怎么添加网站内锚点,qq浏览器网页版打开网页,ui自学网站,wordpress本地卸载插件一、 Nat技术#xff1a;
NAT英文全称是“Network Address Translation”#xff0c;中文意思是“网络地址转换”#xff0c;它是一个IETF(Internet Engineering Task Force,Internet工程任务组)标准#xff0c;允许一个整体机构以一个公用IP#xff08;Internet Prot…一、 Nat技术
NAT英文全称是“Network Address Translation”中文意思是“网络地址转换”它是一个IETF(Internet Engineering Task Force,Internet工程任务组)标准允许一个整体机构以一个公用IPInternet Protocol地址出现在Internet上。顾名思义它是一种把内部私有网络地址IP地址翻译成合法网络IP地址的技术如下图所示。因此我们可以认为NAT在一定程度上能够有效的解决公网地址不足的问题。 简单地说NAT就是在局域网内部网络中使用内部地址而当内部节点要与外部网络进行通讯时就在网关可以理解为出口打个比方就像院子的门一样处将内部地址替换成公用地址从而在外部公网internet上正常使用NAT可以使多台计算机共享Internet连接这一功能很好地解决了公共 IP地址紧缺的问题。通过这种方法可以只申请一个合法IP地址就把整个局域网中的计算机接入Internet中。这时NAT屏蔽了内部网络所有内部网计算机对于公共网络来说是不可见的而内部网计算机用户通常不会意识到NAT的存在。如下图所示。这里提到的内部地址是指在内部网络中分配给节点的私有IP地址这个地址只能在内部网络中使用不能被路由转发。 NAT 功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。
二、 分类 NAT有三种类型静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPTPort-Level NAT。 1、静态NAT
通过手动设置使 Internet 客户进行的通信能够映射到某个特定的私有网络地址和端口。如果想让连接在 Internet 上的计算机能够使用某个私有网络上的服务器如网站服务器以及应用程序如游戏那么静态映射是必需的。静态映射不会从 NAT 转换表中删除。 如果在 NAT 转换表中存在某个映射那么 NAT 只是单向地从 Internet 向私有网络传送数据。这样NAT 就为连接到私有网络部分的计算机提供了某种程度的保护。但是如果考虑到 Internet 的安全性NAT 就要配合全功能的防火墙一起使用。
对于以上网络拓扑图当内网主机 10.1.1.1如果要与外网的主机201.0.0.11通信时主机IP10.1.1.1的数据包经过路由器时路由器通过查找NAT table 将IP数据包的源IP地址10.1.1.1改成与之对应的全局IP地址201.0.0.1而目标IP地址201.0.0.11保持不变这样数据包就能到达201.0.0.11。而当主机HostB(IP:201.0.0.11) 响应的数据包到达与内网相连接的路由器时路由器同样查找NAT table将IP数据包的目的IP地址改成10.1.1.1这样内网主机就能接收到外网主机发过来的数据包。在静态NAT方式中内部的IP地址与公有IP地址是一种一一对应的映射关系所以采用这种方式的前提是机构能够申请到足够多的全局IP地址。
2、 动态NAT
动态地址NAT只是转换IP地址它为每一个内部的IP地址分配一个临时的外部IP地址主要应用于拨号对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后动态地址NAT就会分配给他一个IP地址用户断开时这个IP地址就会被释放而留待以后使用。
动态NAT方式适合于 当机构申请到的全局IP地址较少而内部网络主机较多的情况。内网主机IP与全局IP地址是多对一的关系。当数据包进出内网时具有NAT功能的设备对IP数据包的处理与静态NAT的一样只是NAT table表中的记录是动态的若内网主机在一定时间内没有和外部网络通信有关它的IP地址映射关系将会被删除并且会把该全局IP地址分配给新的IP数据包使用形成新的NAT table映射记录。
3、端口多路复用 端口多路复用是指改变外出数据包的源端口并进行端口转换即端口地址转换PATPort Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问从而可以最大限度地节约IP地址资源。同时又可隐藏网络内部的所有主机有效避免来自internet的攻击。因此目前网络中应用最多的就是端口多路复用方式。
1当内网主机需要与Internet建立连接时首先将请求发送到端口NAT服务器。NAT服务器接收到请求后根据接收到的数据包检查端口NAT映射表如果还没有为该内网主机建立地址转换映射项则NAT服务器会创建一个会话并给该会话分配一个端口。之后将源地址及端口改为企业公网IP地址及相应的端口发送数据包到Internet主机上
2Internet主机接收到信息后将应答信息返回给端口NAT服务器
3当端口NAT服务器接收到应答信息后检查端口NAT映射表。如果端口NAT表存在匹配的映射项则将目标地址及端口转换为对应的内网IP及端口将数据包转发给内网主机。如果不存在匹配映射项就将数据包丢弃 三、nat原理
1、地址转换
NAT的基本工作原理是当私有网主机和公共网主机通信的IP包经过NAT网关时将IP包中的源IP或目的IP在私有IP和NAT的公共IP之间进行转换。
如下图所示NAT网关有2个网络端口其中公共网络端口的IP地址是统一分配的公共 IP为202.20.65.5私有网络端口的IP地址是保留地址为192.168.1.1。私有网中的主机192.168.1.2向公共网中的主机202.20.65.4发送了1个IP包(Dst202.20.65.4,Src192.168.1.2)。 当IP包经过NAT网关时NAT Gateway会将IP包的源IP转换为NAT Gateway的公共IP并转发到公共网此时IP包Dst202.20.65.4Src202.20.65.5中已经不含任何私有网IP的信息。由于IP包的源IP已经被转换成NAT Gateway的公共IPWeb Server发出的响应IP包Dst 202.20.65.5,Src202.20.65.4将被发送到NAT Gateway。
这时NAT Gateway会将IP包的目的IP转换成私有网中主机的IP然后将IP包Des192.168.1.2Src202.20.65.4转发到私有网。对于通信双方而言这种地址的转换过程是完全透明的。转换示意图如下。 如果内网主机发出的请求包未经过NAT那么当Web Server收到请求包回复的响应包中的目的地址就是私有网络IP地址在Internet上无法正确送达导致连接失败。
2、连接跟踪
在上述过程中NAT Gateway在收到响应包后就需要判断将数据包转发给谁。此时如果子网内仅有少量客户机可以用静态NAT手工指定但如果内网有多台客户机并且各自访问不同网站这时候就需要连接跟踪connection track。如下图所示 在NAT Gateway收到客户机发来的请求包后做源地址转换并且将该连接记录保存下来当NAT Gateway收到服务器来的响应包后查找Track Table确定转发目标做目的地址转换转发给客户机。
3、端口转换
以上述客户机访问服务器为例当仅有一台客户机访问服务器时NAT Gateway只须更改数据包的源IP或目的IP即可正常通讯。但是如果Client A和Client B同时访问Web Server那么当NAT Gateway收到响应包的时候就无法判断将数据包转发给哪台客户机如下图所示。 此时NAT Gateway会在Connection Track中加入端口信息加以区分。如果两客户机访问同一服务器的源端口不同那么在Track Table里加入端口信息即可区分如果源端口正好相同那么在实行SNAT和DNAT的同时对源端口也要做相应的转换如下图所示。 四、nat应用及产品 NAT主要可以实现以下几个功能数据包伪装、平衡负载、端口转发和透明代理。 数据伪装: 可以将内网数据包中的地址信息更改成统一的对外地址信息不让内网主机直接暴露在因特网上保证内网主机的安全。同时该功能也常用来实现共享上网。例如内网主机访问外网时为了隐藏内网拓扑结构使用全局地址替换私有地址。 端口转发: 当内网主机对外提供服务时由于使用的是内部私有IP地址外网无法直接访问。因此需要在网关上进行端口转发将特定服务的数据包转发给内网主机。例如公司小王在自己的服务器上架设了一个Web网站他的IP地址为192.168.0.5使用默认端口80现在他想让局域网外的用户也能直接访问他的Web站点。利用NAT即可很轻松的解决这个问题服务器的IP地址为210.59.120.89那么为小王分配一个端口例如81即所有访问210.59.120.89:81的请求都自动转向192.168.0.5:80而且这个过程对用户来说是透明的。 负载平衡:目的地址转换NAT可以重定向一些服务器的连接到其他随机选定的服务器。例如1.2.3所讲的目的NAT的例子。
失效终结:目的地址转换NAT可以用来提供高可靠性的服务。如果一个系统有一台通过路由器访问的关键服务器一旦路由器检测到该服务器当机它可以使用目的地址转换NAT透明的把连接转移到一个备份服务器上提高系统的可靠性。 透明代理:例如自己架设的服务器空间不足需要将某些链接指向存在另外一台服务器的空间或者某台计算机上没有安装IIS服务但是却想让网友访问该台计算机上的内容这个时候利用IIS的Web站点重定向即可轻松的帮助我们搞定。 五、代理服务器 所谓“代理”就是代而劳之的意思。代理服务器就是代理网络用户去取得网络信息形象的说它是网络信息的中转站使得一个网络终端和另一个网络终端不直接进行相连代理网络用户去取得信息。主要工作在OSI的会话层中。 一个完整的代理请求过程为客户端首先与代理服务器创建连接接着根据代理服务器所使用的代理协议请求对目标服务器创建连接或者获得目标服务器的指定资源如文件。在后一种情况中代理服务器可能对目标服务器的资源下载至缓存如果客户端索要获取的资源在代理服务器的缓存之中则代理服务器并不会向目标服务器发送请求而是直接返回了缓存的资源。一些代理协议允许代理服务器改变客户端的原始请求、目标服务器的原始响应以满足代理协议的需要。代理服务器的选项和设置在计算机程序中通常只包括一个“防火墙”允许用户输入代理地址他会这该他们的网络活动可以允许绕过互联网过滤实现网络访问。 代理服务器Proxy Server是Internet链路级网关所提供的一种重要的安全功能主要的功能有
1.突破自身IP访问限制访问国外站点。教育网过去的169网等。
2.提高访问速度通常代理服务器都设置了一个较大的硬盘缓冲区当有外界的信息通过的时候同时也将其保存在缓冲区中当其他用户在访问相同的信息时则直接有缓冲区取出信息传给用户以提高访问速度
3.链接内网与Internet充当防火墙因为所有的内部网用户通过代理服务器访问外界时只映射一个IP地址所以外界不能直接访问到内部网同时可以设置IP地址过滤限制内部网对外部的访问权限
4.节省IP开销代理服务器允许使用大量的伪IP地址节约上网资源即代理服务器可以减少对IP地址的需求对于使用局域网方式接入Internet如果为局域网LAN内的每一个用户都申请一个IP地址其费用可想而知。但使用代理服务器之后只需代理服务器上有一个合法的IP地址LAN内其他用户可以使用10.*.*.*这样的私有IP地址这样可以节约大量的IP降低网路的维护成本。
5.隐藏真实IP上网者可以通过这种方式隐藏自己的IP以免受到攻击
6.设置用户验证和记账功能没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息流量进行统计。 六、二者之间的联系 常见的局域网接入Internet的技术有三种
直接路由 代理服务器(proxy) 网络地址转换(NAT)
