随着Internet的飞速.发展,网上丰富的资源产生着巨大的吸引.力。接入Internet 健康
问Internet成为当今信息.业最为迫切的需.求。 杀毒
但这受到IP地址的许多限制。首先,许.多局域网在未.联入Internet之前,就 投资
已经运行.许多年了,局域网上有了许多现成.的资源和应用程序,但它的IP地址分 域名
配不符合.Internet的国际标准,因而需要.重新分配局域网的IP地址,这无疑是劳 婚庆
神费时的工作;其二,随着Inter.net的膨胀.式发展,其可用的IP地址越来越少, 美容
要想在ISP处申请一个新的IP地址已不是很容易的.事了。.这不仅仅是费用的问题, 域名
而是IP地址的现行标准IPv4决.定的。当然,随着IPv6的出台,这个问题应当.能够 .
得.到解决。但从IPv4到IPv6的.升级不是一两天就能完成的。 投资
NAT.(网络地址翻译)能解决不少令人头疼的问题。它解决问题.的办法是:在 服务器
内部网络中使用内部地址,通过NAT把内部地址翻.译成合法.的IP地址,在Interne 鲜花
t上.使用。其具体的做法是把IP.包内的地址域用合法的IP地址来替换。 美容
. NA.T功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。 电影
N.AT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。每.个包 --------------彩票
在NAT设备中都被翻译成正确的IP地址发往下一级.,这意.味着给处理器带来了一定 域名
的负担。但这对于一般的网络来说是微不足道的,.除非是有许.多主机的大型网络 女人
需要注意的是,NAT并不是一种有安全保证的方案,它.不能提供类似防火墙、 .外贸
包过滤、隧道等技术的安全性,.仅仅在包的最外层改.变IP地址。这使得黑客可以 建材
很容易地.窃取网络信息,危及网络安全。 健康
标. 题: NAT———网络地址翻译(2) 健康
NAT有三种类型:静态NAT(static.NAT)、NAT池(pooledNAT.)和端口NAT( 外汇
PAT)。其中静态NAT设置起来最为简单,内部网络.中的每.个主机都被永久映射成 杀毒
外部网络中的某个合法的地址。而NAT池则是在外部网络中定义..了一系列的合法地 (广告)
址.,采用动态分配的方法映射到内部网络.。PAT则是把内部地址映射到外部网络的 鲜花
一个IP地址的不同端口.上。根据不同的需要,各种NAT方案都是有利有弊。 . .
■使用NAT池
使用.NAT池,可以从未注册的地址空间中提供被外部访问的.服务,也可以从内 汽车
部网络访问外部网络,而不需要重新配置内部网络中的每台机器的IP.地址。.例如 .
,建.立在N.T+IIS服务器上的内部试验子网192.168.0.0,其网络地址属于B类 电影
保留地址。作为企业网的一个子网,其IP地址不.分.配给企业网上的设备而仅仅局 <性病>
限在试验子网的设备上.。为了使企业网能访问到这个内部网,在网络上增加一条. .
静态路径,使信息能.回传给Cisco4700路由器。其中的路由器可以把内部网和.企业 --- 印刷
网连.接起来,使之能相互访问。在内部网中不要使用RIP协议,因.为使用RIP后, --- 印刷
内部网络.相对外部来说变得不可见了。 教育
.这样,本地信息可以相互访问了,但由于.192.168.0.0属于保留地址,故 [成人用品]
不能直接访问Intern.et。所以在路由器中设.置一个NAT池,用来翻译来自内部网络 投资
的IP包,把它的IP地址映射成地址池(p.oole.daddresses)中的合法IP地址。那么 <性病>
,内部网可以访问Interne.t上的任何服务器,Interne.t上的任何主机也能通过TC 女人
P或UDP访问到内部网。
采用NAT池意味着可以在.内部网中定义很多的内部用户,通过动态分配的办.法 .
,共享很少的几个外部IP地址。而静态NAT.则只能形成一一对.应的固定映射方式。 杀毒
该引起注意的是,NAT池中动态分配的外部IP地址全部被占用后,后续的N.AT翻.译 健康
申请将会失败。庆幸的是,许.多有NAT功能的路由器有超时配置.功能。例如在上述 .
的Cisco4700中配置成开始15分钟后删除当前的NA.T进程,为后续的NAT申请预留.出 .
外.部IP地址。通.过试验表明,一般的外部连接不会很长,所以短的时间阈值也可 电脑
以接.受。当然用户可以自行.调节时间阈值,以满足各自的需求。 .
N.AT池提供很大灵活性的同时,也影响到网络原有的一.些管理功能。例如,S 汽车
N?MP管理站利用IP地址来跟踪设备.的运行情况。但使用.NAT之后,意味着那些被 <性病>
翻译.的地址对应的内部地址是变化的,今天可能.对应一台工作站,明天就可能对 美容
应一台服务器。这给SNM.P管理带来了麻.烦。一个可行的解决方案就是把划分给NA 鲜花
T池的那部分.地址在SNMP管理平台上标记出来,对于这些.不响应管理信号的地址不 --------------彩票
予报警,如.同它们被关掉了一样。 .
■使用PAT
PAT在远程访问产品中得到了大量的应用,特别是在远程拨.号用户使用的.设备 (广告)
中。PAT可以把内部的TCP/IP映射.到外.部一个注册IP地址的多个端口上。PAT可以 .
支持同时连接64500个..TCP/IP、UDP/IP,但实际可以支持的工作站个数会少一些 .
。因为许多I.nternet.应用如HTTP,实际上由许多小的连接组成。 .
在Int.ernet中使用PAT.时,所有不同的TCP和UDP信息流看起来仿佛都来源于同 学习
一个IP地址。这个优点在小型办公室(SOHO)内非常.实用.,通过从ISP处申请的一 外汇
个IP地址,将.多个连接通过PAT接入Internet。实.际上,许多SOHO远程访问设备支 婚庆
持基于PP.P的动态IP地址。这样,ISP甚至不需要支.持PAT,就可以做到多个内部I .
P地址共用一个外部IP地址上Internet。虽然这样会导致信道的.一定.拥塞,但考虑 ( 游戏 )
到节省的ISP上网费用和易管理的特点,用..PAT还是很值得的。 .
标 题: NAT———网络地址翻译.(3) 女人
■基于NAT的负载平衡
以.上所谈论的均是关于使用NAT和PAT来把内部IP地址转换成外.部合法的IP地 电影
址使用.。下面.介绍NAT的另一个运用:作为用于负载平衡的DNS系列服务器(DNSr 女人
ound-robin)的一个替代品。DNS系列服务器解决.了多个IP地址共用.一个域名的 美容
问题。它.会在响应DNS申请时跳跃式地寻找可用的.IP地址。达到的效果就是一个域 婚庆
名.可以对应多个IP地址。这种功能可以应用在一个HTTP服务器群中,.利用它可以 汽车
平衡多个服务器的负载.。但是这里还有一个问题,I.P客户端会在本地缓冲DNS/I <性病>
P地址解析,从而.使它的后续的申请都会.到达同一个IP地址,减弱了DNS系列服务 杀毒
器的作用。
.使用基于NAT的负载平衡方案,则可以避免这个问题。路由器或其.它NAT设备 域名
把需要负载平..衡的多个IP地址翻译成一个公用的IP地址,每个TCP连接被NAT送到 投资
一个I.P.地址,而后续的TCP连接则被NAT送到下一个IP地址。真正实现了负载平衡 外贸
。当然,基于NAT的负载平衡只能.在NAT上实现,而不能在PAT上实现。. 美容
■安全问题
当NAT改变包的IP地址后,需要认真考虑这样做对安全设.施带来的影响。. .
. 对于防火墙,它利用IP地址.、TCP端口、目标地址以及其它在IP包内的信息来 .
决定是否干预网络的连接。.当使用了NAT之后,可能就不得不改变防火墙的规则., 婚庆
因为NAT改变了源地址和目的地址。 . (广告)
在许多配.置中,NAT被集成在.防火墙系统之中,提供访问控制和地址翻译的功 电脑
能。不要把NAT设在防火墙之外,因为黑客可以轻.易地骗过NAT,让NAT认.为它是一 外贸
个授权用户,从而.进入网络。 .
若企业网中使用了VP.N.(虚拟专用网),并用IPSec进行加密安全保证,那么 婚庆
错误地设置NAT将会破坏VPN的功.能。.把NAT放在受保护的VPN内部,而不是在中间 电子
。.因为NAT.改变IP包内的地址域,而IPSec规定一些信息是不能被改变的。若IP地 建材
址被改变了,IPSec就会认.为这个包是伪造的,拒绝使用.。 学习
虽然NAT带来了许多优越性,例如使现有网络不必重新编址、减少..了ISP接入 建材
费用,还可以起.平衡负载的作用,但NAT潜在地影响到一些网络管理功能和安.全设 .
施,这就需要谨慎地使用它。
