一般企业公司网络规划方案.docx

XX 有限公司网络规划方案
一、概述 2..
简介 2
分类 2
应用 3
二、原理 4..
地址转换 4
连接跟踪 4
端口转换 5
三、 Linux 下 NAT 实现路由功能 5.
netfilter/iptables 模块 5
基于 netfilter/iptables 的 NAT 6
根据如上述文档实施 7
概述
简介
NAT 英文全称是“ Network AddressTranslation 中文意思是“网络地址转换”， 它是
工程任务组 )标准，允许一个整体机
一个 IETF(Internet Engineering Task Force, Internet
构以一个公用 IP ( Internet Protocol )地址出现在 Internet 上。顾名思义，它是一种把内
部私有网络地址( IP 地址)翻译成合法网络 IP 地址的技术。
分类
NAT 有三种类型：静态 NAT(Static NAT) 、动态地址 NAT(Pooled NAT) 、网络地址端口转
换 NAPT ( Port-Level NAT ) 。
其中，网络地址端口转换 NAPT (Network Address Port Translation )则是把内部地址映
射到外部网络的一个 IP 地址的不同端口上。 它可以将中小型的网络隐藏在一个合法的 IP 地
址后面。 NAPT 与 动态地址 NAT 不同，它将内部连接映射到外部网络中的一个单独的 IP
地址上，同时在该地址上加上一个由 NAT 设备选定的端口号。
NAPT 是使用最普遍的一种转换方式，在 HomeGW 中也主要使用该方式。它又包含两种 转换方式： SNAT 和 DNAT 。
(1)源NAT (Source NAT , SNAT ):修改数据包的源地址。源 NAT改变第一个数据包的来
源地址，它永远会在数据包发送到网络之前完成，数据包伪装就是一具 SNAT的例子。
(2)目的 NAT (Destination NAT , DNAT )：修改数据包的目的地址。 Destination NAT 刚
好与SNAT相反，它是改变第一个数据懈的目的地地址，如平衡负载、端口转发和透明代 理就是属于DNAT。
' 7 Static NAT
NAT < Pooled NAT 「 SWAT
J NAFT < J -T
应用
NAT主要可以实现以下几个功能：数据包伪装、平衡负载、端口转发和透明代理。
数据伪装：可以将内网数据包中的地址信息更改成统一的对外地址信息， 不让内网主机直接
暴露在因特网上，保证内网主机的安全。同时，该功能也常用来实现共享上网。 端口转发：当内网主机对外提供服务时，由于使用的是内部私有 IP地址，外网无法直接访 问。因此，需要在网关上进行端口转发，将特定服务的数据包转发给内网主机。 负载平衡：目的地址转换 NAT可以重定向一些服务器的连接到其他随机选定的服务器。
失效终结：目的地址转换 NAT可以用来提供高可靠性的服务。如果一个系统有一台通过路
由器访问的关键服务器，一旦路由器检测到该服务器当机，它可