ICS与NAT区别

什么是ICS

ICS即Internet连接共享(Internet Connection Sharing)的英文简称，是Windows 系统针对家庭网络或小型的Intranet网络提供的一种Internet连接共享服务。它实际上相当于一种网络地址转换器，所谓网络地址转换器就是当数据包向前传递的过程中，可以转换数据包中的IP地址和TCP/UCP端口等地址信息。有了网络地址转换器，家庭网络或小型的办公网络中的电脑就可以使用私有地址，并且通过网络地址转换器将私有地址转换成ISP分配的单一的公用IP地址从而实现对Internet的连接。ICS方式也称之为Internet转换连接。

什么是NAT

NAT即网络地址转换(Network Address Translator)，从广义上讲，ICS也是使用了一种NAT技术，不过我们这里讨论的NAT是指将运行Windows 2000 Server的计算机作为IP路由器，通过它在局域网和Internet主机间转发数据包从而实现Internet的共享。NAT方式也称之为Internet NAT 通过将专用内部地址转换为公共外部地址，对外隐藏了内部管理的IP地址。这样，通过在内部使用非注册的IP地址，并将它们转换为一小部分外部注册的IP地址，从而减少了IP地址注册的费用。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。

其工作过程我们通过图1来了解，对于由NAT传出数据包，源IP地址(专用地址)被映射到ISP分配的公用地址，并且TCP/UDP端口号也会被映射到不同的TCP/UDP端口号。对于到NAT协议的传入数据包，目标公用IP地址被映射到源内部专用地址，并且TCP/UDP端口号被重新映射回源TCP/UDP端口号。可以简单地概括为，对于向外发出的数据包，NAT将源IP地址和源TCP/UDP端口号转换成一个公共的IP地址和端口号；对

于流入内部网络的数据包，NAT将目的地址和TCP/UDP端口转换成专有的IP地址和最初的TCP/UDP端口号。

ICS和NAT的区别

说到这里似乎让人糊涂了，那究竟两者有什么区别呢？在Windows 2000的帮助文件中ICS和NAT分别叫做Internet的转换连接和路由连接，其实说白了ICS就是NAT 的简化版，使用ICS无需理解IP地址和路由方面的一些知识，并且提供一种局域网中使用Windows 2000路由器共享Internet的简化配置，不过ICS可能不允许局域网和Internet主机之间所有的IP通信，如《暗黑破坏神》一类的多玩家游戏、实时通讯及其他对等服务，如果在公用Internet上使用专用地址或同时使用同一端口号，这些应用程序就会中止。而NAT的配置需要有关于IP地址和路由配置方面的知识，它的配置比ICS要复杂，它允许在局域网和Internet主机间所有的IP通信。此外，ICS只能使用一个合法的公用IP地址，而NAT可以通过配置地址池的方式使用ISP提供的多个合法的公用IP地址供客户机共享。

配置ICS和NAT服务

在局域网中ICS和NAT服务不能并存，我们只能选用其中的一种。

ICS的配置过程相当简单，首先通过在控制面板中的“网络和拨号连接”文件夹，建立好同ISP的连接，然后从该连接的“属性”中选择“共享”标签，选中“启用此连接的Internet的连接共享”复选框，“确定”后，根据系统的提示就完成ICS服务器的设置。而客户端只需将网卡设为“自动获得IP地址”，并将“默认网关”一栏空着，重启后即可使用ICS服务了。

NAT的配置相对复杂一些，首先要将服务器与局域网连接的网卡IP地址设为：192.168.0.1，与ADSL或Cable Modem连接的网卡IP地址设为自动获取(也可以是ISP 提供的合法的固定IP地址)。并将服务器的DNS和DHCP服务设置好。NAT功能主要是通过“管理工具”中的“路由和远程访问”进行配置来实现的。客户端在定义TCP/IP协议属性时需设置DNS，并指定默认网关为192.168.0.1，就可使用NAT服务共享上网。

选择ICS还是NAT

从上面对两者所作的比较和两者的实现方式我们可以得出结论：

ICS更适用于家庭网络环境：它的功能比较简单，设定也相当容易，不需要太多的专业知识也可以完成设置，这对家庭组网来说是十分必要的；它只能使用单一的公用IP 地址，无须注册多个公用IP地址，因而它的费用小，而通常家庭组网对成本是十分敏感的；它本身没有任何安全措施，必须另外增加防火墙之类的安全措施，但只需在ICS 主机上加装防火墙，局域网中的其他机器都会得到有效的保护，通常家庭网络环境下对安全的要求并不会太高；ICS对系统平台没有特殊的要求，装有Windows 98 SE以上版

本的操作系统的电脑都可以配置成ICS的主机，更适合于当前家庭主流操作平台的联网要求。

NAT则适合于公司办公网络环境：它的设置比ICS要复杂，需要安装者具备一定的专业知识，这种条件家庭通常是不具备的；它能使用多个公用IP地址(设置地址池)，从而使局域网用户可使用多个合法IP地址访问Internet，申请多个IP地址当然只有规模较大的网络才有这种需要；由于使用IP路由，它具备一定的安全措施，相对安全性它要比ICS好得多，当然，对于使用NAT共享上网的局域网来说，加装防火墙也是必要的；目前能支持NAT的操作系统只有Windows 2000 Server/Advance Server，显然这类操作系统并不是家庭用户使用的，在办公网络中将提供其他服务的Windows 2000 Server 服务器同时配置成NAT服务器是顺理成章的事情；与ICS要求网络中的客户机由DHCP 服务器动态分配IP地址不同，NAT网络中的客户机可以设置静态内部IP地址，因而其设定更具有弹性，网络中的应用也可以更加多样，也更能适应规模较大的网络。

cisco-asa-8.2与8.4的nat区别

1.NAT(nat-control,8.2有这条命令，开了的话没有nat是不通的) 1.8.2(PAT转换) global (outside) 10 201.100.1.100 nat (inside) 10 10.1.1.0 255.255.255.0 ASA/pri/act(config)# show xlate 1 in use, 1 most used PAT Global 201.100.1.100(1024) Local 10.1.1.1(11298) 8.4 object network nat subnet 10.1.1.0 255.255.255.0 object network nat nat (inside,outside) dynamic 201.100.1.100 ASA8-4# show xlate 1 in use, 2 most used Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice TCP PAT from inside:10.1.1.1/53851 to outside:201.100.1.100/5810 flags ri idle 0:00:04 timeout 0:00:30 2.8.2（动态的一对一转换） nat (inside) 10 10.1.1.0 255.255.255.0 global (outside) 10 201.100.1.110-201.100.1.120 netmask 255.255.255.0 ASA/pri/act# show xlate detail 2 in use, 2 most used Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random, r - portmap, s - static NAT from inside:10.1.1.1 to outside:201.100.1.110 flags i NAT from inside:10.1.1.2 to outside:201.100.1.111 flags i 8.4 object network nat subnet 10.1.1.0 255.255.255.0 object network outside-nat range 201.100.1.110 201.100.1.120 object network nat nat (inside,outside) dynamic outside-nat ASA8-4# show xlate 1 in use, 2 most used Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice NAT from inside:10.1.1.1 to outside:201.100.1.115 flags i idle 0:01:13 timeout 3:00:00 3.8.2(转换成接口地址) nat (inside) 10 10.1.1.0 255.255.255.0 global (outside) 10 interface ASA/pri/act# show xlate detail 1 in use, 2 most used Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random, r - portmap, s - static

NAT详尽的解释

随着internet的网络迅速发展，IP地址短缺已成为一个十分突出的问题。为了解决这个问题，出现了多种解决方案。下面几绍一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。一、NAT简介 NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络，如Internet 。外部端口可以为路由器上的任意端口。设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。四、关于NAT的几个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。五、NAT的设置方法： NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-m ail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。静态地址转换基本配置步骤：（1）、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入：Ip nat inside source static 内部本地地址内部合法地址（2）、指定连接网络的内部端口在端口设置状态下输入： ip nat inside （3）、指定连接外部网络的外部端口在端口设置状态下输入： ip nat outside 注：可以根据实际需要定义多个内部端口及多个外部端口。实例1：本实例实现静态NAT地址转换功能。将2501的以太口作为内部端口，同步端口０作为外部端口。其中10.1.1.2，10.1.1.3，10.1.1.4的内部本地地址采用静态地址转换。其内部合法地址分别对应为192.1.1.2，192.1.1.3，192.1.1.4。路由器2501的配置： Current configuration： version 11.3

IP Nat enable和 ip nat inside outside 区别

彻底理解Cisco NAT内部的一些事一.Inside和Outside 很多在Cisco配置过NAT的人都有过一个疑问，那就是inside和outside的区别！以下是Cisco官方文档上关于NAT执行顺序的说明：注意红色和蓝色圈住的部分，对于inside-outside而言，NAT发生在路由之后，而对于outside-inside而言，NAT发生在路由之前。这是目前为止，我们唯一需要记住的。 1.问题迷惑的原因不在别的，就在inside，outside这个名字不好，实际上如果将inside-outside换成POST-ROUTING，将 outside-inside换成PRE-ROUTING的话，就非常好理解了，最重要的是，换了名字之后，NAT看起来不再和设备的inside/outside网口域相关，而和“路由”发生了关系，虽然本质上没有任何变化。后面会介绍，实际上，在理解Cisco的NAT的时候，根本不能将inside 和outside单独拿出来理解，inside和outside仅仅是一个位置限定词，代表

“某地”，而具体的是“到某地去”还是“从某地来”，还需要一个副词，这就是source和destination。在详述这个之前，姑且先将inside和outside单独拿出来使用。接下来我来说明一下NAT和路由的关系是多么重要！考虑以下的数据流，我以“路由”这个动作为中心：正向包：-->NAT point1-->路由-->NAT point2--> 返回包：<--NAT point1<--路由<--NAT point2<-- 我们看一下在NAT point1和NAT point2上要做些什么动作才合理。首先我们先考虑转换正向包的源IP地址发生在NAT point2，那么对于返回包，目标地址转换就发生在NAT point2，返回包转换完目标地址后，发生路由查询，数据包正常返回，没有任何问题。现在考虑正向包的源IP地址转换发生在NAT point1，那么按照将NAT钩子操作安装在数据流同一位置的原则，返回包的目标地址转换只能发生在NAT point1，此时已经经过了路由查询，路由查询是基于目标地址转换前的目标地址来的，也就是说这个路由结果并非真正的路由结果，真正要想将返回数据包送到目的地，必须基于转换后目标地址来查询路由表才可以，然而即便这个针对转换前目标的路由查询结果实际上是个假的结果，你也要必须把它映射成一个真的结果 (这就是ip nat outside source中add-route参数要做的事情，下面的例子详述)。以下给出一个实例：

思科NAT配置实例

CISCONAT配置一、NAT简介 NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络，如Internet 。外部端口可以为路由器上的任意端口。设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用

路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。四、关于NAT的几个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。五、NAT的设置方法： NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。静态地址转换基本配置步骤：（1）、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入： Ip nat inside source static 内部本地地址内部合法地址（2）、指定连接网络的内部端口在端口设置状态下输入：ip nat inside （3）、指定连接外部网络的外部端口在端口设置状态下输入：

vmware关于桥接和NAT的区别

vmware关于桥接和NAT的区别（1）Bridged Networking(即网桥)：网桥允许用户将虚拟机连接到主机所在的局域网(LAN)。此方式连接虚拟机中的虚拟以太网交换机到主机中的物理以太网适配器。（2）NAT：网络地址翻译(NAT)设备允许用户将虚拟机连接到一个外部网络，在该网络中只有一个IP网络地址并且该地址已经被主机使用。 VMware的几个虚拟设备： VMnet0：这是VMware用于虚拟桥接网络下的虚拟交换机； VMnet1：这是VMware用于虚拟Host-Only网络下的虚拟交换机； VMnet8：这是VMware用于虚拟NAT网络下的虚拟交换机； VMware Network Adapter VMnet1：这是Host用于与Host-Only虚拟网络进行通信的虚拟网卡；VMware Network Adapter VMnet8：这是Host用于与NAT虚拟网络进行通信的虚拟网卡；一、桥接网络：可将虚拟机模拟接入主机所在的局域网。二、nat网络：在NAT网络中，会使用到VMnet8虚拟交换机，Host上的VMware Network Adapter VMnet8虚拟网卡被连接到VMnet8交换机上，来与Guest进行通信，但是VMware Network Adapter VMnet8虚拟网卡仅仅是用于和VMnet8网段通信用的，它并不为VMnet8网段提供路由功能，处于虚拟NAT网络下的Guest是使用虚拟的NAT服务器连接的Internet的。这时候，你的Guest和Host就可以实现互访了，并且如果你的Host此时已经连接到了Internet，那么你的Guest也就可以连上Internet了。那么VMware Network Adapter VMnet8虚拟网卡在这里扮演了一个什么角色呢？它仅仅是为Host和NAT虚拟网络下的Guest通信提供一个接口，所以，即便Disable

思科交换机NAT配置介绍及实例

思科交换机NAT配置介绍及实例 CISCONAT配置一、NAT简介 NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT 功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络，如Internet 。外部端口可以为路由器上的任意端口。设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。四、关于NAT的几个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。五、NAT的设置方法： NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。静态地址转换基本配置步骤：

虚拟机bridged、host-only和NAT网络模式的区别和用法

VMWare提供了三种工作模式，它们是bridged(bridged模式)、NAT(网络地址转换模式)和host-only(主机模式)。要想在网络管理和维护中合理应用它们，你就应该先了解一下这三种工作模式。 1.bridged(桥接模式) 在bridged模式下，VMWare虚拟出来的操作系统就像是局域网中的一台独立的主机，它可以访问网内任何一台机器。在bridged模式下，你需要手工为虚拟系统配置IP地址、子网掩码，而且还要和宿主机器处于同一网段，这样虚拟系统才能和宿主机器进行通信。同时，由于这个虚拟系统是局域网中的一个独立的主机系统，那么就可以手工配置它的TCP/IP配置信息，以实现通过局域网的网关或路由器访问互联网。使用bridged模式的虚拟系统和宿主机器的关系，就像连接在同一个Hub上的两台电脑。想让它们相互通讯，你就需要为虚拟系统配置IP地址和子网掩码，否则就无法通信。如果你想利用VMWare在局域网内新建一个虚拟服务器，为局域网用户提供网络服务，就应该选择bridged模式。这种方式最简单，直接将虚拟网卡桥接到一个物理网卡上面，和linux下一个网卡绑定两个不同地址类似，实际上是将网卡设置为混杂模式，从而达到侦听多个IP的能力。在此种模式下，虚拟机内部的网卡（例如linux下的eth0)直接连到了物理网卡所在的网络上，可以想象为虚拟机和host机处于对等的地位，在网络关系上是平等的，没有谁在谁后面的问题。使用这种方式很简单，前提是你可以得到1个以上的地址。对于想进行种种网络实验的朋友不太适合，因为你无法对虚拟机的网络进行控制，它直接出去了。 2.NAT(网络地址转换模式) 使用NAT模式，就是让虚拟系统借助NAT(网络地址转换)功能，通过宿主机器所在的网络来访问公网。也就是说，使用NAT模式可以实现在虚拟系统里访问互联网。NAT模式下的虚拟系统的TCP/IP配置信息是由VMnet8(NAT)虚拟网络的DHCP服务器提供的，无法进行手工修改，因此虚拟系统也就无法和本局域网中的其他真实主机进行通讯。采用NAT模式最大的优势是虚拟系统接入互联网非常简单，你不需要进行任何其他的配置，只需要宿主机器能访问互联网即可。这种方式也可以实现Host OS与Guest OS的双向访问。但网络内其他机器不能访问Guest OS，Guest OS可通过Host OS用NAT协议访问网络内其他机器。NAT方式的IP地址配置方法是由VMware的虚拟DHCP服务器中分配一个IP ，在这个IP地址中已经设置好路由，就是指向如果你想利用VMWare安装一个新的虚拟系统，在虚拟系统中不用进行任何手工配置就能直接访问互联网，建议你采用NAT模式。这种方式下host内部出现了一个虚拟的网卡vmnet8（默认情况下），如果你有过做nat服务器的经验，这里的vmnet8就相当于连接到内网的网卡，而虚拟机本身则相当于运行在内网上的机器，虚拟机内的网卡（eth0）则独立于vmnet8。你会发现在这种方式下，vmware自带的dhcp会默认地加载到vmnet8界面上，这样虚拟机就可以使用dhcp服务。更为重要的是，vmware自带了nat服务，提供了从vmnet8到外网的地址转换，所以这种情况是一个实实在在的nat服务器在运行，只不过是供虚拟机用的。很显然，如果你只有一个外网地址，此种方式很合适。 host-only(主机模式) 在某些特殊的网络调试环境中，要求将真实环境和虚拟环境隔离开，这时你就可采用host-only模式。在host-only模式中，所有的虚拟系统是可以相互通信的，但虚拟系统和真实的网络是被隔离开的。提示:在host-only模式下，虚拟系统和宿主机器系统是可以相互通信的，相当于这两台机器

NAT技术原理

nat网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。编辑本段网络地址转换（NAT）简介NAT概述NAT（Network Address Translation，网络地址转换）是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中，NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用IP 地址空间的枯竭。[1] 说明：私有IP 地址是指内部网络或主机的IP 地址，公有IP 地址是指在因特网上全球唯一的IP 地址。RFC 1918 为私有网络预留出了三个IP 地址块，如下： A 类：10.0.0.0～10.255.255.255 B 类：172.16.0.0～172.31.255.255 C 类：192.168.0.0～192.168.255.255 上述三个范围内的地址不会在因特网上被分配，因此可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。NAT技术的产生虽然NAT可以借助于某些代理服务器来实现，但考虑到运算成本和网络性能，很多时候都是在路由器上来实现的。随着接入Internet的计算机数量的不断猛增，IP地址资源也就愈加显得捉襟见肘。事实上，除了中国教育和科研计算机网（CERNET）外，一般用户几乎申请不到整段的C类IP地址。在其他ISP那里，即使是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有几个或十几个IP地址。显然，这样少的IP地址根本无法满足网络用户的需求，于是也就产生了NAT技术。NAT技术的作用借助于NAT，私有（保留）地址的"内部"网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求。NAT将自动修改IP报文的源IP 地址和目的IP地址，Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP 地址嵌入到IP报文的数据部分中，所以还需要同时对报文的数据部分进行修改，以匹配IP头中已经修改过的源IP地址。否则，在报文数据都分别嵌入IP地址的应用程序就不能正常工作。NAT技术实现方式NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。静态转换是指将

Nat穿透方法分析

Nat穿透方法分析一、nat分类静态NAT (Static NAT) 内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。动态地址NAT (Pooled NAT) 在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。网络地址端口转换NAPT（Port-Level NAT）把内部地址映射到外部网络的一个IP地址的不同端口上。二、基本nat分类（1）Full Cone NAT(完全圆锥型) NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定任何包都可以通过地址{A:b}送到客户主机的{X:y}地址上（2）Address Restricted Cone NAT(地址限制圆锥型 ) NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定只有来自主机{P}的包才能和主机{X:y}通信（3）Port Restricted Cone NAT(端口限制圆锥型) NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定只有来自主机{P,q}的包才能和主机{X:y}通信（4）Symmetric NAT(对称型) NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定为{X:y}|{A:b}<->{P:q} NAT只接受来自{P:q}的incoming packet，将它转给{X:y} 每次客户机请求一个不同的公网地址和端口，NAT会新分配一个端口号{C,d} 三、Nat穿透方法分析 A机器在私网（192.168.0.4） A侧NAT服务器（210.21.12.140） B机器在另一个私网（192.168.0.5） B侧NAT服务器（210.15.27.140） C机器在公网（210.15.27.166）作为A和B之间的中介 A机器连接过C机器，假使是 A（192.168.0.4:5000）-> A侧NAT（转换后210.21.12.140:8000）-> C（210.15.27.166:2000） B机器也连接过C机器，假使是 B（192.168.0.5:5000）-> B侧NAT（转换后210.15.27.140:8000）-> C（210.15.27.166:2000） A机器连接过C机器后，A向C报告了自己的内部地址（192.168.0.4:5000），此时C不仅知道了A的外部地址（C通过自己看到的210.21.12.140:8000）、也知道了A的内部地址。同理C也知道了B的外部地址（210.15.27.140:8000）和内部地址（192.168.0.5:5000）。之后，C作为中介，把A的两个地址告诉了B，

IPSec的NAT穿越详细介绍

IPSec的NAT穿越详细介绍 1. 前言 IPSec提供了端到端的IP通信的安全性，但在NAT环境下对IPSec的支持有限，AH协议是肯定不能进行NAT的了，这和AH设计的理念是相违背的；ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道，无法实现多台机器同时在NAT环境下进行ESP通信。关于IPSec在NAT环境下的需求问题在RFC3715中进行了描述。 NAT穿越(NATTraversal，NAT-T)就是为解决这个问题而提出的，在RFC3947，3948中定义，在RFC4306中也加入了NAT-T的说明，但并没废除RFC3947，3948，只是不区分阶段1和阶段2。该方法将ESP协议包封装到UDP包中（在原ESP协议的IP包头外添加新的IP头和UDP 头），使之可以在NAT环境下使用的一种方法，这样在NAT的内部网中可以有多个IPSec 主机建立VPN通道进行通信。 2. IKE协商使用UDP封装 RFC3947主要描述如何检测是否存在NAT设备，并如何在IKE中协商使用UDP来封装IPSec 数据包。本帖隐藏的内容 2.1 检测功能是检测通信中是否存在NAT设备和对方是否支持NAT-T。正常的IKE协商使用的UDP包的源和目的端口都是500，如果存在NAT设备，大多数情况下该UDP包的源端口部分会改变，只有少数情况不改。接收方如果发现UDP源端口不是500，那可以确定数据是经过了NAT设备。另外，确定NAT的位置也是重要的，在检测对方失效（DPD）时，应该尽量由在NAT设备后面的一方主动进行DPD探测，而从另一方探测有可能会失败。检测对方是否支持NAT-T是通过交换vendor ID载荷来实现的，如果自身支持NAT-T，在IKE 开始交互就要发送这种载荷，载荷内容是“RFC 3947”的MD5值，也就是十六进制的“4a131c81070358455c5728f20e95452f”。判断是否在NAT设备后面是通过发送NAT-D(NAT-Discovery)载荷来实现的，载荷内容是IP 地址和UDP端口的HASH值，NAT-D载荷格式如下，载荷类型值是20： 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 +---------------+---------------+---------------+---------------+ | Next Payload | RESERVED | Payload length | +---------------+---------------+---------------+---------------+ ~ HASH of the address and port ~ +---------------+---------------+---------------+---------------+ HASH值的计算方法如下，具体HASH是根据协商来确定的： HASH = HASH(CKY-I | CKY-R | IP | Port) CKY-I和CKY-R是协商发起方和响应方的cookie。协商中双方各自至少要发送两个NAT-D载荷，第一个载荷是对方的地址和端口的HASH，后面的载荷是自己的地址和端口，如果本地有多个地址，则要发送多个载荷，包括所有地址和

NAT设置之端口转发和端口映射和DMZ的区别

无线路由器——NAT设置 NAT(Network Address Translation，网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址)，但现在又想和因特网上的主机通信(并不需要加密)时，可使用NAT方法。简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关(可以理解为出口，打个比方就像院子的门一样)处，将内部地址替换成公用地址，从而在外部公网(internet)上正常使用，NAT可以使多台计算机共享Internet 连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。无线路由器的NAT设置，一般用于处于内网的主机需要打开某些端口供外网电脑访问从而提供服务，比如说网站服务器。我以JCG JHR-N926R这款无线路由器为例跟大家分享分享NAT设置。通常情况下，路由器都有防火墙功能，互联网用户只能访问到你的路由器WAN口(接ADSL线口)，而访问不到内部服务器。要想让外面用户访问到局域网内的服务器，那么你就要在路由器上做一个转发设置，也就是端口映射设置，让用户的请求到了路由器后，并能够到达游戏服务器或WEB服务器。这就是端口映射/端口转发。有时也称

为虚拟服务。下面有三种NAT的设置方案。第一步：设置服务器端口首先把服务器要开放的端口设置好，并把服务器的防火墙关闭，否则外网不能通过服务器。下面可以选择三种方案中的一种进行设置使用。第二步：路由器的设置第一方案：端口转发连接好路由器，进入路由器的设置界面——点击“高级设置”——点击“NAT”，出现如下界面： “IP地址”这里填入您给服务器指定的IP地址（这个IP必须的固定的，否则IP地址改变的话，您的端口转发就不能成功）。 “内部端口”这里填入服务器设置好的端口号，也就是局域网访问服务器时要使用的端口号。这里的端口号必须和服务器要开放的端口号一致。 “外部端口”这里填入外网访问服务器时使用的端口号，这里的端口号可以自己设定。“服务备注”这里主要是为了方便您知道这个开放端口的意思，随便自己填写，只要自己明白就好。这些都填写完成之后，在后面的“启用”那里打上钩，最后点击“应用”按钮，那么整个端口转发就设置完成了。第二方案：端口映射连接好路由器，进入路由器的设置界面——点

路由器NAT功能配置简介(1)

随着Internet的网络迅速发展，IP地址短缺已成为一个十分突出的问题。为了解决这个问题，出现了多种解决方案。下面几绍一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。一、NAT简介 NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT 功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络，如Internet 。外部端口可以为路由器上的任意端口。设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS 为11.2版本以上支持NAT功能)。四、关于NAT的几个概念：内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。五、NAT的设置方法： NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。静态地址转换基本配置步骤：

ICS与NAT区别

提到共享上网，我们很容易想到使用代理服务器或者是带路由功能的ADSL Modem，其实我们还有更廉价的选择——用Windows系统提供的共享上网的功能。这并没有什么新鲜的，但很多人并没有注意到：在Windows中提供的共享上网方式有两种——ICS和NAT。这两种方式各是一个什么概念，各自依据的是什么原理，它们各有什么优缺点，这是我们下面要探讨的内容。什么是ICS ICS即Internet连接共享(Internet Connection Sharing)的英文简称，是Windows 系统针对家庭网络或小型的Intranet网络提供的一种Internet连接共享服务。它实际上相当于一种网络地址转换器，所谓网络地址转换器就是当数据包向前传递的过程中，可以转换数据包中的IP地址和TCP/UCP端口等地址信息。有了网络地址转换器，家庭网络或小型的办公网络中的电脑就可以使用私有地址，并且通过网络地址转换器将私有地址转换成ISP分配的单一的公用IP地址从而实现对Internet的连接。ICS方式也称之为Internet转换连接。什么是NAT NAT即网络地址转换(Network Address Translator)，从广义上讲，ICS也是使用了一种NAT技术，不过我们这里讨论的NAT是指将运行Windows 2000 Server的计算机作为IP路由器，通过它在局域网和Internet主机间转发数据包从而实现Internet的共享。NAT方式也称之为Internet NAT 通过将专用内部地址转换为公共外部地址，对外隐藏了内部管理的IP地址。这样，通过在内部使用非注册的IP地址，并将它们转换为一小部分外部注册的IP地址，从而减少了IP地址注册的费用。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。其工作过程我们通过图1来了解，对于由NAT传出数据包，源IP地址(专用地址)被映射到ISP分配的公用地址，并且TCP/UDP端口号也会被映射到不同的TCP/UDP端口号。对于到NAT协议的传入数据包，目标公用IP地址被映射到源内部专用地址，并且TCP/UDP端口号被重新映射回源TCP/UDP端口号。可以简单地概括为，对于向外发出的数据包，NAT将源IP地址和源TCP/UDP端口号转换成一个公共的IP地址和端口号；对

NAT的原理及其注意事项

发信人: achilles IPv6技术详解当前，基于Internet的各种应用正在如火如荼发展着，而与此热闹场面截然不同的是，Internet当前使用的IP协议版本IPv4正因为各种自身的缺陷而举步维艰。在IPv4面临的一系列问题中，IP地址即将耗尽无疑是最为严重的，有预测表明，以目前Internet发展速度计算，所有IPv4地址将在2005～2010年间分配完毕。为了彻底解决 IPv4存在的问题，IETF从1995年开始，着手研究开发下一代IP协议，即IPv6。IPv6具有长达128位的地址空间，可以彻底解决IPv4地址不足的问题，除此之外，IPv6还采用分级地址模式、高效IP包头、服务质量、主机地址自动配置、认证和加密等许多技术。 Ipv4尴尬的现状 Internet起源于1968年开始研究的ARPANET，当时的研究者们为了给ARPANET建立一个标准的网络通信协议而开发了IP协议。IP协议开发者当时认为ARPANET的网络个数不会超过数十个，因此他们将IP协议的地址长度设定为32个二进制数位，其中前8位标识网络，其余24位标识主机。然而随着ARPANET日膨胀，IP 协议开发者认识到原先设想的网络个数已经无法满足实际需求，于是他们将32位IP地址分成了三类：A类，用于大型企业； B类，用于中型企业；C类，用于小型企业。A类、B类、C类地址可以标识的网络个数分别是128、16384、2097152，每个网络可容纳的主机个数分别是16777216、65536、256。虽然对IP地址进行分类大大增加了网络个数，但新的问题又出现了。由于一个C类网络仅能容纳256个主机，而个人计算机的普及使得许多企业网络中的主机个数都超出了2 56，因此，尽管这些企业的上网主机可能远远没有达到B类地址的最大主机容量65536，但InterNIC 不得不为它们分配B类地址。这种情况的大量存在，一方面造成了IP地址资源的极大浪费 ,另一方面导致B类地址面临着即将被分配殆尽的危险。非传统网络区域路由（Classless InterDomain Routing, CIDR），是节省B类地址的一个紧急措施。CIDR的原理是为那些拥有数千个网络主机的企业分配一个由一系列连续的C类地址组成的地址块，而非一个B类地址。例如，假设某个企业网络有15 00个主机，那么可能为该企业分配8个连续的C类地址，如：192. 56.0.0至192.56.7.0，并将子网掩码定为255.255.248.0，即地址的前21位标识网络，剩余的11位标识主机。尽管通过采用CIDR 可以保护B类地址免遭无谓的消耗，但是依然无法从根本上解决IPv4面临的地址耗尽问题。另一个延缓IPv4地址耗尽的方法是网络地址翻译（Network AddressTranslation, NAT），它是一种将无法在Internet上使用的保留IP地址翻译成可以在Internet上使用的合法IP地址的机制。NAT使企业不必再为无法得到足够的合法IP地址而发愁了，它们只要为内部网络主机分配保留IP地址，然后在内部网络与I nternet交接点设置NAT和一个由少量合法IP地址组成的IP地址池，就可以解决大量内部主机访问Internet的需求了。由于目前要想得到一个A类或B类地址十分困难，因此许多企业纷纷采用了NAT 。然而，NAT也有其无法克服的弊端。首先，NAT会使网络吞吐量降低，由此影响网络的性能。其次，NAT 必须对所有去往和来自Internet的IP数据报进行地址转换，但是大多数NAT无法将转换后的地址信息传递给IP数据报负载，这个缺陷将导致某些必须将地址信息嵌在IP数据报负载中的高层应用如FTP和WINS注册等的失败。 IPv6的对策

日本NAT考试的基本介绍

xxNAT考试的基本介绍日语NAT考试——“日本语NAT-TEST”是面向母语不是日语的日语学习者，判定其日语能力的考试。结合难度分为5个级别，通过“文字·语汇”(文字词汇)、“聴解”(听解)、“読解”(读解)三部分考试进行综合地评价。出题的标准和构成与“日语能力考试”(日能)基本相同。日语NAT考试介绍不清楚的同学来看看! “日本语NAT-TEST”是以自1988年首次实施以来，不仅在日本国内，同时也在中国(包括台湾地区)、韩国等地区一年实施2次的“日本语学力テスト”的专业方法为基础所作。“日本语学力テスト”被很多的日语学校、日语教育机构作为课程之一所采用，并被积极用于考生的成绩评估及未来发展方向指导等。作为日语能力考试的对策最为合适 “日本语NAT-TEST”的出题标准和构成与“日本语学力テスト”一样，以一般作为大学入学考试和日本留学、就学颁发签证时考察考生、申请者日语能力参考的“日语能力考试”(日能)为依据，因此最适合作为“日能”的考前对策(例如“日本语 NAT-TEST”的4级和“日能”N5的难度基本相同)。此外，“日能”为一年举办一次(N1和N2为一年举办2次)，而本考试为1年举办6次，考生可以更加细致地确认自己的日语学习进度。成绩结果得知速度快 “日本语NAT-TEST”将在考试当天开始计算的大约三周之内向全体的考生发送“成绩单”。成绩单中不仅有综合评价，各个部门、各个问题的得分和评价也有详细记录，让考生对自己擅长和不擅长的地方能够一目了然。此外，对于考试合格的人将颁发“合格证”。高质量的出题 “日本语NAT-T EST”所出的问题，由包括了有多年经验的日语教育者和日语教材编辑在内的众多出题委员所作。此外，出题基准的资料使用了『1万语语汇

三种NAT实现方式配置实例

NAT有3种实现方式，包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，选择相应的NAT技术类型。一般我们实际工作中都使用复用NAT，即复用断口NAT，也叫PNAT. 所以掌握最后配置就可以了。静态NAT配置步骤：首先，配置各接口的IP地址。内网使用私有IP.外网使用公网IP.并指定其属于内外接口。其次，定义静态建立IP地址之间的静态映射。最后，指定其默认路由。 Router>en（进入特权模式） Router#config （进入全局配置模式） Configuring From terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ho R3（命名为R3） R3(config)#no ip domain-lo（关闭域名查询，在实验环境中，敲入错误的命令，它将进行域名查询，故关闭他） R3(config)#line c 0（进入线路CONSOLE接口0下） R3(config-line)#logg syn（启用光标跟随，防止日志信息冲断命令显示的位置）R3(config-line)#exec-t 0 0（防止超时，0 0为永不超时） R3(config-line)#exit R3(config)#int e0（进入以太网接口下） R3(config-if)#ip add 192.168.1.1 255.255.255.0（设置IP地址） R3(config-if)#ip nat inside（设置为内部接口） R3(config-if)#no shut R3(config-if)#exit R3(config)#int ser1 （进入串口下） R3(config-if)#ip add 100.0.0.1 255.255.255.0 R3(config-if)#no shut R3(config-if)#ip nat outside（设置为外部接口） R3(config-if)#exit R3(config)#ip nat inside source static 191.168.1.1 100.0.0.1（设置静态转换，其中ip nat inside source为NAT转换关键字，这里是静态，故为STATIC）R3(config)#ip classless R3(config)#ip route 0.0.0.0 0.0.0.0 s0(这里是出口或者下一跳地址) R3(config)#exit