资料下载

动态NAT-第2部分

由管理员撰写。发表于 网络地址转换-NAT

4.3846153846154 1 1 1 1 1 评分4.38(13投票)
压住他

既然您已经了解了动态网络地址转换的基本概念,我们将仔细研究数据包经过启用了动态NAT的设备时,这些设备可以是路由器,防火墙设备,甚至是运行特殊软件的PC!

 

NAT翻译如何进行

适用于静态NAT的大多数规则(我们已经介绍过)也适用于动态NAT,并且两者之间的更改很少,这使得它很容易理解和消化:)

无论我们使用哪种设备,例如防火墙设备,Linux网关,路由器等,实际过程都保持不变。

因为我们不想通过使用其他示例感到困惑,所以我们将坚持使用Dynasoft及其承包商-Datapro之间的上一页网络,但是现在我们将重点放在Datapro的内部网络上,以了解其两个之间的路由器内部网络(192.168.50.0和192.168.100.0)将处理所需的动态NAT,以便新网络能够访问Dynasoft的开发网络:

nat-dynamic-part2-1

即使该图说明了所有内容,我们还是要指出有关动态NAT路由器的一些重要事项。务必了解路由器池中的IP地址是来自IP地址的保留地址,这一点非常重要。 192.168.50.0 网络-这意味着除路由器本身外,该网络上的任何设备或主机都不允许使用它们。

创建的动态映射将仅针对该特定会话就位,这意味着一旦新网络中的工作站完成了Dynasoft网络上的工作,或者在给定时间段内未通过动态NAT路由器发送任何数据包, ,则路由器将清除动态映射,并使IP地址可供需要它的下一个主机或工作站使用。

每种传输协议(TCP / UDP)和NAT设备的超时时间都不同。修改这些超时的能力完全取决于所使用的NAT设备。与往常一样,RFC为这些值提供了一些准则,但并非所有供应商都遵循它们:)在NAT高级部分中,您将找到有关此主题的更多有趣信息。

因此,在解决了所有这些问题之后,现在是时候仔细查看数据包了,它们经过路由器到达任一网络时:

nat-dynamic-part2-2

 

确定此数据包必须经过路由器后,从可用池中选择一个IP地址,该地址将用于映射IP地址 192.168.100.5。这些条目然后存储在路由器的RAM(NAT表)中。如您所见,源,目标端口和目标IP永远不会在传出数据包上进行修改。

然后,路由器会将数据包发送到 192.168.50.0 网络并在几毫秒后收到网络上我们工作站的答复 192.168.100.0 正在等待:

nat-dynamic-part2-3

 

路由器在其NAT映射表中找到一个条目(别忘了该表存储在路由器的RAM中)并替换目标IP 192.168.50.200 与目标IP 192.168.100.5 然后将数据包转发到新网络。源,目标端口和源IP不会被修改。

如果您想知道为什么端口与原始传出数据包相比发生了变化,这不是因为NAT,而是因为IP通信的工作方式恰好不在此页面范围之内。

我应该引起您注意的一个重要的小细节是数据包回复如何成功到达路由器接口的,该接口位于现有网络上。您应该知道,对于现有的Datapro网络,路由器就像是具有多个IP地址的主机。

我解释了路由器如何将现有网络上的IP地址映射到新网络,但是如果现有网络上的某人试图发送ARP请求, 192.168.50.200,则路由器将立即使用其自己的MAC地址进行应答。这样做是为了确保用于新网络上工作站的所有流量都可以在那里找到。无论我们使用哪种NAT模式,都适用相同的原理。

综上所述,在试图使事情变得简单的同时,由于有时无论您对图表进行多少分析,仍然会使您感到困惑,下一张图表总结了数据包在通过动态NAT设备时如何进行修改,在我们的示例中,是路由器:

nat-dynamic-part2-4

 

很容易看到源IP地址(192.168.100.5)会随着数据包经过动态NAT路由器到达Datapro的现有网络然后移动到Dynasoft的网络而改变,而来自Dynasoft的网络的答复将进入Datapro的现有网络并经过Dynamic NAT路由器并将其目标IP地址修改为 192.168.100.5,从而达到预期的工作站。

信不信由你,我们已经到了本页面的结尾,下一页讨论了NAT Overload,在Linux / Unix世界中,NAT Overload也被称为网络地址端口转换,端口地址转换或IP伪装。

 

上一个- 动态NAT-第1部分                                                                                                          Next - NAT重载-第1部分

 or                                   

返回网络地址转换部分

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置