NAT,代理服务器技术
#NAT技术
NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
这种方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。
另外,这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用的IP地址空间的枯竭。在RFC 1632中有对NAT的说明。
网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT的实现方式
即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
这里我们以一个小型企业网的搭建为例进行演示网络地址转换(NAT)的实现
在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT。通常情况下,连接到用户内部网络的接口是NAT内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。
实现功能如下:
1.全网可达
2.公司内所有PC可以访问外网,并且都能访问服务器www.cisco.com
3.PC0不能访问R3路由器但是R3路由器可以访问PC0
4.PC1可以pingR2但是不能登录到R2
5.PC8远程登录1R0实际登录的是R3
6.PC1可以ping通PC5但是不能ping通PC4
7.PC7不能访问服务器
具体实现过程:
1. IP配置
(1):给路由器的每个端口配置IP
R3(config)#interface f0/0
R3(config-if)#ip address 34.1.1.3 255.255.255.0 //配置ip
R3(config-if)#no shutdown //打开接口
(2)服务器配置ip并打开服务器
(3)在给PC0 - PC3配置IP时,需先在交换机上进行虚拟局域网的划分,并在端口f0/1上打开全局网通;
Switch(config)#vlan 2
Switch(config-vlan)#name S2
Switch(config-vlan)#exit :创建虚拟局域网2,并命名为S2
Switch(config)#vlan 3
Switch(config-vlan)#name S3
Switch(config-vlan)#exit 创建虚拟局域网3,并命名为S3
Switch(config)#interface range f0/2,f0/3
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 2 //设置f0/2,f0/3在vlan2中
Switch(config)#interface range f0/4,f0/5
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 3 //设置f0/4,f0/5 在vlan3中
Switch(config)#interface f0/1
Switch(config-if)#switchport mode trank // 打开全局域网通
(4)在路由器上给PC分配IP:
Router(config)#interface f0/0.2
R2(config-subif)#encapsulation dot1Q 2
R2(config-subif)#ip address 192.168.1.1 255.255.255.0
R2(config-subif)#no shutdown //给虚拟端口配置IP网关
ip dhcp pool S1
network 192.168.1.1 255.255.255.0
default-router 192.168.1.1 网关
dns-server 45.1.1.5 //是PC自动获取IP
(5)路由宣告(实现局域网的全网通)
每台路由器宣告与自己的路由
R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#no auto-summary
R2(config-router)#network 12.1.1.2
R2(config-router)#network 23.1.1.2
(6) 最外路由器配置缺省路由,并宣告:
R1(config)#ip route 0.0.0.0 0.0.0.0 f0/0
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#no auto-summary
R1(config-router)#default-information originate /下放
(7)实现全网通
R1(config)#interface f0/0
R1(config-if)#ip nat outside //外网入口
R1(config-if)#exit
R1(config)#interface f0/1
R1(config-if)#ip nat inside //内网入口
R1(config)#ip nat inside source list 1 interface f0/0
Router#show ip int brief //ip配置查看
2..PC0不能访问R3路由器但是R3路由器可以访问PC0
R1(config)#access-list 100 deny icmp host 172.16.1.1 host 34.1.1.4 echo
//扩展ACL
R1(config)#access-list 100 permit ip any any
R1(config)#interface f0/0.2
%LINK-5-CHANGED: Interface FastEthernet0/0.2, changed state to up
R1(config-subif)#ip access-group 100 in //在f0/0.2中应用
要求4:PC1可以ping通R2但不能远程登录R2
R1(config)#access-list 100 deny tcp 172.16.1.2 12.1.1.2 eq 23
//扩展ACL
R1(config)#access-list 100 permit ip any any
R1(config)#interface f0/0.2
%LINK-5-CHANGED: Interface FastEthernet0/0.2, changed state to up
R1(config-subif)#ip access-group 100 in //在f0/0.2中应用
- PC1可以ping通PC5但是不能ping通PC4
R1(config)#access-list 100 deny icmp host 172.16.1.1 host 192.168.1.2 echo-reply //扩展ACL
R1(config)#access-list 100 permit ip any any
R1(config)#interface f0/0.2
%LINK-5-CHANGED: Interface FastEthernet0/0.2, changed state to up
R1(config-subif)#ip access-group 100 in //在f0/0.2中应用
代理服务器
代理服务器(Proxy Server)是一种重要的服务器安全功能,它的工作主要在开放系统互联(OSI)模型的会话层,从而起到防火墙的作用。代理服务器大多被用来连接INTERNET(国际互联网)和Local Area Network(局域网)。(国际互联网)和INTRANET(局域网)。在国内,所谓中国多媒体公众信息网和教育网都是独立的大型国家级局域网,是与国际互联网隔绝的。出于各种需要,某些集团或个人在两网之间开设了代理服务器,如果我们知道这些代理服务器的地址,就可以利用它到达国外网站。
功能介绍
(1)设置用户验证和记账功能,可按用户进行记账,没有登记的用户无权通过代理服务器访问Internet网。并对用户的访问时间、访问地点、信息流量进行统计。
(2)对用户进行分级管理,设置不同用户的访问权限,对外界或内部的Internet地址进行过滤,设置不同的访问权限。
代理服务器流程图
代理服务器流程图
(3)增加缓冲器(Cache),提高访问速度,对经常访问的地址创建缓冲区,大大提高热门站点的访问效率。通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,以提高访问速度。
(4)连接内网与Internet,充当防火墙(Firewall):因为所有内部网的用户通过代理服务器访问外界时,只映射为一个IP地址,所以外界不能直接访问到内部网;同时可以设置IP地址过滤,限制内部网对外部的访问权限。
(5)节省IP开销:代理服务器允许使用大量的伪IP地址,节约网上资源,即用代理服务器可以减少对IP地址的需求,对于使用局域网方式接入Internet ,如果为局域网(LAN)内的每一个用户都申请一个IP地址,其费用可想而知。但使用代理服务器后,只需代理服务器上有一个合法的IP地址,LAN内其他用户可以使用10...*这样的私有IP地址,这样可以节约大量的IP,降低网络的维护成本。
代理分类
折叠HTTP代理
www对于每一个上网的人都再熟悉不过了,www连接请求就是采用的http协议,所以我们在浏览网页,下载数据(也可采用ftp协议)时就是用http代理。它通常绑定在代理服务器的80、3128、8080等端口上。
折叠socks代理
相应的,采用socks协议的代理服务器就是SOCKS服务器,是一种通用的代理服务器。Socks是个电路级的底层网关,是DavidKoblas在1990年开发的,此后就一直作为Internet RFC标准的开放标准。Socks 不要求应用程序遵循特定的操作系统平台,Socks 代理与应用层代理、HTTP层代理不同,Socks 代理只是简单地传递数据包,而不必关心是何种应用协议(比如FTP、HTTP和NNTP请求)。所以,Socks代理比其他应用层代理要快得多。它通常绑定在代理服务器的1080端口上。如果您在企业网或校园网上,需要透过防火墙或通过代理服务器访问 Internet就可能需要使用SOCKS。一般情况下,对于拨号上网用户都不需要使用它。注意,浏览网页时常用的代理服务器通常是专门的http代理,它和SOCKS是不同的。因此,您能浏览网页不等于 您一定可以通过SOCKS访问Internet。常用的防火墙,或代理软件都支持SOCKS,但需要其管理员打开这一功能。如果您不确信您是否需要SOCKS或是否有SOCKS可用,请与您的网络管理员联系。为了使用socks,您需要了解一下内容:
① SOCKS服务器的IP地址
② SOCKS服务所在的端口
③ 这个SOCKS服务是否需要用户认证?如果需要,您要向您的网络管理员申请一个用户和口令
知道了上述信息,您就可以把这些信息填入“网络配置”中,或者在第一次登记时填入,您就可以使用socks代理了。
在实际应用中SOCKS代理可以用作为:电子邮件、新闻组软件、网络传呼ICQ、网络聊天MIRC和使用代理服务器上联众打游戏等等各种游戏应用软件当中。
折叠v*n代理
指在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个v*n网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路,而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络(Internet)中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输,从而真正实现网络数据的专有性。
折叠反向代理
反向代理服务器架设在服务器端,通过缓冲经常被请求的页面来缓解服务器的工作量。 安装反向代理服务器有几个原因:
加密和SSL加速
负载平衡
缓存静态内容
压缩 减速上传
安全 外网发布
大多使用开放源代代码的squid做反向代理
折叠其他类型
FTP代理:能够代理客户机上的FTP软件访问FTP服务器
RTSP代理:代理客户机上的Realplayer访问Real流媒体服务器
POP3代理:代理客户机上的邮件软件用POP3方式收发邮件