图5-1是基本NAT应用网络结构和组成要素。首先起关键作用的当然是提供NAT服务的网络设备,通常是路由器(也可以是其他三层设备,如三层交换机和防火墙等)。它通过两个接口连接内、外两个网络。内部网络(Inside Network)就是用户当前所在网络,通常是指用户私有局域网,而外部网络(Outside Network)是指内部网络以外的其他所有网络,一般是指Internet。
图5-1 NAT应用拓扑结构的基本组成
下面是与Cisco NAT技术密切相关的几个术语描述,这对理解NAT技术工作原理非常重要。
1. 网络的分类
- 内部网络(Internal Network)
“内部网络”通常是指一个边缘局域网,使用内部网络的私有IP地址,尽管它也可以是注册的公网IP地址,但更多的是非注册的私网IP地址。使用非注册IP地址的所有计算机都必须使用NAT转换后再与其他网络进行通信;而使用注册的公网IP地址的主机如果是在由路由器隔离的内部局域网中,也是需要经过NAT转换后才能直接使用它进行访问的。所以,总之,内部网络的IP地址都必须经过路由器的NAT转换才能访问外部网络。
- 外部网络(External Network)
“外部网络”是除本地私有网络以外的所有其他网络,在NAT应用中,Internet是最常见的外部网络。当然,外部网络也可以是其他私有网络,如两个局域网通过路由器相连的情况下。所以外部网络上的用户使用IP地址同样既可以是注册的,也可以是非注册的。
【经验之谈】其实“内部网络”与“外部网络”只是相对定义的,它是相对你当前所在的网络的而言的,如果你换到另一方网络去配置(在路由器连接的是两个局域网的情况下),这时内、外部网络的角色就要互换了。
2. IP地址的分类
在NAT中,除了以上两个网络类型的定义外,IP地址依据是在专用网络,还是在公用网络,以及通过方向是流入,还是流出有不同的定义。
- 本地地址(Local address)
在IP地址中,可以根据IP地址的作用范围分为“本地地址”(Local address)和“全局地址”(Global address)两大类。
“本地地址”是本地网络(可以是内部网络,也可以是外部网络)内部使用的IP地址,仅在本地网络有效,不能直接用来访问外部网络的IP地址,不可路由,这就是“本地”两字的含义所在。前面说了,内部网络中既可以使用未注册的私有网络IP地址,又可以使用公网注册的IP地址,所以,本地地址既可以是通常所见的私用网使用的非注册IP地址,也可以是在公网中使用的注册IP地址,但通常是指私网IP地址。
因为NAT连接了内、外两个网络,所以在本地地址中又有两类,一类是用于内部网络的内部本地地址(Inside Local Addresses),一类是用于外部网络的外部本地地址(Outside Local Addresses)。
Ø 内部本地地址(Inside local address)
内部本地地址是指分配给内部网络主机的IP地址。这个IP地址是计算机操作系统,或诸如DHCP之类的服务进行分配的,但既可以是仅限于内部局域网使用的私有非注册IP地址,也可以是由ISP统一分配的注册IP地址,但它们都是在内部网络使用的。通常是指非注册IP地址。
Ø 外部本地地址(Outside local address)
这是本地地址的另一种,是与内部本地地址性质一样,分配给外部网络主机的IP地址。这个IP地址是计算机操作系统或诸如DHCP之类的服务进行分配的,但也既可以是仅限于内部局域网使用的私有非注册IP地址,也可以是由ISP统一分配的注册IP地址。通常是指专用网络使用的非注册IP地址。
【经验之谈】这里所说的“内部本地址”和“外部本地地址”不是路由器上连接内、外部网络的接口的IP地址,而是在内、外部网络中分配给其中的设备的IP地址。这一点一定要搞清楚。
- 全局地址(Global address)
“全局地址”是与本地地址相对应的IP地址,它是内、外部网络本地址转换后的IP地址的,是可路由的。这里要理解“全局”的概念,其实它是指在内、外网络中间架设的一个过渡性网络的IP地址。内、外部网络相互通信都需要先把对应的本地地址转换成对应的全局地址才能与对方网络进行通信。考虑到NAT路由器既有连接局域网与像互联网这样的情形,又有连接两个局域网的情形,所以“全局地址”也既可以是可供注册的公网IP地址,也可以是非注册的私网IP地址。但NAT的应用主要是内部局域网与Internet的连接,所以外部网络一般是Internet,这样,全局地址也就一般是公网注册IP地址了。
全局地址也分为两类:一是用于转换内部本地地址的内部全局地址(Inside global address),另一类是用于转换外部本地地址的外部全局地址(Outside global address)。
Ø 内部全局地址(Inside global address)
“内部全局地址”是内部网络主机对外部网络用户呈现的IP地址(可以是分配给路由器连接外部网络的接口的IP地址),是内部本地地址转换后的地址。通常它是由ISP分配给企业用户内部网络使用的注册IP地址,但也可以是服务提供商分配、在本地注册的私网IP地址。通过NAT转换后,对于外界网络来说,它们扮演的是一个或多个内部本地址IP地址,以便与外部网络通信。
Ø 外部全局地址(Outside global address)
“外部全局地址”是外部网络主机对内部网络用户呈现的IP地址(可以是分配给路由器连接内部网络的接口的IP地址),是外部本地地址转换后的地址。它通常是由ISP分配给企业用户内部网络使用的注册IP地址,但也可以是服务提供商分配、注册的私网IP地址。通过NAT转换后,对于外界网络来说,它们扮演的是一个或多个外部本地址IP地址,以便与内部网络通信。
以上内容摘自好评如潮的《路由器配置与管理完全手册——Cisco篇》一书。
本文转自王达博客51CTO博客,原文链接http://blog.51cto.com/winda/697028如需转载请自行联系原作者
茶乡浪子
