nat服务器实质上就是做地址转换的服务器。鉴别他的方法很简单。基本上在企业的话或者家庭里使用路由器上互联网的用户话,一定是通过nat方式上外网。因为私有ip地址是不能和公网ip地址互通的。
什么情况下不需要做nat,一般拥有公网ip的邮件服务器或者web服务器前端,他们都是直接可以访问,不需要做地址转换。
随着将来ipv6出来,nat也不会消失。毕竟管理公网ip话语权在美国。他给中国公网ip多少个,也是美国人说了算。虽然ipv6可以比地球上的沙子还要多,但是随着5g网络到来,万物互联,公网ip也不是肆意给大家乱用的,甚至管理更严格,因为犯罪的方式越来越多,不管理公网ip,让整个中国13亿人口肆意自由获取,以后有人通过互联网从事犯罪,根本无法定位。所以nat方式还会存在。因为公网ip,不管国内还是美国主导都会严格管控
当内部网络客户端发送要连接internet的请求时,nat协议驱动程序会截取该请求,并将其转发到目标internet服务器。所有请求看上去都像是来自nat服务器的外部ip地址。这样就隐藏您的内部ip地址配置。
配置“路由和远程访问”nat服务器:
在管理工具菜单中,选中“路由和远程访问”。
在“路由和远程访问”mmc中,展开您的服务器名称(其中服务器名称是您要配置服务器的名称,然后展开左窗格中的ip路由。
选中常规,然后选择新建路由协议。
单击nat/基本防火墙复选框,将其选中,然后点确定。
右键单击左窗格中的nat/基本防火墙,然后单击新建接口。
单击表示内部网络接口的接口,然后单击确定。
在“网络地址转换”属性中,单击“专用接口连接到专用网络”,然后单击确定。
右键单击左窗格中的nat/基本防火墙,然后点新建接口。
单击表示外部网络接口的接口,然后点确定。
在“网络地址转换”属性中,单击“公用接口连接到internet”。
单击“在此接口上启用nat”复选框,将其选中,点确定。
nat服务器可以自动为内部网络客户端分配ip地址。如果您没有已给内部网络上的客户端分配了地址信息的dhcp服务器,则可能会需要使用此功能。
如何配置路由和远程访问nat服务器以分配ip地址和执行代理dns查询nat服务器还可以代表nat客户端执行域名系统(dns)查询。“路由和远程访问”nat服务器对包括在客户端请求中的internet主机名进行解析,然后将该ip地址转发给该客户端。
要配置“路由和远程访问”nat服务器来分配ip地址并且代表内部网络客户端执行代理dns查询,请按以下步骤 *** 作:
右键单击左窗格中的nat/基本防火墙,然后单击属性。
单击地址分配选项卡,然后单击“使用dhcp自动分配ip地址”复选框,将其选中。(一)相关概念
为了更好地认识NAT技术,我们先了解一下它所涉及的几个概念。
1.内部局部地址 在内部网上分配到一个主机的IP地址。这个地址可能不是一个有网络信息中心(NIC)或服务提供商所分配的合法IP地址。
2.内部全局地址 一个合法的IP地址(由NIC或服务供应商分配),对应到外部世界的一个或多个本地IP地址。
3.外部局部地址 出现在网络内的一个外部主机的IP地址,不一定是合法地址,它可以在内部网上从可路由的地址空间进行分配。
4.外部全局地址 由主机拥有者在外部网上分配给主机的IP地址,该地址可以从全局路由地址或网络空间进行分配。图1展示了NAT相关术语的图解。
对于NAT技术,提供4种翻译地址的方式,如下所示。
(二)4种翻译方式
1.静态翻译 是在内部局部地址和内部全局地址之间建立一对一的映射。
2.动态翻译 是在一个内部局部地址和外部地址池之间建立一种映射。
3.端口地址翻译 超载内部全局地址通过允许路由器为多个局部地址分配一个全局地址,也就是将多个局部地址映射为一个全局地址的某一端口,因此也被称为端口地址翻译(PAT)。
4.重叠地址翻译 翻译重叠地址是当一个内部网中使用的内部局部地址与另外一个内部网中的地址相同,通过翻译,使两个网络连接后的通信保持正常。
在实际使用中,通常需要以上几种翻译方式配合使用。
二、让典型应用“说话”
现在,我们以常见Cisco路由器为例,阐述典型应用中NAT技术的实现。
1.配置共享IP地址
应用需求:当您需要允许内部用户访问Internet,但又没有足够的合法IP地址时,可以使用配置共享IP地址连接Internet的NAT转换方式。
图2是配置内部网络1010100/24通过重载一个地址17216101/24访问外部网络的全过程。如果有多个外部地址,可以利用动态翻译进行转换,这里就不多做说明了。清单1展示了具体配置方法。
NAT路由器配置清单1
interface ethernet 0
ip address 101010254 2552552550
ip nat inside
!-- 定义内部转换接口
interface serial 0
ip address 172161064 2552552550
ip nat outside
!-- 定义外部转换接口
ip nat pool ovrld 17216101 17216101 prefix 24
!-- 定义名为ovrld的NAT地址池和地址池重的地址17216101
ip nat inside source list 1 pool ovrld overload
!--指出被 access-list 1 允许的源地址会转换成NAT地址池ovrld中的地址并且转换会被内部多个机器重载成一个相同的IP地址。
access-list 1 permit 1010100 00031
!-- Access-list 1 允许地址1010100到101010255进行转换
NAT路由器配置清单2
interface ethernet 0
ip address 101010254 2552552550
ip nat inside
!-- 定义内部转换接口
interface serial 0
ip address 1721620254 2552552550
ip nat outside
!-- 定义外部转换接口
ip nat inside source static 1010101 17216201
!-- 指定将地址1010101静态转换为17216201
适用范围:这种情况适合于通信都是由内部用户向Internet发起的应用。
例如小型企业多个用户通过共享xDSL连接Internet。另外,也可以用软件进行NAT转换,Windows 2000的 *** 作系统就有这样的功能。至于内部用户数量较多的情况,建议使用代理服务器。
2.配置在Internet上发布的服务器
应用需求:当您需要将内部设备发布到Internet上时,可以使用配置在Internet上发布的服务器的NAT转换方式。
图3是将内部网络的邮件服务器(IP地址为1010101/24)发布到外部网络的全过程,使用静态翻译可以实现这种转换。清单2展示了具体配置方法。
适用范围:这种情况适合于访问是从外部网络向内部设备发起的应用。
3.配置端口映射
应用需求:假设您在Internet上发布一台在内部网络的Web服务器,服务器配置成监听8080端口,您需要把外部网络对Web服务器80端口的访问请求重定向。
图4为配置端口映射示意图,清单3展示了具体配置方法。
4.配置TCP传输
应用需求:TCP传输装载共享是与地址匮乏无关的问题,它将数个设备的地址映射成一个虚拟设备的地址,从而实现设备间的负载均衡。
图5是将地址从1010102到10101015的真实设备映射成虚拟1010101地址的全过程。清单4展示了具体配置方法。
5.真实应用案例
应用需求:笔者所在的单位内部的局域网已建成,并稳定运行着各种应用系统。随着业务的发展,需要实施一个数据中心在外单位的新应用。出于安全方面的考虑,不能够对现有网络结构进行大的调整和改动;另外,由于资金方面的原因,需要尽可能地节省设备等方面的投入。
应用现状:我单位内部网结构如下:具有3个VLAN。VLAN 1(即1011X),使用单位内部应用系统,与数据中心没有数据交换;VLAN 2(即1022X),使用数据中心提供的应用系统,约有100台机器;VLAN 3(即1033X),只用2台机器使用数据中心提供的应用,分别是10331和10332。
数据中心提供一台Cisco 3640,Serial口与数据中心通过HDSL连接,分配的地址分别是1921682521和255255255252,FastEthernet口与单位内部局域网连接,分配的地址分别是19216810和2552552550。
实施方案:由于不打算更改内部网的结构,所以将内部网地址作为内部局部地址,数据中心分配的地址作为内部全局地址,实施NAT应用。另外NAT需要两个端口,一个做为inside,另一个做为outside,因此考虑使用FastEthernet口做inside,Serial口做outside。图6 为本单位NAT技术的应用图。
利用以上设置,我们成功实现了内部地址的翻译转换,并实现了在不改变现有网络结构的情况下与数据中心连网的目标。
三、有比较有选择
1.与代理服务器的比较
用户经常把NAT和代理服务器相混淆。NAT设备对源机器和目标机器都是透明的,地址翻译只在网络边界进行。代理服务器不是透明的,源机器知道它需要通过代理服务器发出请求,而且需要在源机器上做出相关的配置,目标机器则以为代理服务器就是发出请求的源机器,并将数据直接发送到代理服务器,由代理服务器将数据转发到源机器上。
NAT路由器配置清单3
interface ethernet 0
ip address 101010254 2552552550
ip nat inside
!-- 定义内部转换接口
interface serial 0
ip address 1721630254 2552552550
ip nat outside
!-- 定义外部转换接口
ip nat inside source static tcp 1010108 8080 17216308 80
!-- 指定将地址1010108:8080静态转换为17216308:80
NAT路由器配置清单4
interface ethernet 0
ip address 10101017 2552552550ip nat inside
!-- 定义内部转换接口
interface serial 0
ip address 101010254 2552552550ip nat outside
!-- 定义外部转换接口
ip nat pool real-hosts 1010102 10101015 prefix-length 28 type rotaryip nat inside destination list 1 pool real-hosts
!--定义地址池real-hosts地址范围是从1010102到10101015
!--指定将地址将地址池real-hosts转换为1010101
access-list 1 permit 1010101
代理服务器工作在OSI模型的第4层传输层,NAT则是工作在第3层网络层,由于高层的协议比较复杂,通常来说,代理服务器比NAT要慢一些。
但是NAT比较占用路由器的CPU资源,加上NAT隐藏了IP地址,跟踪起来比较困难,不利于管理员对内部用户对外部访问的跟踪管理和审计工作。所有NAT技术只适用于内部用户数量较少的应用,如果访问外部网络的用户数量大,而且管理员对内部用户有访问策略设置和访问情况跟踪的应用,还是使用代理服务器较好一些。
NAT路由器配置清单5
interface fastethernet 1/0
ip nat inside
!-- 定义内部转换接口
interface serial 0/0
ip address 1921682521 255255255252
ip address 1921681254 2552552550 secondary
ip nat outside
!-- 为节省端口,将数据中心提供的地址全部绑在Serial口
ip nat pool ToCenter 19216811 1921681253 prefix-length 24
ip nat inside source list 1 pool ToCenter
!-- 建立动态源地址翻译,指定在前一步定义的访问列表
access-list 1 permit 10331
access-list 1 permit 10332
access-list 1 permit 10220 000255
!-- 定义一个标准的访问列表,对允许访问数据中心的地址进行翻译
2.与防火墙比较
防火墙是一个或一组安全系统,它在网络之间执行访问控制策略。防火墙对流经它的网络通信数据进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口,禁止特定端口的流出通信,封锁特洛伊木马等。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
一般的防火墙都具有NAT功能,或者能和NAT配合使用。应用到防火墙技术中的NAT技术可以把个别IP地址隐藏起来不被外界发现,使外界无法直接访问内部网络设备。作为网络安全的一个重要手段,是选用单纯的NAT技术还是带NAT技术的防火墙,要从几个方面考虑:
一是您的企业和运营机构如何运用访问控制策略,是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务,还是为了访问提供一种计量和审计的方法;
二是您对企业网需要何种程度的监视、冗余度以及控制水平;
三则是财务上的考虑,一个高端完整的防火墙系统是十分昂贵的。是否采用防火墙需要在易用性、安全性和预算之间做出平衡的决策。
四、安全中的不安全
我们可以从以下几个方面窥视NAT技术的安全性问题。
1.NAT只对地址进行转换而不进行其他 *** 作,因此,当您建立了与外部网络的连接时,NAT不会阻止任何从外部返回的恶意破坏信息。
2.虽然NAT隐藏了端到端的IP地址,但它并不隐藏主机信息。例如您通过NAT设备访问Windows Streaming Media服务器,您会发现服务器记录的不仅是您的主机名,还有您的内部IP地址和 *** 作系统。
3.Internet上的恶意攻击通常针对机器的“熟知端口”,如>简单的说法
桥接 通过使用物理机网卡 具有单独ip
NAT 把物理机为路由器进行上网
host-only 只能与物理机相连
下面是详细的解说
VMWare提供了三种工作模式,它们是bridged(bridged模式)、NAT(网络地址转换模式)和host-only(主机模式)。要想在网络管理和维护中合理应用它们,你就应该先了解一下这三种工作模式。
1bridged(桥接模
式)
在bridged模式下,VMWare虚拟出来的 *** 作系统就像是局域网中的一台独立的主机,它可以访问网内任何一台机器。在bridged模式下,你需要
手工为虚拟系统配置IP地址、子网掩码,而且还要和宿主机器处于同一网段,这样虚拟系统才能和宿主机器进行通信。同时,由于这个虚拟系统是局域网中的一个
独立的主机系统,那么就可以手工配置它的TCP/IP配置信息,以实现通过局域网的网关或路由器访问互联网。
使用bridged模式的虚拟系统和宿主机器的关系,就像连接在同一个Hub上的两台电脑。想让它们相互通讯,你就需要为虚拟系统配置IP地址和子网掩
码,否则就无法通信。
如果你想利用VMWare在局域网内新建一个虚拟服务器,为局域网用户提供网络服务,就应该选择bridged模式。
这种方式最简单,直接将虚拟网卡桥接到
一个物理网卡上面,和linux下一个网卡 绑定两个不同地址类似,实际上是将网卡设置为混杂模式,从而达到侦听多个IP的能力。
在此种模式下,虚拟机内部的网卡(例如linux下的eth0)直接连到了物理网卡所在的网络上,可以想象为虚拟机和host机处于对等的地位,在网络关
系上是平等的,没有谁在谁后面的问题。
使用这种方式很简单,前提是你可以得到1个以上的地址。对于想进行种种网络实验的朋友 不太适合,因为你无法对虚拟机的网络进行控制,它直接出去了。
2NAT(网络地址转换模式)
使用NAT模式,就是让虚拟系统借助NAT(网络地址转换)功能,通过宿主机器所在的网络来访问公网。也就是说,使用NAT模式可以实现在虚拟系统里访问
互联网。NAT模式下的虚拟系统的TCP/IP配置信息是由VMnet8(NAT)虚拟网络的DHCP服务器提供的,无法进行手工修改,因此虚拟系统也就
无法和本局域网中的其他真实主机进行通讯。采用NAT模式最大的优势是虚拟系统接入互联网非常简单,你不需要进行任何其他的配置,只需要宿主机器能访问互
联网即可。
这种方式也可以实现Host OS与Guest OS的双向访问。但网络内其他机器不能访问Guest OS,Guest OS可通过Host
OS用NAT协议访问网络内其他机器。NAT方式的IP地址配置方法是由VMware的虚拟DHCP服务器中分配一个IP
,在这个IP地址中已经设置好路由,就是指向1921681381的。
如果你想利用VMWare安装一个新的虚拟系统,在虚拟系统中不用进行任何手工配置就能直接访问互联网,建议你采用NAT模式。
这种方式下host内部出现了一个虚拟的网卡vmnet8(默认情况下),如果你有过
做nat服务器的经验,这里的vmnet8就相当于连接到内网的网卡,而虚拟机本身则相当于运
行在内网上的机器,虚拟机内的网卡(eth0)则独立于vmnet8。
你会发现在这种方式下,vmware自带的dhcp会默认地加载到vmnet8界面上,这样虚拟机就可以使用dhcp服务。更为重要的是,vmware自
带了nat服务,提供了从vmnet8到外网的地址转
换,所以这种情况是一个实实在在的nat服务器在运行,只不过是供虚拟机用的。很显然,如果你只有一个外网地址,此种方式很合适。
host-only(主机模式)
在某些特殊的网络调试环境中,要求将真实环境和虚拟环境隔离开,这时你就可采用host-only模式。在host-only模式中,所有的虚拟系统是可
以相互通信的,但虚拟系统和真实的网络是被隔离开的。
提示:在host-only模式下,虚拟系统和宿主机器系统是可以相互通信的,相当于这两台机器通过双绞线互连。
在host-only模式下,虚拟系统的TCP/IP配置信息(如IP地址、网关地址、DNS服务器等),都是由VMnet1(host-only)虚拟
网络的DHCP服务器来动态分配的。
如果你想利用VMWare创建一个与网内其他机器相隔离的虚拟系统,进行某些特殊的网络调试工作,可以选择host-only模式。
这应该是最为灵活的方式,有兴趣的话可以进行各种网络实验。和nat唯
一的不同的是,此 种方式下,没有地址转换服务,因此,模认情况下,虚拟机只能到主机访问,这也是hostonly的名字的意义。
默认情况下,也会有一个dhcp服务加载到vmnet1上。这样连接到vmnet1上的虚拟机仍然可以设置成dhcp,方便系统的配置。
是不是这种方式就没有办法连接到外网呢,当然不是,事实上,这种方式更为灵活,你可以使用自己的方式,从而达到最理想的配置,例如:
a。使用自己dhcp服务:首先停掉vmware自带的dhcp服务,使dhcp服务更为统一。
b。使用自己的nat,方便加入防火墙。windows host可以做nat的方法很多,简单的如windows
xp的internet共享,复杂的如windows server里的nat服务。
c 使用自己的防火墙。因为你可以完全控制vmnet1,你可以加入(或试验)防火墙在vmnet1和外网的网卡间。
从以上可以看出,hostonly这种模式和普通的nat
server带整个内网上网的情形类似,因此你可以方便的进行与之有关的实验,比如防火强的设置等。
提VMware Host only工作方式
在这种工作方式下,Guest由DHCP服务器分配IP地址。并且可以在192168222X之间保持通信。但是在Guest机器上并不能Ping
通Host的172161210这个地址。因为通信被限制在主机(所以叫做Host
Only)。这种方式看起来是很像NAT方式,但是在这种方式下Guest只能和Host之间通信,而不能同在局域网的计算机进行通信,除非在HOST上
做转发或路由。
示:以上所提到的NAT模式下的VMnet8虚拟网络,host-only模式下的VMnet1虚拟网络,以及bridged模式下的VMnet0虚拟网
络,都是由VMWare虚拟机自动配置而生成的,不需要用户自行设置。VMnet8和Mnet1提供DHCP服务,VMnet0虚拟网络则不提供。#P#
VMware三种网络连接上网设置
1bridge :
默认使用vmnet0
将虚拟机的ip设置与主机同网段未使用ip,其余与主机相同:
例如主机ip是192168246,设置虚拟机ip为1921682254。netmask,broadcast,gateway,dns都
与主机
相同即可实现虚拟机<--->主机 虚拟机<---->互联网 通信。
2nat :
默认使用vmnet8
DHCP:默认的状态下是DHCP。
只要物理机能连通网络,虚拟机也就可以连通的
手动设置:
(这一点很重要,你要以在物理机的网络属性下打开vmnet8的属性,查看其默认的地址。但不要更改哦)ip设置与vmnet8同网段,gateway设
置成vmnet8的gateway(xxxxxxxxx2)中可以查到vmnet8的gateway,通常是edit->virtual
network setting->Host Virtual Network Mapping
,找到VMNET8,单击左箭头的图标,选取NAT,你就可以看到Gateway
netmask,broadcast设置与vmnet8相同,dns设置与主机相同。(DNS省也可,他会自动让网关转换解析)例如 vmnet8
ip:1921681871 gw :19216818712 这里是系统的默认,不可以更改的哦。
虚拟机设置: ip :192168187254 gw: 19216818712 dns:(空)或者:20210222468
(实际上,大家想想,这样的设置实际上和DHCP分配是一样的,没有什么特别,也显得没有什么意义)
3host-only :
默认使用vmnet1
DHCP:默认下是DHCP
组成与独立的与物理网络相隔离的虚拟网络
但有一点是可以和宿主机器通信。
当然你可以手动指定IP,但网头一要选择VMNET1的IP哦
详解:
host-only这种模式下是独立主机的模式,意思是不可以和外界通信的。但是我们可以这样理解,这种模式使用的是vmnet1,也就是一台虚拟的交换
机。
不能上网的原因分析:
虚拟机本身是根据自身的DHCP分配的IP,本身和物理机不是一个段内的。大家要问了,如果手动分配与物理机机段内的IP与相同的DNS解析不就可以了
吗??但是告诉大家这样也是不可以的。没有桥接与NAT这些共享与转换IP的模式,也是连不通的(这只是我的个人理解。)难道就不能上网了吗?看看就知道了。
上网:
1、在物理主机的本地连接设置对 vmnet1的共享(一定要是vmnet1哦,为什么不用我说了吧^_^)这样vmnet1连接的IP也就变成了19216801,这和我们平时物理机的共享连接是一样
2、手动设置与物理机相同段内的IP,与相同的DNS解析(或者是物理主机的IP),网关设为
19216801
例:HOST(VMNET1):19216801 NETMASK 2552552550
GUEST: 19216802 NETMASK 2552552550 DNS 19216801
说白了,我们利用的也只是把虚拟机当作物理机来进行的共享的网络设置,在这里问一下,那么如果用代理呢,想想吧,不要什么都问我哦。我也是在学。
在这里我们主要是理解下下虚拟机的连接与主机连接的一个默契。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)