网络安全学习篇23_NAT

上一篇博客:HSRP、ACL

目录

  • NAT
    • 静态NAT
    • 动态NAT
    • 端口多路复用(Port address Translation,PAT)

开始

0. 百度百科:

NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。

这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。

另外,这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用的IP地址空间的枯竭。在RFC 1632中有对NAT的说明。

网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。

NAT网络地址转换

1. 背景

IPV4的地址严重不够用—》x.x.x.x x:0-255
5大类

  • A类:1-126 默认子网掩码:255.0.0.0

  • B类:128-191 默认子网掩码:255.255.0.0

  • C类:192-223 默认子网掩码:255.255.255.0

  • D类:224-239 组播地址

  • E类:240-254 科研使用

我们目前只能使用A、B、C类 子网掩码可以修改

2. IP地址分为公网IP和私网IP

公网IP只能在公网上使用

私网IP只能在私网上使用

公网上不允许出现私有IP!
私网IP可以重复在内网使用!

  • 需要知道:
    192.168.1.1是内网的IP地址

在公网路由器不会出现内网的网段,数据会被干掉

买宽带就是买公网IP地址

宽带拨号:就是有了一个公网IP的身份,动态的拨号,关闭就收回

静态公网IP:自己配置静态公网IP

3. 私有IP地址范围

(1)10.0.0.0/8(前8位是10)
(2)172.16.0.0/16 - 172.31.0.0/16
(3)192.168.0.0/16

4. 场景

公司连接外网,员工可以上网

但是员工的电脑不知道共、私网,公司总出口要拿掉私网IP

替换成公司的身份公网IP

简单来说:完成公、私网转换的技术就是NAT技术

5. 实现

一般是路由器(要求三层设备)、防火墙来完成,不建议在三层交换机(家用路由器)上配置

6. NAT有3大类

  • 静态NAT
  • 动态NAT
  • PAT

7. NAT地址转换表:路由器的转换依据

路由器启用NAT需要配置内、外网端口

内到外:转换源IP
外到内:转换目标IP

8. 静态NAT理解:

NAT没有干掉数据包的能力,但是NAT表中没有就不转换,包能出去,但是不会成功访问,因为外网的网关不认识内网IP

这就是静态NAT,写好NAT表不能动态变换,公司同时只能实现一个IP上网

显然不行,这时需要动态NAT,引入内部、外部地址池

  • 内部地址池

  • 外部地址池

9. 动态NAT实现:

把内部池 的IP 的动态映射到 外部池

然后

查看NAT表之后,查看动态NAT映射,内网IP是否在地址池

在动态的生成在NAT表中,断网24小时,释放外网IP

显然不行,没有解决只能一个员工上网(或者多用户回包不能区分),这时需要Overload复用PAT

9. PAT实现

某用户浏览器上网,三IP包头,四层包头需要源端口号(路由器随机生成)、末尾端口号(目标IP服务端口,如80)

从而实现:外网IP能同时被多用户使用

PAT原理

把四层包头的源端口号拿出,由路由器动态生成端口号,一般从1开始,存于NAT表

替换不同用户的服务源端口号

相当于公网IP(修改后的源IP地址)和路由自己生成的端口(修改后的源端口号)加到数据包上之后访问服务

然后

多条NAT数据实现多用户上网(本质就是把任务交给路由器来实现,路由器成为虚拟的访问服务者

端口,地址都转换,叫做动态PAT

端口号:0-65535,一个PC不同进程,要占很多端口号,外部池可以放多个公用IP来使用

当有多用户同时上网,路由器在生成一个端口号,存在NAT表

10. 提问

如何把内网的IP放到公网上?如何内网穿透?

而动态PAT只适合从内到外,从外到内还是需要静态NAT映射关系

场景实现

公司购买100.0.0.1,全世界都有路由包指向,购买另一个100.0.0.2,与上网路由接口区分,不需要配置在路由接口上

只需要体现在静态NAT转换表

NAT表上已经存在1对1映射,但是

NAT只映射,没有端口号转换,这时需要静态PAT(端口映射技术),把服务器的其中一个端口映射出来,而不是整个服务器(可以一定程度避免服务器攻击,提高安全程度)

而且也实现了不同端口服务器分流,同种服务器通过改端口号实现共用

拓展: 虚拟公网IP地址:VIP,Virtual IP 主要负责映射服务器

11. 注意

从内网到外网的包,先路由到外网端口,外网端口负责NAT地址IP、端口转换

从外网到内网的包,解封装,检查地址表转换目标IP地址,到达路由器内部,然后路由

网络安全学习篇23_NAT

参考:B站千峰

相关文章:

  • 2021-08-18
  • 2021-09-27
  • 2021-12-06
  • 2021-11-10
  • 2021-08-30
  • 2021-09-08
  • 2021-07-11
  • 2022-01-18
猜你喜欢
  • 2022-01-14
  • 2021-12-09
  • 2021-12-23
  • 2021-05-30
  • 2021-07-30
  • 2022-01-06
  • 2021-05-04
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode