• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      在局域網(wǎng)出口應(yīng)用NAT

      2018-11-09 02:02:24
      網(wǎng)絡(luò)安全和信息化 2018年5期
      關(guān)鍵詞:城域網(wǎng)局域網(wǎng)IP地址

      NAT技術(shù)概述

      顧名思義,NAT是一種把內(nèi)部私有IP地址翻譯成外網(wǎng)IP地址的技術(shù)。NAT技術(shù)的出現(xiàn),主要是用于解決公網(wǎng)IP地址的不足,一直到今天,在解決內(nèi)部局域網(wǎng)共享上網(wǎng)、保護內(nèi)部服務(wù)器和網(wǎng)絡(luò)、網(wǎng)絡(luò)負載均衡等方面仍有著重要的應(yīng)用。

      路由器、網(wǎng)絡(luò)防火墻、出口網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備均有網(wǎng)絡(luò)NAT功能。

      NAT有三種轉(zhuǎn)換類型:靜態(tài)NAT(Static NAT)、動態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port-Level NAT)。

      其中靜態(tài)NAT設(shè)置起來最為簡單和最容易實現(xiàn)的一種,內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。

      而動態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址,采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。NAT技術(shù)根據(jù)NAT的轉(zhuǎn)換方向不同,又可分為:源NAT和目的NAT。

      源NAT:將經(jīng)過設(shè)備的IP數(shù)據(jù)包的源IP地址或端口進行轉(zhuǎn)換。通常用于局域網(wǎng)訪問外部網(wǎng)絡(luò)。

      目的NAT:將經(jīng)過設(shè)備的IP數(shù)據(jù)包的目的IP地址或端口進行轉(zhuǎn)換。

      通常用于外部網(wǎng)絡(luò)訪問內(nèi)部局域網(wǎng)。

      NAT轉(zhuǎn)換類型和轉(zhuǎn)換方向間的對應(yīng)關(guān)系如表1所示。

      表1 NAT轉(zhuǎn)換類型和轉(zhuǎn)換方向的對應(yīng)關(guān)系

      NAT應(yīng)用場景

      局域網(wǎng)一般在網(wǎng)絡(luò)出口處通過路由器、網(wǎng)絡(luò)防火墻和網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備實現(xiàn)與外網(wǎng)或Internet互聯(lián),在設(shè)備上啟用NAT,實現(xiàn)相應(yīng)的轉(zhuǎn)換功能。下面結(jié)合具體的應(yīng)用場景,介紹具體的應(yīng)用。

      應(yīng)用場景1:局域網(wǎng)用戶共享訪問外網(wǎng)

      這是NAT技術(shù)的典型應(yīng)用,通過NAT技術(shù)來解決公網(wǎng)IP地址短缺,實現(xiàn)多用戶通過一個或少量的公網(wǎng)IP地址來上網(wǎng)。只要在局域網(wǎng)的出口網(wǎng)關(guān)或者防火墻上啟用NAT,這樣局域網(wǎng)用戶就能共享互聯(lián)網(wǎng)接入上網(wǎng)了。

      企事業(yè)單位很少采用純路由器上啟用NAT的方式共享上網(wǎng),因為相關(guān)的訪問控制比較有限,而且配置操作比較麻煩,一般都會選用專門的安全網(wǎng)關(guān)或者網(wǎng)絡(luò)防火墻來部署。

      應(yīng)用場景2:構(gòu)筑服務(wù)器安全防線,對外網(wǎng)屏蔽不必要的服務(wù)

      圖1 場景1網(wǎng)絡(luò)拓撲圖

      圖2 場景2網(wǎng)絡(luò)拓撲圖

      應(yīng)用需求:某單位服務(wù)器上部署了對外網(wǎng)站和辦公平臺,網(wǎng)站和辦公平臺通過Web方式訪問。出于加強服務(wù)器的安全考慮,要求只對外網(wǎng)用戶開放Web服務(wù)。

      解決方案:將服務(wù)器部署到局域網(wǎng)內(nèi)部,通過目的NAT的網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT對外網(wǎng)映射網(wǎng)絡(luò)端口的方式,只開放特定端口(本例中只開放80端口),起到對外屏蔽其他需要屏蔽的服務(wù)。

      網(wǎng)絡(luò)拓撲圖和NAT轉(zhuǎn)換對應(yīng)如圖1所示。這樣局域網(wǎng)中的服務(wù)器很好的隱藏了起來。

      當(dāng)黑客依據(jù)IP地址進行攻擊時,起實質(zhì)攻擊的是NAT轉(zhuǎn)換平臺(網(wǎng)關(guān)、防火墻或路由器)而非真實的服務(wù)器,而要攻破NAT轉(zhuǎn)換平臺那絕對不是一件容易的事。

      應(yīng)用場景3:通過指定的寬帶接入線路訪問特定資源(源NAT、上網(wǎng)分流)

      應(yīng)用需求:有些單位有多條互聯(lián)網(wǎng)接入線路,通過不同的寬帶接入線路能訪問到各自特定的或有優(yōu)勢的資源。一般會考慮一條電信的線路、一條聯(lián)通的線路。訪問電信網(wǎng)里的資源就走電信的線路,訪問聯(lián)通網(wǎng)里的資源就走聯(lián)通的線路,以改善訪問資源的速度體驗,這就需要通過源NAT進行上網(wǎng)分流。

      某學(xué)校有兩條互聯(lián)網(wǎng)接入線路,一條電信的線路,一條是教育網(wǎng)城域網(wǎng)的線路,訪問教育城域網(wǎng)的資源就只能走教育網(wǎng)城域網(wǎng)的線路,走電信的線路是無法訪問的。如圖2所示。

      解決方案:以學(xué)校的接入需求為例。教育城域網(wǎng)的線路接在防火墻的ethernet0/2口上,電信的線路接在ethernet0/4口上。

      在防火墻上新建兩條源NAT信息,任意源地址到任意目的地址的訪問走ethernet0/4(電信通道訪問外網(wǎng));任意源地址到“教育城域網(wǎng)資源”(“教育城域網(wǎng)資源”是一個IP地址集合,可根據(jù)需要創(chuàng)建)目的地址的訪問走ethernet0/2(教育城域網(wǎng)通道訪問外網(wǎng)),如圖3所示。

      應(yīng)用場景4:解決局域網(wǎng)內(nèi)部訪問對外提供訪問服務(wù)器需要繞路的問題

      圖3 源NAT列表

      圖4 場景4網(wǎng)絡(luò)拓撲圖

      圖5 新建源NAT信息

      應(yīng)用需求:有多條互聯(lián)網(wǎng)接入線路的局域網(wǎng),會遇到通過域名訪問自己局域網(wǎng)內(nèi)的對外服務(wù)器時會出現(xiàn)繞路問題。所謂繞路,如圖4所示,服務(wù)器10.0.0.2的80端口通過NAT映射到公網(wǎng)IP地址201.102.X.X的80端口,由線路1與互聯(lián)網(wǎng)互聯(lián),局域網(wǎng)用戶通過域名訪問服務(wù)器,域名被解析成公網(wǎng)IP地址201.102.X.X,當(dāng)局域網(wǎng)用戶通過線路2上網(wǎng)時,訪問服務(wù)器10.0.0.2需要經(jīng)線路1進入互聯(lián)網(wǎng),然后再通過線路2訪問回來。這種繞路,一般情況下察覺不到,如果兩條線路擁堵時或者外網(wǎng)線路故障,都將造成服務(wù)器無法訪問。能否不用繞路,直接訪問服務(wù)器10.0.0.2呢?

      解決方案:解決繞路問題,一種方法就是通過增加內(nèi)部DNS服務(wù)器,在內(nèi)部的DNS上將域名解析成內(nèi)部IP地址10.0.0.2,同時要修改所有局域網(wǎng)內(nèi)的上網(wǎng)用戶的DNS設(shè)置為內(nèi)部DNS服務(wù)器,這種方法比較繁雜。其實可以通過源NAT進行指定通道上網(wǎng)。如圖5所示,新建一條源NAT信息,任意源地址到201.102.X.X的訪問走線路2,即可避免不必要的繞路。

      總結(jié):

      除了有專門的網(wǎng)絡(luò)設(shè)備提供NAT功能,也可以在普通PC上安裝多張網(wǎng)卡,并安裝上相應(yīng)的NAT軟件,部署在局域網(wǎng)出口處,連接內(nèi)網(wǎng)和外網(wǎng),實現(xiàn)內(nèi)外網(wǎng)間的數(shù)據(jù)轉(zhuǎn)換。不同的支持NAT功能的設(shè)備,在配置NAT的方式或者界面,甚至命令會有所不同,但基本的原理和思想是一樣的。NAT技術(shù)一種是用于局域網(wǎng)出口實現(xiàn)內(nèi)網(wǎng)和外網(wǎng)間進行網(wǎng)絡(luò)地址及端口轉(zhuǎn)換的技術(shù)。深入了解NAT技術(shù),有助于解決在局域網(wǎng)出口與外網(wǎng)連接中出現(xiàn)的各種需求。由于篇幅限制,筆者在此就不再多作贅述。

      猜你喜歡
      城域網(wǎng)局域網(wǎng)IP地址
      IP城域網(wǎng)/智能城域網(wǎng)BGP收斂震蕩的分析方法
      科學(xué)家(2022年5期)2022-05-13 21:42:18
      鐵路遠動系統(tǒng)幾種組網(wǎng)方式IP地址的申請和設(shè)置
      基于VPN的機房局域網(wǎng)遠程控制系統(tǒng)
      電子制作(2019年16期)2019-09-27 09:35:04
      基于802.1Q協(xié)議的虛擬局域網(wǎng)技術(shù)研究與實現(xiàn)
      電子制作(2017年17期)2017-12-18 06:40:48
      局域網(wǎng)性能的優(yōu)化
      電子制作(2017年8期)2017-06-05 09:36:15
      基于SNMP的IP地址管理系統(tǒng)開發(fā)與應(yīng)用
      黑龍江電力(2017年1期)2017-05-17 04:25:16
      IP城域網(wǎng)建設(shè)中技術(shù)及應(yīng)用情況分析
      電子制作(2017年20期)2017-04-26 06:57:55
      城域網(wǎng)CGN部署方式探討
      城域網(wǎng)NAT444技術(shù)的應(yīng)用研究
      用統(tǒng)一身份認證解決IP地址的盜用
      邯郸县| 桂东县| 扎赉特旗| 盐亭县| 庄浪县| 华池县| 河西区| 化德县| 山西省| 新丰县| 略阳县| 金秀| 固原市| 靖州| 南投市| 高碑店市| 措美县| 永靖县| 龙口市| 青铜峡市| 织金县| 茂名市| 大冶市| 全椒县| 丹阳市| 井陉县| 宜良县| 唐河县| 柏乡县| 江达县| 崇仁县| 张掖市| 洪江市| 沛县| 巫溪县| 磴口县| 彭州市| 泾川县| 元朗区| 伊川县| 深水埗区|