NAT技术详解PPT课件

二、NAT分类
NAT可以按照功能和实现进行分类，下面分别 进行讨论。 2.1 NAT功能分类 按照地址转换的方式，可以将NAT分为以下两 类。 1．基本NAT 数据报穿越内部网络边界时仅变 换地址，传送层端口号保持不变。内部网络需 要申请一组外部公有地址，供内部主机访问外 网时使用。如果私有地址和公有地址为一一对 应的关系，并且内部网络中的每个主机在一次 完整的网络操作中被永久映射成外部网络中的 某个合法的地址，则称为静态绑(StaticNAT)。
4.对称类型(Symmetric) 该类型的限制 最为严格。对称类型NAT会为内部主机 向外部主机的每一个会话(Session)建立 全新的端口映射，即源地址和端口加上 目的地址端口其中任意一个有变化，则 映射关系也会不同，如图4。
三、STUN协议
STUN （Simple Traversal of UDP over NATs， NAT 的UDP简单穿越）是一种网络协议，它允 许位于NAT（或多重NAT）后的客户端找出自 己的公网地址，查出自己位于哪种类型的NAT 之后以及NAT为某一 个本地端口所绑定的 Internet端端口。这些信息被用来在两个同时处 于NAT 路由器之后的主机之间建立UDP通信。 该协议由RFC 3489定义。
当内部主机访问Internet或者与外部网络主 机进行通信的时候将涉及地址转换的问题。 NAT设备通过把内部网络主机的IP地址和端 口号转换为外部公有IP地址和端口号，达到 内部网络访问Internet和外部网络主机的目 的。同理通过配置内部网络的应用服务器， 外部网络主机也可以访问并获得内部服务器 提供的服务。
定三组网络地址作为保留的内部私有
地址，使用这些地址的数据包在公网
上不可路由，即这些网络地址不会在
Intຫໍສະໝຸດ Baidurnet上进行分配，但可以在企业
网、校园网、专用网内部使用。
根据RFC1918，私有IP地址包括如下3个大小不 同的地址空间，可供不同规模的企业网或专用网 使用。 10.0.0.0-10.255.255.255，1个A类地址，包含 256个B类地址或65536个C类地址。共约1677万 个IP地址。 172.16.0.0-172.31.255.255，16个B类地址， 包含4096个C类地址。共约104万个IP地址。 192.168.0.0-191.168.255.255，1个B类地址， 包含256个C类地址。共约65536个IP地址。
2．受限制锥形(Restricted Cone) 受限制锥 形NAT建立映射的规则与完全锥形相同。但 是，只有当内部主机曾经向某个外部主机发 送过数据包时，这个外部主机才可以通过映 射的外部地址向内部主机发送数据。当然这 个外部主机可以用其他的端口，但源IP地址 必须与内部主机发送数据包的目的地址相同。 可以理解为受限制锥形是对外部主机的IP地 址进行限制。具体原理见图3。
如果公有地址是在主机访问外网时按需临时分 配，则称为动态绑定(PooledNAT)，主要用于拨 号和频繁的远程联接。动态绑定仅在一定时间 内有效，需定时刷新。该类NAT的主要目的并 非地址扩展，而是配合防火墙安全隔离私网， 并对内部主机访问外部网络实施控制。
2．网络地址端口转换NAPT 数据包穿越内部网 络边界时不但要变换IP地址，而且要变换传送 层端口号。内部网络只需要申请一个或几个公 有地址，通过分配不同的端口号就可以支持大 量内部主机同时访问外网。这种NAT称为网络 地址端口转换NAPT(Port-Level NAT)，NAPT 在将私有地址映射为公有地址时不但改变了内 部主机的IP地址，还改变了它的端口号。该类 NAT的主要目的是实现地址扩展，是企业网和 校园网常用的NAT类型。
UDP下NAT穿越 技术的介绍
一、NAT介绍
NAT技术又称地址代理，提供内部私有地址和公有地
址之间的转换，支持内部网络和公网之间的通信，如
下图所示。
私有地址是指内部网络的主机IP地址，
而公有地址是指内部网以外的可路由
的公共地址(在Internet上全球唯一
的IP地址) Internet地址分配组织规
3．端口受限制锥形(Port Restricted Cone) 端 口受限制锥形类似于受限制锥形，但限制更 加严格。只有当内部主机曾经向外部主机地 址上的某个特定端口发送过数据包，这个外 部主机才可以用该特定端口向内部主机发送 数据。可以理解为对外部主机的IP地址和端 口同时进行了限制。图3表示了端口受限制锥 型的概念。
端口多路复用是指改变外出数据包的源端口并 进行端口转换，即端口地址转换(Port Address Translation，PAT)。采用端口多路复用方式，内 部网络的所有主机均可共享一个合法外部IP地 址实现对Internet的访问，从而最大限度地节约 IP地址资源。同时，又可隐藏网络内部的所有 主机，避免来自Internet的攻击。因此，目前网 络中应用最多的就是端口多路复用方式。NAT 设备通过维护NAT映射表的方式实现双向的地 址转换并得以在两个方向上隐藏地址，可以最 大限度的保护网络内部计算机不受外部入侵， 其功能通常被集成到路由器，防火墙等硬件设 备中。
NAT的实现方式有三种，即静态转换、动态转 换和端口多路复用。 静态转换是指将内部网络的私有IP地址转换为 公有IP地址，IP地址对是一对一的，是一成不 变的，某个私有IP地址只转换为某个公有IP地 址。 动态转换是指将内部网络的私有IP地址转换为 公用IP地址时，IP地址对是不确定的，而是随 机的，所有被授权访问Internet的私有IP地址可 随机转换为任何指定的合法IP地址。也就是说， 只要指定哪些内部地址可以进行转换，以及用 哪些合法地址作为外部地址时，就可以进行动 态转换。
2.2 NAT实现分类 STUN协议（后面详细介绍）把NAT分为如下几 种类型。 1．完全锥形NAT(Full Cone) 对于全锥形NAT的 情形，当内部主机发起一个至外网的会话时， NAT为其建立一个私有<IP：端口>地址和公有 <IP：端口>地址之间的绑定，然后该主机地址 至外网的任意会话将重用这个公有<IP：端口> 地址，同样，外部任意应用都可通过该公有<IP： 端口>地址到达该内部主机地址。只要有一个连 接会话存在，这个绑定就始终保持激活状态。 可用图1来表示完全锥型NAT的性质。