NATNAPT协议.docVIP

NAT/NAPT协议 协议介绍 NAT（网络地址转换）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。IP地址耗尽促成了CIDR的开发，但CIDR开发的主要目的是为了有效的使用现有的internet地址。而同时根据RFC 1631（IP Network Address Translator）开发的NAT却可以在多重的internet子网中使用相同的IP，用来减少注册IP地址的使用。NAT技术使得一个私有网络可以通过internet注册IP连接到外部世界，位于inside网络和outside网络中的NAT路由器在发送数据包之前，负责把内部IP翻译成外部合法地址。NAT的映射办法有：静态（static translation）和动态（dynamic translation）两种。静态翻译将内部地址和外部地址一对一对应。当NAT需要确认哪个地址需要翻译，翻译时采用时，就使用了动态。采用port multiplexing技术，或改变外出数据的源port技术可以将多个内部IP地址影射到同一个外部地址，这就是PAT（port address translator）。 NAT使用的几种情况：a，连接到internet，但却没有足够的合法地址分配给内部主机。b，更改到一个需要重新分配地址的ISP。c，有相同的IP地址的两个internat合并。d，想支持负载均衡（主机）。采用NAT后，一个最主要的改变就是你失去了端对端IP的traceability，也就是说，从此你不能再经过NAT使用ping和traceroute，其次就是曾经的一些IP对IP的程序不再可以正常运行，潜在的不易被观察到的缺点就是增加了网络延时。NAT的几个相关概念：Inside Local IP address: 指定于内部网络的主机地址，全局唯一，但为私有地址。Inside Global IP address: 代表一个或更多内部IP到外部世界的合法IP。Outside Global IP address: 外部网络主机的合法IP。Outside Local IP address: 外部网络的主机地址，看起来是内部网络的，私有地址。Simple Translation Entry: 影射IP到另一个地址的Entry。Extended Translation Entry:影射IP地址和端口到另一个pair的E站点，在网关内外捕捉到的分组如下： PC1上捕获的分组： PC2上捕获的分组： PC1（33）往外发送的分组经过路由器Vmware时，NAPT网关要翻译IPv4头部中的源地址33和TCP头部中的源TCP端口41323，翻译后变成地址20和TCP端口52747。往回传的数据包，也会进行IP地址和TCP端口的对应翻译。 观察NAPT协议对分组校验和的修改 当分组中的地址和端口完成翻译后，校验和也要重新计算： PC1捕捉的分组： PC2捕捉的分组： 由上图可得，路由器Vmware对TCP校验和进行了修改，从0x7b51改成0xec54。当然，路由器Vmware对IPv4头部的校验和也重新计算并进行修改： PC1捕捉的分组： PC2捕捉的分组：