地址转换的结构.docVIP

2.7? 地址转换配置 2.7.1? 地址转换简介 地址转换NAT（Network Address Translation）又称地址代理，它实现了私有网络访问外部网络的功能。 1. 私有网络地址和公有网络地址 私有地址是指内部网络或主机地址，公有地址是指在因特网上全球唯一的IP地址。因特网地址分配组织规定将下列的IP地址被保留用作私有地址： ?????????????? ?? ??~? 55 ?????????????? ? ?~? 55 ?????????????? ?~? 55 也就是说，这三个范围内的地址不会在因特网上被分配，它们仅在一个单位或公司内部使用。各企业根据在预见未来内部主机和网络的数量后，选择合适的内部网络地址。不同企业的内部网络地址可以相同。若一个公司选择上述三个范围之外的其它网段作为内部网络地址，则有可能会造成混乱。 2. 什么情况下要进行地址转换 如下图所示：当内部网络的主机访问因特网或与外部网络的主机通信时，需要进行地址转换。 图2-11 地址转换示意图 内部网络的地址是网段，而对外的正式IP地址是3。内部的主机8以www方式访问网外的服务器51。主机8发出一个数据报文，选择一个源端口6084，目的端口为80。在通过代理服务器后，该报文的源地址和端口可能改为3:32814，目的地址与端口不做改变。在代理服务器中维护着一张地址端口对应表。当外部网络的WWW服务器返回结果时，代理服务器会将结果数据报文中的目的IP地址及端口转化为8:6084。这样，内部主机8就可以访问外部的服务器了。 3. 地址转换可以完成什么任务 在因特网的发展过程中，地址转换的提出是为了解决因特网地址短缺所面临的问题。如下图所示：PC1与PC2通过地址转换后可通过Modem访问到Internet上的资源。 图2-12 通过地址转换后的主机访问因特网 4. 地址转换机制 地址转换的机制将网内主机的IP地址和端口号替换为外部网络地址和端口号，实现私有地址+端口号 与公有地址+端口号之间的一个转换过程。 5. 地址转换的特征 ?????????????? 对用户透明的地址分配（对外部地址的分配）。 ?????????????? 可以达到一种“透明路由”的效果。这里的路由是指转发IP报文的能力，而不是一种交换路由信息的技术。 6. 地址转换的优缺点 (1)??????? 地址转换的优点在于： ?????????????? 内部网络的主机可以通过该功能访问网外资源。 ?????????????? 为内部主机提供了“隐私”（Privacy）保护。 (2)??????? 地址转换的缺点如下： ?????????????? 由于需要对数据报文进行IP地址的转换，涉及IP地址的数据报的报头不能被加密。在应用协议中，不能使用加密的FTP连接。否则FTP的port命令不能被正确转换。 ?????????????? 网络调试变得更加困难。如某一台内部网络的主机试图攻击其它网络，则很难指出究竟是哪一台机器是恶意的，因为主机的IP地址被屏蔽了。 7. 多对多地址转换简介 多对多地址转换是指通过将访问控制列表与地址池关联，将符合访问控制列表条件的地址才进行转换的一种方式。 从地址转换的示意图可见：当内部网络访问外部网络时，地址转换将会选择一个合适的外部地址，替代内部网络数据报文的源地址。即在上面的示意图中选择proxy服务器的IP地址。这样所有内部网络的主机访问外部网络时，只能拥有一个外部的IP地址，当内部网络的主机非常多时，地址转换可能就会显得有些吃力。当一个企业拥有不止一个外部地址时，为充分而有效地利用外部地址，可利用地址池来实现多对多地址转换。 (1)??????? 地址池 地址池，顾名思义就是一些地址的集合。在地址转换中，应该是一些合法IP地址（公有网络IP地址的集合）。用户可根据自己拥有的合法IP地址的多少、内部网络主机的多少、以及实际应用情况，配置合适的IP地址池。地址转换的过程中，将会从地址池中挑选一个地址做为转换的源地址。 (2)??????? 利用访问控制列表控制地址转换 在实际应用中，我们可能希望某些内部的主机具有访问Internet（外部网络）的权利，而某些主机不允许访问。 在地址转换中，我们可以利用访问控制列表（访问控制列表的详细说明与配置，请参照防火墙“配置访问控制列表”一节）限制地址转换。也就是说，只有满足访问控制列表条件的数据报文才可以进行地址转换。这样就能有效地控制地址转换的使用范围，使特定主机能够有权利访问Internet。 8. 内部服务器 由于地址转换具有“屏蔽”内部主机的作用，但是在实际应用中，可能我们需要提供给外部一个访问内部主机的机会，如提供给外部一个WWW的服务器，或是一台FTP的服务器。使用地址转换可灵活地添加内