luò)地址端口轉(zhuǎn)換,意思是一樣的。

　　實(shí)際上PAT和動態(tài)NAT幾乎是一樣的,只不過在地址轉(zhuǎn)換的時(shí)候沒有地址池,或說地址池內(nèi)只有一個(gè)地址,所有的私有地址都轉(zhuǎn)換成同一個(gè)公網(wǎng)IP地址,轉(zhuǎn)換時(shí)對網(wǎng)關(guān)路由器的外網(wǎng)接口IP地址進(jìn)行復(fù)用(overload)。復(fù)用技術(shù)是通過利用對話的端口號來實(shí)現(xiàn)的。

　　端口模式下:

　　Ip nat inside !將某端口指定為內(nèi)部端口

　　Ip nat outside!將端口指定為外部端口

　　全局模式下:

　　(1)Ip nat pool name start_ip end_ip netmask netmask

　　其中:name指的是地址池的名稱

　　Start_ip end_ip指的是地址池的開始IP和結(jié)束IP,在PAT時(shí),這兩個(gè)IP地址是一樣的,但要寫兩個(gè),不能省略。如100.0.0.1 100.0.0.1

　　Netmask指的是地址池的IP地址的子網(wǎng)掩碼

　　(2)access_list number permit source wildcard

　　其中:number指的是訪問控制列表的號碼,1——99

　　source wildcard指的是允許地址轉(zhuǎn)換的地址段和對應(yīng)的通配符。

　　(3)ip nat inside source list number pool name overload

　　其中:number還是那個(gè)2號命令中的那個(gè)訪問控制列表號

　　Name還是那個(gè)1號命令中地址池的名字

　　Overload是實(shí)現(xiàn)PAT的關(guān)鍵字,不能省略

　　和動態(tài)NAT對照比較可以看出,PAT僅僅在定義IP地址池的地方換成一個(gè)IP地址和最后增加overload兩處不同。

　　最后,NAT隱藏了內(nèi)部IP地址,使其具有一定的安全性,但我們絕不能將NAT作為網(wǎng)絡(luò)單一的安全防范措施,尤其是靜態(tài)NAT。因?yàn)?

　　(1)NAT只對地址進(jìn)行轉(zhuǎn)換而不進(jìn)行其他操作,因此,一旦建立了與外部網(wǎng)絡(luò)的連接時(shí),NAT不會阻止任何從外部返回的惡意破壞信息。(2) 雖然NAT隱藏了端到端的IP地址,但它并不隱藏主機(jī)信息。如果通過NAT設(shè)備訪問某些功能服務(wù)器,服務(wù)器記錄的不僅是主機(jī)名,還有內(nèi)部IP地址和操作系統(tǒng)。(3)Internet上的惡意攻擊通常針對機(jī)器的“熟知端口”,如HTTP的80端口、FTP的21端口和POP的110端口等。雖然NAT可以屏蔽不向外部網(wǎng)絡(luò)開放的端口,但針對面向熟知端口的攻擊,它是無能為力的。(4)許多NAT設(shè)備都不記錄從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接,這會使內(nèi)部計(jì)算機(jī)受到來自外部網(wǎng)絡(luò)的攻擊時(shí),由于沒有記錄可以追查,根本無法發(fā)覺自己受到過什么攻擊。

【計(jì)算機(jī)網(wǎng)絡(luò)地址翻譯(NAT)的原理及具體應(yīng)用論文】相關(guān)文章：

計(jì)算機(jī)應(yīng)用基礎(chǔ)論文02-24

中職計(jì)算機(jī)應(yīng)用基礎(chǔ)中的應(yīng)用論文10-09

計(jì)算機(jī)應(yīng)用方向探析論文10-09

網(wǎng)絡(luò)計(jì)算機(jī)應(yīng)用教學(xué)論文10-09

廣播中計(jì)算機(jī)的應(yīng)用論文10-10

應(yīng)用能力為核心的高職計(jì)算機(jī)應(yīng)用分析論文10-09

[經(jīng)典]計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用論文07-20

計(jì)算機(jī)多媒體技術(shù)的應(yīng)用論文07-12

計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用論文07-20

計(jì)算機(jī)應(yīng)用畢業(yè)論文11-03