现在有很多人会参加软考或者是CCNA的考试,希望能够成为一个网络工程师,思科认证网络工程师(CCNA)认证是由思科系统所颁发的,是现时大多数从事信息技术或有志投身此行业的人士常考取的专业证书之一。考取CCNA认证标志着具备安装、配置、运行中型路由和交换网络,并进行故障排除的能力,一般获得CCNA认证的专业人士拥有相应的知识和技能,能够通过广域网与远程站点建立连接,消除基本的安全威胁,了解无线网络接入的要求,那么NAT技术是必备的考试知识,你有没有掌握呢?接下来将为大家进行讲解一下。
现在我们都知道,现在IP地址使用紧缺,那么IP地址耗尽促成了CIDR的开发,但CIDR开发的主要目的是为了有效的使用现有的internet地址。而同时根据RFC1631(IPNetwork Address Translator)开发的NAT却可以在多重的internet子网中使用相同的IP,使用这种方法用来减少注册IP地址的使用。
使用NAT技术使得一个私有的网络可以通过internet注册IP连接到外部的网络,NAT路由器位于inside网络和outside网络中的在发送数据包之前,它是可以负责把内部IP地址翻译成外部合法地址。我们都知道,一般内部网络的主机不可能同时在外部网络通信,这个时候只有一部分内部地址需要进行翻译。
现在的NAT的翻译可以采取静态翻译(statictranslation)和动态翻译(dynamictranslation)这两种形式。那么静态翻译将内部地址和外部地址一对一的进行对应。当NAT需要确认哪个地址需要翻译,翻译时采用哪个地址pool时,就使用了动态翻译。采用portmultiplexing技术,或改变外出数据的源port技术也是可以将多个内部IP地址影射到同一个外部地址,这就是我们经常说的PAT
当影射一个外部IP到内部地址时,那么可以使用TCP中的loadd istribution技术。使用的时候内部主机基于round-robin机制,可以将外部进来的新连接定向到不同的主机上去。但是我们需要注意的是load distributiong只有在影射外部地址到内部时才会发挥它的作用,其它时候将不起什么作用,这一点我们是需要理解清楚的。
那么在NAT使用的时候将会有以下几种的情况:
1.想要连接到internet,但是并没有足够的合法地址分配给内部主机。
2.更改到一个需要重新分配地址的ISP。
3.具有有相同的IP地址的两个internet合并。
4.主机是想支持负载均衡
那么当采用NAT后,其中最主要的改变就是你失去了端对端IP的traceability,意思即是说,以后你将不能再经过NAT使用ping和traceroute这样的命令了,另外的就是之前的一些IP对IP的程序不能正常的运行,那么潜在的不易被观察到的缺点就是增加了网络延时重要的因素之一了。
现在的NAT它是可以支持多种的IP协议,但是有几个协议我们是需要注意的,首先tftp,rlogin,rsh,rcp和ipmulticast这些协议都被NAT支持,但是一些bootp,snmp和路由表更新这些都将被拒绝了。
我们来看看NAT的几个相关概念,需要我们知道的:
Inside Local IPaddress:指定于内部网络的主机地址,全局唯一,但为私有地址。
Inside Global IPaddress:代表一个或更多内部IP到外部世界的合法IP。
Outside Global IPaddress:外部网络主机的合法IP。
Outside Local IPaddress:外部网络的主机地址,看起来是内部网络的,私有地址。
Simple Translation Entry:影射IP到另一个地址的Entry。
Extended Translation Entry:影射IP地址和端口到另一个pair的Entry。
采用NAT,它是可以实现下面的几个常用的功能:
a、Translationin side local addresses
b、Over loadingin side global addresses
c、TCPloaddistribution
d、Handin goverlapping networks
接下里我们一起来看看它们之间的工作原理到底是怎样的:
1.内部地址翻译(Translationinsidelocaladdresses):
内部的地址翻译这是比较通用的一种方法,它是可以将内部IP一对一的翻译成外部地址。
当内部的主机连接到外部的网络时,第一个数据包到达NAT路由器时,首先路由器检查它的NAT表,我们知道NAT它是静态配置的,因此的话我们是可以去查询出来,最后路由器是将数据包的内部局部IP(也就是源地址)更换成内部的全局地址,然后再转发出去。外部主机接受到数据包用接受到的内部全局地址来响应,当NAT接受到外部回来的数据包之后,再根据NAT表的数据把地址翻译成内部局部IP,最后再转发出去。
2.内部全局地址复用(overloadinginsideglogaladdresses)
使用地址和端口pair将多个内部地址影射到比较少的外部地址。这就是我们经常说的PAT。和内部地址翻译一样,NATrouter同样也负责查表和翻译内部IP地址,那么唯一有一点区别的就是由于使用了overloading,router将复用同样的内部全局IP地址,并存储足够的信息以区分它和其他地址,最终查询出来的就是extendedentry。
通过上述我们都知道NAT路由器和外部主机的通讯采用翻译过的内部全局地址,因此和一般的通讯是没有什么差别的,当路由器到内部主机通讯时,同样也是需要进行查看NAT表。
3.TCP负载重分配和以上两种操作不同,这是NAT由外到内的翻译,所以哪些以为webserver一定要放置到NAT外部的说法明显是错误的。
我们来看看它的工作原理:当外部主机向虚拟主机(定义为内部全局地址)通讯,NATrouter接受外部主机的请求并依据NAT表建立与内部主机的连接,把内部全局地址(目的地址)翻译成内部局部地址,并转发数据包到内部主机,内部主机接受包并作出响应。NATrouter再使用内部局部地址和端口查询数据表,最后是根据查询到的外部地址和端口做出一个响应。
在这个时候的话如果同一主机再做第二个连接,NATrouter将根据NAT表将建立与另一虚拟主机的连接,并且是转发数据。
4.处理重叠的网络。
处理重叠的网络这种方法主要用于两个intranet之间的互连,它同样给我们处理两个重叠网络提供了方法。它的实现要求DN服务器的支持主要是用于区别两个不同的主机
1、比如当主机A要求向主机C建立连接,首先是要向DNSserver做地址查询。
2、然后NATrouter截获DNS的响应,发现如果地址有重叠,再将翻译返回的地址。它将创建一个simplyentry把重叠的外部全局地址(目的地址)翻译成外部的局部地址。
3、路由器转发DNS响应到主机A,它已经把主机C的地址(外部全局地址)翻译成外部局部地址。
4、这样当路由器接受到主机C发过来的数据包时,它将建立内部局部、全局,外部全局、局部地址间的转换,主机A将由内部局部地址(源地址)翻译成内部全局地址,那么同时主机C将由外部全局地址(目的地址)翻译成外部局部地址。
总结:NAT复制翻译是比较复杂的一个过程,我们需要用耐心的认真的学习,也许你看完一次还是不太了解,这也是属于正常的现象,因为网络知识理解起来是比较抽象的,所以如果是想考CCNA或者网络工程师的朋友们,就得付出更多的时间来进行学习了!
