当前位置：文档库 › 基于NAT的码流均衡转发的研究

基于NAT的码流均衡转发的研究

windows NAT映射端口教程

网外(Internet)访问代理服务器内部的实现方法作者：Zealous July 来源：dc资讯交流网鲨鱼丸ID：zsj008od Thursday,May30,2002由于公网IP地址有限，不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP上INTERNET的方法，这样就限制了这些用户在自己计算机上架设个人网站，要实现在这些用户端架设网站，最关键的一点是，怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射！就象在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对外网来说，你还是只有一个外部的IP 地址，怎么样把外网的IP映射成相应的内网IP地址，这应该是内网的那台代理服务器或网关路由器该做的事，对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商（中国电信、联通、网通、铁通等）应该提供的服务，因为这种技术的实现对他们来说是举手之劳，而对我们来说是比较困难的，首先得得到系统管理员的支持才能够实现。因为这一切的设置必须在代理服务器上做的。要实现这一点，可以用Windows2000Server的端口映射功能，除此之外Winroute Pro也具有这样的功能，还有各种企业级的防火墙。而对于我们这些普通用户，恐怕还是用Windows2000Server最为方便。先来介绍一下NAT，NAT（网络地址转换）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。端口映射功能可以让内部网络中某台机器对外部提供WWW服务，这不是将真IP地址直接转到内部提供WWW服务的主机，如果这样的话，有二个蔽端，一是内部机器不安全，因为除了WWW之外，外部网络可以通过地址转换功能访问到这台机器的所有功能；二是当有多台机器需要提供这种服务时，必须有同样多的IP地址进行转换，从而达不到节省IP地址的目的。端口映射功能是将一台主机的假IP地址映射成一个真IP地址，当用户访问提供映射端口主机的某个端口时，服务器将请求转到内部一主机的提供这种特定服务的主机；利用端口映射功能还可以将一台真IP地址机器的多个端口映射成内部不同机器上的不同端口。端口映射功能还可以完成一些特定代理功能，比如代理POP，SMTP，TELNET等协议。理论上可以提供六万多个端口的映射，恐怕我们永远都用不完的。一、下面来介绍一下通过NAT共享上网和利用NAT来实现端口映射。 1、在Windows2000Server上，从管理工具中进入“路由和远程访问”（Routing and Remote Access）服务，在服务器上鼠标右击，－》“配置并启用路

Windows2003配置NAT端口映射

Windows2003配置NAT端口映射 YHX 本文介绍的端口映射指的是利用Windows2003服务期的NAT功能，将对该服务器上某个公网IP指定端口的访问转发到和该服务器所连接的内部局域网某台服务器上。配置分为NAT服务器的配置和内部局域网服务器的配置两部分：一、NAT服务器的配置对Windows2003服务器的要求：拥有两张网卡，一张配置有公网IP，连接到Internet，一张连接到内部局域网。为便于阐述，假设两张网卡IP配置如下：公网网卡：IP=220.179.244.238，NetMask（子网掩码）=255.255.255.0，GW（网关）=220.179.244.129 局域网网卡：IP=192.168.0.1，NetMask=255.255.255.0，不配置GW NAT端口映射配置步骤： 1.从控制面板的“管理工具”打开“路由和远程访问”；

2.在打开的界面左边树形目录中，选择标识有(本地)名称的服务器，右键菜单选择“配置并启用路由和远程访问”，点击“下一步”；

3.在弹出的界面选择第2项：“网络地址转换(NAT)”，点击“下一步”； 4.在“Nat Inter net连接”界面中选择公网IP的网卡，点击“下一步”；

5.在“网络选择”界面中选择连接到内部局域网的网卡，点击“下一步”；

6.点击“完成”按钮，windows2003自动启动服务。

以上步骤配置完后，在树形目录“IP路由选择”下将会有个“NAT/基本防火墙”的节点，选中它后，在右边的视图内会有几个连接，选择公网IP的那个连接，进入它的属性配置。在属性配置界面上有几个TAB，分别是“NAT/基本防火墙”、“地址池”、“服务和端口”、“ICMP”。我们主要配置第1和第3项。 “NAT/基本防火墙”：接口类型选择“公用接口连接到Internet”，并确保“在此接口上启动NAT”打勾，防火墙配置随意； “服务和端口”：服务和端口是端口映射的重点，它配置的是对公网IP哪些端口的访问将被转发到内部局域网的哪个IP和端口上。选择添加进入“添加服务”界面，“公用地址”表示连接到公网的接口，选择“在此接口”；“协议”则根据服务的类型选择TCP或UDP；“传入端口”指对哪个端口的访问将被转发；“专用地址”指的是访问将会转发到的内部局域网中

NAT网络地址转换技术的应用与实现

编号：_______________ 商丘科技职业学院毕业论文题目： NAT技术在网络中的应用与实现系别计算机科学系专业学生姓名成绩指导教师 2011年 4月

商丘科技职业学院毕业论文摘要随着互联网的普及，IP地址缺乏问题日益恶化，为了缓解问题，在IP地址分配和保留IP地址方面提出了许多办法，甚至提出新一代的IPv6技术从根本上解决地址空间问题。但由于多方面的原因，NA T成为了事实上广泛使用的解决方法，是我们至今在互联网上没有使用完合法IPv4地址的真实原因。它主要思想是把本地的私有IP地址映射到公网的合法IP地址，以缓解可用IP地址空间的消耗。本课程设计主要对NAT技术进行系统分析，并举出一个应用实例，在网络模拟器中将其具体实现，深入了解其工作原理与数据包每次被修改的情况，了解技术存在的缺点。关键词：IP地址分配保留IP地址 NAT

NAT技术在网络中的应用与实现目录绪论 (1) 第1章背景简述 (2) 1.1IP地址现状 (2) 1.2现存解决方案 (2) 第二章NAT技术分析 (3) 2.1NAT类型 (3) 2.2NAT术语 (4) 2.3NAT工作原理 (4) 第三章NAT的应用实例 (6) 3.1实例描述 (6) 3.2实例的设计方案 (7) 3.3实例的配置重点 (8) 3.4实例的分析 (10) 结束语 (12) 参考文献 (13)

商丘科技职业学院毕业论文绪论随着互联网的普及，接入网络的计算机数量增长非常迅速，目前使用的IPv4地址空间有限，可用的公网合法IP非常短缺。人们为了缓解日益恶化的地址缺乏问题，在IP地址的分配和保留IP地址方面采取了许多办法。现存的解决办法包括ISP方面对公网地址的动态分配与回收、使用DHCP动态分配与回收、可变长子网掩码（VLSM）[1]技术、无类域间路由（CIDR）技术，甚至提出新一代的IPv6[3]技术从根本上解决地址空间问题，但由于多方面的原因，IPv6到目前还没有得到普及，而网络地址转换（NA T）[2]技术的使用，是我们至今在互联网上没有使用完合法IPv4地址的真实原因。它主要思想是把本地的私有IP地址映射到公网的合法IP 地址，以缓解可用IP地址空间的消耗。虽然，它没有像IPv6那种从根本上解决问题，但在IPv6没有得到普及的今天，成为了事实上广泛使用的解决方法。

NAT设置之端口转发和端口映射和DMZ的区别

无线路由器——NAT设置 NAT(Network Address Translation，网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址)，但现在又想和因特网上的主机通信(并不需要加密)时，可使用NAT方法。简单的说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关(可以理解为出口，打个比方就像院子的门一样)处，将内部地址替换成公用地址，从而在外部公网(internet)上正常使用，NAT可以使多台计算机共享Internet 连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。无线路由器的NAT设置，一般用于处于内网的主机需要打开某些端口供外网电脑访问从而提供服务，比如说网站服务器。我以JCG JHR-N926R这款无线路由器为例跟大家分享分享NAT设置。通常情况下，路由器都有防火墙功能，互联网用户只能访问到你的路由器WAN口(接ADSL线口)，而访问不到内部服务器。要想让外面用户访问到局域网内的服务器，那么你就要在路由器上做一个转发设置，也就是端口映射设置，让用户的请求到了路由器后，并能够到达游戏服务器或WEB服务器。这就是端口映射/端口转发。有时也称

为虚拟服务。下面有三种NAT的设置方案。第一步：设置服务器端口首先把服务器要开放的端口设置好，并把服务器的防火墙关闭，否则外网不能通过服务器。下面可以选择三种方案中的一种进行设置使用。第二步：路由器的设置第一方案：端口转发连接好路由器，进入路由器的设置界面——点击“高级设置”——点击“NAT”，出现如下界面： “IP地址”这里填入您给服务器指定的IP地址（这个IP必须的固定的，否则IP地址改变的话，您的端口转发就不能成功）。 “内部端口”这里填入服务器设置好的端口号，也就是局域网访问服务器时要使用的端口号。这里的端口号必须和服务器要开放的端口号一致。 “外部端口”这里填入外网访问服务器时使用的端口号，这里的端口号可以自己设定。“服务备注”这里主要是为了方便您知道这个开放端口的意思，随便自己填写，只要自己明白就好。这些都填写完成之后，在后面的“启用”那里打上钩，最后点击“应用”按钮，那么整个端口转发就设置完成了。第二方案：端口映射连接好路由器，进入路由器的设置界面——点

NAT技术

目录第1章NAT协议及其应用 (3) 1.1 NA T技术相关术语介绍 (3) 1.2 NA T技术介绍 (4) 1.3 典型应用 (6)

第1章NAT协议及其应用本节主要介绍NA T(network address translate 网络地址转换)的原理及实现。本节主要内容： ●NA T技术相关术语介绍 ●NA T技术介绍 ●典型应用 1.1NAT技术相关术语介绍内部本地地址（IL，Inside local）——分配给内部设备的地址。这些地址不会对外公布。内部全局地址（IG，Inside global）——一通过这个地址，外部可以知道内部设备。外部全局地址（OG，Outside global）——分配给外部设备的地址。这些地址不会向内部公布。外部本地地址（OL，Outside local）——通过这个地址，内部设备可以知道外部设备。地址池——可用地址的地址范围定义。在定义一个地址池以后，当内部网络与外部通信时，系统将从地址池中选择一个可用地址进行地址的转换；地址池的定义包括地址范围、掩码等定义。静态转换——在内部本地地址与内部全局地址之间建立起一个一一对应的关系，比如，当需要给一台内部主机设定一个唯一的全局地址时，可使用静态转换。动态转换——动态转换一般在内部本地地址与全局地址之间建立一个映射，地址的映射关系并非事先就确定好的，在需要建立一个转换时在地址池中选择一个可用地址建立转换关系。重载——对于地址池中的地址，又分为可重载与不可重载两种情形。重载允许同时将多个本地地址映射到同一个全局地址，而通过所使用的端口来区分。负载均衡——当存在多台主机同时承担同一件工作时，（如对于许多大的站点，可能存在多台Web Server或者FTP服务器、邮件服务器等），存在一个任务的均衡协调问题，以求各主机上分担的负载尽量平衡。NA T可以从某种程度上达到这一目的。

NAT地址转换-服务器端口映射实验

NAT地址转换-服务器端口映射实验（绝对的经典可以跟单臂路由相媲美） 2014年11月27日（网络设备配置技术实验课堂手工敲打总结啊）看完后觉得赞，快去下载吧，送老师几个豆张文武广东省高级技工学校网络技术专业教师项目背景：某企业的网络拓扑图如图3-41所示，路由器通过专线连接到外网，只有一个公网地址：202.99.111.2；内网的网段是192.168.0.0/24，内网有一台Web服务器（192.168.1.100）和一台Ftp服务器（192.168.1.101）需要同时对外网提供服务。要求在路由器上设置端口映射，把公网地址202.99.111.2的TCP80端口映射到Web服务器服务器；TCP21端口映射到Ftp服务器，现将路由器配置如下：拓扑图：配置思路：（非常重要） 1按要求画图 2把相应的IP地址配置到对应的设备或端口上。 3三层交换机，路由配置静态路由使网络畅通 4路由器上做NA T地址转换，使内部网络可以上网 5路由器上做端口映射，确保外部用户能够安全访问web，和FTP服务具体配置过程: 一拓扑结构图二IP配置 1.给路由器端口配置IP地址

R>en R#conf t R(config)#int f0/0 R(config-if)#ip add 202.99.111.2 255.255.255.252 R(config-if)#no sh R(config)#int f0/1 R(config-if)#ip add 192.168.0.1 255.255.255.0 R(config-if)#no sh 2.给交换机端口配置IP地址 Switch>en Switch#config t Switch(config)#int f0/1 Switch(config-if)#no switchport //把端口f0/1改变为路由端口模式 Switch(config-if)#ip add 192.168.0.2 255.255.255.0 Switch(config-if)#no sh 给内部主机设置网关地址： Switch(config)#in vlan 1 Switch(config-vlan)#ip add 192.168.1.1 255.255.255.0 Switch(config-vlan)#no sh 三交换机路由器配置静态路由 1三层交换配置静态路由确保内部主机外出的数据包转发路由器的内网接口f0/1 switch>en switch #conf t switch（config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1 2路由将要发往外部的数据包转发到运营商的IP202.99.111.1/30 R>en R#config t R(config)#ip route 0.0.0.0 0.0.0.0 202.99.111.1 3路由器从外网中接受到返回内网数据，配置一条回指路由，转发给三层f0/1口R(config)#ip route 192.168.1.0 255.255.255.0 192.168.0.2 四在路由器上配置NAT地址转换，将内网中的私有地址转换为公有地址： R>en R#config t R(config)#int f0/0 R(config-if)#ip nat outside

NAT技术基本原理及其在实际中的应用

2009年1月第14卷第1期西　安　邮　电　学　院　学　报 JOURNAL OF XI ’AN UN IV ERSIT Y OF POST AND TEL ECOMMUN ICA TIONS Jan.2009 Vol 114No 11 收稿日期:2008-10-21 作者简介:李广华(1981-),男,河南洛阳人,西安邮电学院通信技术研究所硕士研究生; 朱志祥(1959-),男,天津人,西安邮电学院通信技术研究所教授; 李振兴(1976-),男,山西太原人,西安邮电学院通信技术研究所硕士研究生。 NA T 技术基本原理及其在实际中的应用李广华,朱志祥,李振兴 (西安邮电学院通信技术研究所,陕西西安　710061) 摘要:网络地址翻译(NA T )技术是Internet 上最常见的网络技术之一。正确检测识别NA T 的具体实现形式,无论对于网络安全还是网络应用都是十分必要的。论文给出了NA T 技术的基本原理和类型,深入分析了NA T 穿越技术在P2P 中的应用,并描述应用程序穿越中间设备建立P2P 通讯时可能产生的安全问题。关键词:NA T ;公有地址;私有地址;地址映射;地址翻译中图分类号:TP393 文献标识码:A 文章编号:1007-3264(2009)01-0091-05 随着Internet 的飞速发展,网上丰富的资源产生着巨大的吸引力,接入Internet 、访问Internet 已经成为大众需求。这样就面临两个最迫切的问题:IP 地址的匮乏和路由规模的扩大。对此,长期的和短期的解决方案都有所发展,那就是网络地址转换(NA T )和IPv6技术。几年前,人们就意识到目前的IPv4地址空间将会耗尽。在IPv6技术上在研究中切还未完全取代现有的IPv4的情况下,短期解决方案NA T 技术对于缓解目前的地址缺乏问题,具有积极意义。NA T 核心就是要把一个私有地址域里的地址转换为可路由的全局因特网地址,这样就使得内部主机访问因特网得以实现。 1　基本原理及其类型 1.1　基本原理 NA T (Network Address Translation ,网络地址转换),它允许一个机构以一个公有IP 地址出现在Internet 上。将局域网内每个节点的私有地址转换成一个公有IP 地址,反之亦然。而且,它可以应用于防火墙技术,把个别地址隐藏起来不被外界发现, 使外界无法直接访问内部网络设备。同时,它可以帮助网络超越地址的限制,合理地安排网络中的公有Internet 地址和私有IP 地址的使用。 NA T 技术能帮助解决令人头疼的IP 地址紧缺的问题,实现公网地址和私网地址之间的映射,而且能使内部和外部的网络隔离,提供一定程度的网络安全保障。它解决问题的办法是:在内部网络中使用内部地址,通过NA T 把内部地址翻译成合法的IP 地址在Internet 上使用,其具体的做法是把IP 包内的地址域用合法的外部IP 地址来替换。工作的基本流程可以从两个方面来概括: (1)当私网内的IP 包经NA T 流入公网时,NA T 将此IP 包的源IP 地址改为NA T 接口上的一个公网地址。 (2)当公网中的IP 包经NA T 访问私网资源时,NA T 将此IP 包目的地址改为某一私网IP 地址。下面通过一个网络结构图举例说明NA T 技术工作流程。网络结构图,如图1所示。由图1可见,NA T A 后的主机A (内网地址为192.168.2.50)需要向公网中的Proxy 通信,主机从5000端口发送消息至NA T A 。NA T A 发现此IP 地址,从空闲的端口中分配一个给这个连接(比如

NAT技术的原理与实现

NAT技术的原理与实现 NAT, 原理, 技术一.NAT技术简介随着网络的发展，网络地址转换(NAT,Network Address Translation)在网络建设中正发挥着不可替代的作用。从本质上来说，NAT的出现是为了缓解lP地址不足的问题；而在实际应用中，NAT还具备一些衍生功能，诸如隐藏并保护网络内部的计算机，以避免来自网络外部的攻击、方便内部网络地址规划，等等。二.NAT技术的基本原理。随着接入Internet的计算机数量的不断猛增，IP地址资源也就显得愈加紧张。在实际应用中，一般用户几乎申请不到整段的C类和B类IP地址。当我们的企业向ISP申请IP 地址时，所分配的地址也不过只有几个或十几个IP地址。显然，这样少的IP地址根本无法满足网络用户的需求。为了缓解供给和需求不可调和的矛盾，使用NAT技术便成为了企业和ISP的必然选择。企业使用NAT时，一般认为应当使用RFC1918规定的三段私有地址部署企业内部网络。当企业内部设备试图以私有地址为源，向外部网络（Internet）发送数据包的时候，NAT可以对IP包头进行修改，先前的源IP地址-私有地址被转换成合法的公有IP地址（前提是，该共有IP地址应当是企业已经从ISP申请到的合法公网IP），这样，对于一个局域网来说，无需对内部网络的私有地址分配做大的修改，就可以满足内网设备和外网通信的需求。由于设备的源IP地址被NAT替换成了公网IP地址，设备对于外网用户来说就显得“不透明”，达到了保证设备安全性的目的。在这种情况下，内部私有地址和外部公有地址是一一对应的。甚至，我们只需使用少量公网IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。三.企业实现NAT的常用方式在企业网络中，NAT的实现方式有三种，即静态转换NAT、动态转换NAT 以及端口多路复用（PAT）。下面的章节里将一一介绍。 1.静态转换静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。私有地址和公有地址的对应

内网配置nat123端口映射,实现异地远程访问控制内网电脑计算机PC

内网配置nat123端口映射,实现异地远程访问控制内网电脑计算机PC 当服务器没有公网IP时，怎么在外网远程控制访问？内网电脑计算机PC在外网怎么访问？解决方案：通过nat123端口映射达到在外网环境下远程访问控制内网电脑计算机PC。详细处理过程方法参考如下示例： 1.确认在局域网内远程正常：此为Windows环境参考内网PC（192.168.1.21）设置允许远程控制。计算机属性/远程设置，启动远程桌面允许。明确内网PC（192.168.1.21）远程桌面端口。默认是3389，可以在注册表修改。 “开始”→“运行”→输入“regedit” 回车，进入注册表，找到这个路径 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RD P-Tcp\ 修改参数PortNamber参数是默认是16进制的，hexadecimal 改为decimal 可以变成10进制，默认端口是3389可以自己修改。设置远程登录用户密码。控制面板/用户帐户，设置administrator用户密码（或添加配置其他用户密码）。测试内网远程登录。内网成功远程控制。

2.配置nat123端口映射：内网局域网环境登录nat123，端口映射添加。添加映射，内网地址：（192.168.1.21主机IP或名称），内网端口（3389），外网网址（为空），外网端口（33333，可10000-65535之间自定义）。

确认保存成功后，关闭添加映射窗口，查看端口映射列表。显示已添加端口映射信息。显示此外网网址（113.10.159.162）是自动分配的公网IP。33333端口是自定义访问端口。

NAT及NAT打洞技术

NAT及NAT打洞技术一、什么是NAT？为什么要使用NAT？ NAT是将私有地址转换为合法IP地址的技术，通俗的讲就是将内网与内网通信时怎么将内网私有IP地址转换为可在网络中传播的合法IP地址。NAT的出现完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。二、NAT的分类 STUN标准中，根据内部终端的地址(LocalIP:LocalPort)到NAT出口的公网地址(PublicIP:PublicPort)的影射方式，把NAT分为四种类型： 1、Full Cone NAT: 内网主机建立一个socket(LocalIP:LocalPort) 第一次使用这个socket给外部主机发送数据时NAT会给其分配一个公网(PublicIP:PublicPort),以后用这个socket向外面任何主机发送数据都将使用这对(PublicIP:PublicPort)。此外，任何外部主机只要知道这个(PublicIP:PublicPort)就可以发送数据给(PublicIP:PublicPort)，内网的主机就能收到这个数据包。 2、Restricted Cone NAT: 内网主机建立一个socket(LocalIP:LocalPort) 第一次使用这个socket给外部主机发送数据时NAT会给其分配一个公网(PublicIP:PublicPort),以后用这个socket向外面任何主机发送数据都将使用这对(PublicIP:PublicPort)。此外，如果任何外部主机想要发送数据给这个内网主机，只要知道这个(PublicIP:PublicPort)并且内网主机之前用这个socket曾向这个外部主机IP发送过数据。只要满足这两个条件，这个外部主机就可以用自己的(IP,任何端口)发送数据给(PublicIP:PublicPort)，内网的主机就能收到这个数据包。 3、Port Restricted Cone NAT: 内网主机建立一个socket(LocalIP:LocalPort) 第一次使用这个socket给外部主机发送数据时NAT会给其分配一个公网(PublicIP:PublicPort),以后用这个socket向外面任何主机发送数据都将使用这对(PublicIP:PublicPort)。此外，如果任何外部主机想要发送数据给这个内网主机，只要知道这个(PublicIP:PublicPort)并且内网主机之前用这个socket曾向这个外部主机(IP,Port)发送过数据。只要满足这两个条件，这个外部主机就可以用自己的(IP,Port)发送数据给(PublicIP:PublicPort)，内网的主机就能收到这个数据包。 4、Symmetric NAT: 内网主机建立一个socket(LocalIP,LocalPort),当用这个socket第一次发数据给外部主机1时,NAT为其映射一个(PublicIP-1,Port-1),以后内网主机发送给外部主机1的所有数据都是用这个(PublicIP-1,Port-1)，如果内网主机同时用这个socket给外部主机2发送数据，NAT会为其分配一个(PublicIP-2,Port-2), 以后内网主机发送给外部主机2的所有数据都是用这个(PublicIP-2,Port-2).如果NAT有多于一个公网IP，则PublicIP-1和PublicIP-2可能不同，如果NAT只有一个公网IP,则Port-1和Port-2肯定

NAT和端口映射的区别

对于nat，每一个访问的建立，都会在防火墙上留下记录，比如192.168.1.50的12345端口复用了200.201.30.41的54321端口进行对新浪的访问，则防火墙会有一个对应的表200.201.30.41:54321<——>192.168.1.50:123 45，当数据返回时，仍然会按照这个连接，将数据返回给内网主机192.168.1.50；当连接结束时，会释放200.201.30.41:54321的端口，这时，54321号端口又可以给其他的连接请求使用。这是对于nat的情况。而对于端口映射的情况则不同，例如内网的web服务器的ip地址为172.168.1.10，web 服务需要向外网发布，这时，就需要进行端口映射，在防火墙上建立固定的端口映射表172.168.1.10:80<——>200.201.70.71:80，这个映射是固定的。这样，在外网的用户访问该web服务器的时候，访问的就是外网200.201.70.71这ip地址。访问时使用http://200.201.70.71即可访问到172.168.1.10:80的web服务器（实际上是http://200.201.70.71:80，由于http协议默认

使用80端口，所以可以省略）。这时，200.201.70.71的80端口就被占用了，也就是不能再被其他的内部地址使用，虽然这里的80端口是保留端口，但是原理是一样的。在做端口映射的时候，可以将内部地址端口映射为外部地址相同的端口，也可以映射为不同的端口，如内网有另外一台web服务器172.168.1.20需要向外网发布，但是200.201.70.71的80端口已经被172.168.1.10的80端口占用了，这时，可以使用其他的任何未被占用的端口（非保留端口），如建立以下的映射：172.168.1.20:80<——>200.201.70.71:8080，这时，访问http://200.201.70.71:8080即可访问到172.168.1.20发布的web服务，只是这个时候必须指定访问8080端口，否则会访问到172.168.1.10发布的web服务。而由于8080端口已经被端口映射的服务占用了，所以nat时，是不会使用该端口了（端口映射的优先级较高）。

LINUX用NAT实现IP地址映射

用NAT实现IP地址映射 2008年11月11日星期二 11:54 A.M. 一、概述 1. 什么是NAT 在传统的标准的TCP/IP通信过程中，所有的路由器仅仅是充当一个中间人的角色，也就是通常所说的存储转发，路由器并不会对转发的数据包进行修改，更为确切的说，除了将源MAC地址换成自己的MAC 地址以外，路由器不会对转发的数据包做任何修改。NAT(Network AddressTranslation网络地址翻译)恰恰是出于某种特殊需要而对数据包的源ip地址、目的ip地址、源端口、目的端口进行改写的操作。 2. 为什么要进行NAT 我们来看看再什么情况下我们需要做NAT。假设有一家ISP提供园区Internet接入服务，为了方便管理，该ISP分配给园区用户的IP地址都是伪IP，但是部分用户要求建立自己的WWW 服务器对外发布信息，这时候我们就可以通过NAT来提供这种服务了。我们可以在防火墙的外部网卡上绑定多个合法IP地址，然后通过NAT技术使发给其中某一个IP地址的包转发至内部某一用户的WWW服务器上，然后再将该内部WWW服务器响应包伪装成该合法IP发出的包。再比如使用拨号上网的网吧，因为只有一个合法的IP地址，必须采用某种手段让其他机器也可以上网，通常是采用代理服务器的方式，但是代理服务器，尤其是应用层代理服务器，只能支持有限的协议，如果过了一段时间后又有新的服务出来，则只能等待代理服务器支持该新应用的升级版本。如果采用NAT来解决这个问题，因为只在应用层以下进行处理，不但可以获得很高的访问速度，而且可以无缝的支持任何新的服务或应用。还有一个方面的应用就是重定向，也就是当接收到一个包后，不是转发这个包，而是将其重定向到系统上的某一个应用程序。最常见的应用就是和squid配合使用成为透明代理，在对http流量进行缓存的同时，可以提供对Internet的无缝访问。 3. NAT的类型在linux2.4的NAT-HOWTO中，作者从原理的角度将NAT分成了两种类型，即源NAT(SNAT)和目的NAT(DNAT)，顾名思义，所谓SNAT就是改变转发数据包的源地址，所谓DNAT就是改变转发数据包的目的地址。二、原理在“用iptales实现包过虑型防火墙”一文中我们说过，netfilter是Linux核心中一个通用架构，它提供了一系列的"表"(tables)，每个表由若干"链"(chains)组成，而每条链中可以有一条或数条规则(rule)组成。并且系统缺省的表是"filter"。但是在使用NAT的时候，我们所使用的表不再是"filter"，而是"nat"表，所以我们必须使用"-t nat"选项来显式地指明这一点。因为系统缺省的表是"filter"，所以在使用filter功能时，我们没有必要显式的指明"-t filter"。同filter表一样，nat表也有三条缺省的"链"(chains)，这三条链也是规则的容器，它们分别是：PREROUTING：可以在这里定义进行目的NAT的规则，因为路由器进

NAT技术的实现与应用

一。NAT技术简介随着网络的发展，网络地址转换（NAT，Network Address Translation）在网络建设中正发挥着不可替代的作用。从本质上来说，NAT的出现是为了缓解lP 地址不足的问题；而在实际应用中，NAT还具备一些衍生功能，诸如隐藏并保护网络内部的计算机，以避免来自网络外部的攻击、方便内部网络地址规划，等等。二。NAT技术的基本原理。随着接入Internet的计算机数量的不断猛增，IP地址资源也就显得愈加紧张。在实际应用中，一般用户几乎申请不到整段的C类和B类IP地址。当我们的企业向ISP申请IP地址时，所分配的地址也不过只有几个或十几个IP地址。显然，这样少的IP地址根本无法满足网络用户的需求。为了缓解供给和需求不可调和的矛盾，使用NAT技术便成为了企业和ISP的必然选择。企业使用NAT时，一般认为应当使用RFC1918规定的三段私有地址部署企业内部网络。当企业内部设备试图以私有地址为源，向外部网络（Internet）发送数据包的时候，NAT可以对IP包头进行修改，先前的源IP地址-私有地址被转换成合法的公有IP地址（前提是，该共有IP地址应当是企业已经从ISP申请到的合法公网IP），这样，对于一个局域网来说，无需对内部网络的私有地址分配做大的修改，就可以满足内网设备和外网通信的需求。由于设备的源IP地址被NAT替换成了公网IP地址，设备对于外网用户来说就显得“不透明”，达到了保证设备安全性的目的。在这种情况下，内部私有地址和外部公有地址是一一对应的。甚至，我们只需使用少量公网IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求。三。企业实现NAT的常用方式在企业网络中，NAT的实现方式有三种，即静态转换NAT、动态转换NAT 以及端口多路复用（PAT）。下面的章节里将一一介绍。 1.静态转换静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。私有地址和公有地址的对应关系由管理员手工指定。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问，并使该设备在外部用户看来变得“不透明”。 2.动态转换动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对并不是一一对应的，而是随机的。所有被管理员授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。每个地址的租用时间都有限制。这样，当ISP提供的合法IP地址略少于网络内部的计算机数量时，可以采用动态转换的方式。 3.端口多路复用（Port address Translation，PAT）通过使用端口多路复用，可以达到一个公网地址对应多个私有地址的一对多转换。在这种工作方式下，内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，来自不同内部主机的流量用不同的随机端口进行标示，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用

思科网络技术——利用路由器NAT实现端口地址映射

[思科网络技术]利用路由器NAT实现端口地址映射假设现在企业内部有文件、邮件服务器等等。而企业还希望这些服务器能够被外部网络的用户访问。如企业可能在异地有一个销售办事处，或者有些员工经常需要出差。为了方便他们的工作，就需要允许这些员工来访问企业内部的这些应用服务器。但是现实情况是，大部分企业可能仅仅拥有一个到连个合法的IP地址。而需要让外部用户能够访问企业内部的应用服务器，首要的一个条件就是企业有足够多数量的合法IP地址。笔者这里要给大家介绍的是，如何通过路由器自带NA T功能，来实现一个合法IP地址同时绑定多台应用服务器。一、选择合适的NA T类型 NA T，又叫做网络地址类型转换，其主要有三种类型，分别为静态NAT、动态NAT与端口地址映射。这里需要注意，这三种类型之间有很大的差异。网络管理员在使用这个技术的时候，必须要了解它们之间的差异，然后结合企业的实际情况，选择合适的实现手段。第一种类型是静态网络地址转换。其主要的特点是一对一。也就是说，这种类型的网络地址转换是为了在本地和全球地址之间进行一对一的映射而设计的。这就要求网络中的每一台主机都有用一个真实的合法的IP地址。结合上面这个案例，如果企业内部三台服务器都需要被外部用户访问的话，那么就需要至少三个IP地址。显然这种方式并不能够达到节省IP地址的目的。一般来说，静态NA T主要的目的是为了隐藏企业内部服务器的IP地址，以达到保护服务器的目的。第二种类型是动态NA T。这种类型的网络地址转换是将一个企业内部的IP地址与一个合法的IP地址进行映射。虽然这也是一对一的关系，但是与静态NAT有很大的差别。前者要求企业内部服务器也必须有一个公网IP地址。而动态NAT则没有这个要求，即企业内部的服务器可以采用内部地址。不过此时一个公网IP地址也只能够解决一台内部服务器的访问问题。这与我们上面提到的需求还是有一定的差异。第三种类型是端口地址映射。端口地址映射在动态NAT上又进了一步。简单的说，其工作模式就是多对对一。可以将多个内部IP地址(内网地址)对应到一个公网IP地址。具体的说，

浅谈对NAT技术的理解

浅谈对NAT技术的理解 NAT的原理 NAT技术能够让由私有IP构成的局域网内所有的计算机通过一台具有公网IP和NAT功能的网络设备联入公网(Internet)，也就是说一个局域网就只需要一个或很少几个公网IP就行了，从而达到了节约公网IP地址的目的。内网IP的数据包是根本不可能在公网上传播的，因为公网上的路由器都是屏蔽掉了这些私网IP的，私有IP本来就是人为保留出来专供私有网络通信用的。从另一个角度说，即使私有数据包能够到达公网目标地址，目标地址的响应包也不可能返回真正的源地址，因为源地址是私有IP，目标发送的响应包一种可能是被目标地址所在的拥有相同网络号的内网接收，一种可能就是这种子网不存在，数据包被抛弃。所以内网数据包在进入公网之前，必须被转换成公网IP，这就是NAT的功能，而且NAT技术发展到现在，已不仅局限于翻译IP地址，现在实际转换时，它不仅转换IP地址，还会对TCP/UDP端口进行转换。由于这个功能，NAT 通常都位于网关计算机上，起着一种路由器的作用。下面是NAT转换机制的基本过程(假如局域网192.168.0.0的NAT设备公网IP是218.70.201.185，私有IP是192.168.0.1，现在客户机192.168.0.88要通过NAT设备访问https://www.wendangku.net/doc/4f5234171.html,的网页，https://www.wendangku.net/doc/4f5234171.html,的IP是202.43.216.55)。当客户机192.168.0.88通过IE向https://www.wendangku.net/doc/4f5234171.html,发出请求时，它发出的数据包含有下面的信息：源地址和源端口：192.168.0.88:1234 目标地址和目标端口：202.43.216.55:80 当这个数据包到达NAT设备时，它会检测到这个数据包是要发向公网的，所以它会对源IP地址和端口进行修改(转换)，并在映射表中新建IP和端口的映射条目，然后再把修改的数据包转发出去，下面就是修改后数据包的相关信息：源：218.70.201.185:8999 目标：202.43.216.55:80 (无需变) 当https://www.wendangku.net/doc/4f5234171.html,响应时，它会把数据包发给NAT设备，它的数据包含有下面的信息：源：202.43.216.55:80 目：218.70.201.185:8999 当NAT设备收到响应时，它会检查它的IP地址/端口映射表，并且会找到218.70.201.185:8999与192.168.0.88:1234的映射条目，于是它又修改数据包，然后把数据包转发给192.168.0.88。相关数据包信息如下：源：202.43.216.55:80 目：192.168.0.88:1234 从上面可以看出，最开始发起连接的内网计算机(这里是192.168.0.88)对网关进行NAT的转换工作是一无所知的，它根本就不知道网关对它的数据包“做了手脚”，上面所讲的可以说是最理想的转换，这种转换对IP地址和端口信息只存在于IP首部和TCP/UDP首部的数据包是非常适合的，但恰恰这个世界是复杂的，网络世界也不例外，每种技术都会有它的缺陷，下面就来看看NAT所面临的网络连接问题。

ROS NAT 端口映射全图解教程

ROS NAT 端口映射全攻略发表时间： 2010-4-14 来源：mikrotik中国作者：EDCwifi-Mikrotik中国总代理如果要将内网的服务器移动到外网中去，并让其它公网IP 来访问该服务器，这时就要用NAT 端口映射。要配置的参数如下：外网IP：211.191.123.89/28，网关：211.191.123.81；内网WEB 服务器地址：192.168.100.8/24，服务器运行在80 端口。在配置NAT 端口映射之前先要配置好RouterOS 的基本设置，包括外网IP、网关、DNS。操作路径：/ip firewell nat。 Chain：链表，选择目标地址映射； Dst-address：目标地址，这里的目标地址是路由器本身的公网IP，它将作为其它公网IP 访问的目标地址； Protocol：协议选择TCP； Dst-port；目标端口，这里假设为5000，（口号范围为0-65535，常用端口不要占用）选择Action 设置以下参数： Action：选择dst-nat； To-address：填内部的服务器地址； To-ports：内部服务器的动行端口。

注：当内网也从外网IP 地址访问内网的WEB 服务器时，做端口映射与内网地址转换的设置有关。NAT 设置成chain=srcnant action=mesqurade,那么内可以通过外网IP 访问到服务器的WEB 网页。如果NAT 设置为：chain=srcnat out-interface=wan(外网卡) action=mesqurade, 则还要做以下设置： chian=srcnat src-address=192.168.100.0/24 action=src-nat to-address=211.191.123.89。图示如下：

NAT技术实现原理和应用

科技天地 48 INTELLIGENCE ························NAT 技术实现原理和应用天津工业大学计算机与软件学院网络工程 06级李亚珩摘要：为解决IPV4地址空间不足的问题，出现了网络地址转换(NAT)标准，就是将某些IP 地址留出来供专用网络重复使用。它在方便网络代理者进行客户端配置的同时，也为用户私自共享上网提供了方便。本文将全面介绍NAT 技术实验原理和应用。关键词：NAT 技术 IPV4地址公用地址专用地址一、NAT 的定义和产生的背景 NAT（Network Address Translation）网络地址转换是一个IETF 标准，用于专用地址的内部网和使用公用地址的Internet 之间。内部网的传出数据包通过NAT 将其专用地址转换为公用地址。而来自Internet 的传入数据包则由NAT 将其公用地址转换为专用地址。使用NAT 不仅能节约公用IP 地址，并用大大降低了组织的Internet 接入成本。NAT 技术是近年来随着网络及网络共享的发展而发展起来的一门新技术，由于IPV4 地址空间不足，无网络访问权限，因此采用NAT 技术解决了地址不足问题，参见下图： 1、专用地址：专用地址是保留给组织内部私有网络使用的IP 地址，不用用于Internet 通信，可以被不同组织重复使用。 2、公用地址：公用地址用于Internet，可以在Internet 中随意访问。因此，要在Internet 上通信，必须使用由LANA（Internet Assigned Numbers, Internet 号码分配机构）分配的公用地址。二、NAT 技术的分类静态NAT，动态NAT，端口NAT（PAT）1、静态NAT 内部网络中的每个主机都被永久的映射成外部网络中的某个合法地址[1]。 2、动态NAT 在外部网络中定义了合法地址后，采用动态分配的方法映射到内部网络。动态地址NAT 仅是转换IP 地址，它为内部网络IP 地址分配一个临时外部IP 地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。 3、端口NAT（PAT） PAT 普遍应用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP 地址后面。上述三种NAT 技术的类型都有各自的独特之处，在实际就用中也有不同的用处，三种类型NAT 技术的实现原理以及其不同点参照以下表1：静态NAT 动态NAT 网络地址端口转换NAPT 实现原理将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址转换IP 地址，为每一个内部的IP 地址分配一个子临时的外部IP 地址将中小型的网络隐藏在一个合法的IP 地址后面优点设置简单且容易实现可用于拨号和远程联接可将内部连接映射到外部网络中的一个单独的IP 地址上适用范围内部网远程联接小型办公室表1 三种NAT 技术的比较三、NAT 的工作过程 1、NAT 的客户端需要与Internet 通信，于是将数据包发给NAT 服务器； 2、NAT 服务器将数据包中的源端口号和专用IP 地址转换为其自己的端口号和公用IP 地址，然后将数据包发给Internet 上的主机，同时将源端口号和专用IP 地址与其自己的端口号和公用IP 地址的映射关系记录下来，以便后续过程使用； 3、Internet 上的主机将因应发送给NAT 服务器的公用IP 地址； 4、NAT 服务器将所收到的数据包的目的端口号和公用IP 地址根据映射关系转换为客户机的端口号和专用IP 地址并转发给客户机。四、结束语 NAT 技术一开始是作为解决Internet 地址空间不足而提出的一种短期暂时的解决方案， NAT 技术可以给我们带来各种好处。随着NAT 技术的深入研究，它的应用领域也在逐步扩展，但NAT 技术对一些管理和安全机制的潜在威胁仍在。或许随着IPV6技术发展的相当成熟时，以致于将把现有的IPV4网络代替时，NAT 技术也可能就会消失，也有可能会继续延续下去。参考文献： [1] 刘丽波：《浅析网络地址转换技术》，《长沙通信职业技术学院学报》，2007年第2期。 [2] 黄明泰：《用sFlow 技术管好网络》，《中国计算机用户》，2004年第46期。 [3] 傅坚、胡正名、杨义先：《IPSec 协议与网络地址转换的融合》，《计算机应用研究》，2003年第2期。