首页业界动态基础网络服务高级网络服务网络技术相关下载 登录论坛 @联系我们
WinSVR.ORG > 信息 > 高级网络服务 > 路由和远程访问 > 深入理解ICS和NAT
现在时间是: 2018-11-21 16:52
深入理解ICS和NAT

(2006-01-16 09:32)

深入理解ICS和NAT

 

Internet是针对全局唯一的IP地址空间而设计的,每一个连接到Internet的接口都必须拥有一个基于该接口所连接子网的唯一Internet IP地址,因此不管此接口所在的子网在Internet上如何进行路由,别人总可以通过你的Internet全局唯一的IP地址对你进行访问。

但是随着可分配的IP地址空间逐渐减少,而连接到Internet上的主机数量却大量的增加,已经不可能再为每一台需要连接到Internet的主机分配一个唯一的IP地址,此时,NAT(网络地址转换)就应运而生了。NAT允许专用网络(专用网络/Internet在此等同于内部网络/外部网络)上的多个客户计算机通过某个Internet接口访问Internet资源,而Internet上的主机却不能直接对专用网络中的客户计算机进行访问。NAT支持在专用网络上重复使用 IPv4私用IP地址地空间 (10.0.0.0/8、172.16.0.0/12、192.168.0.0/16),这极大的减轻了Internet IPv4地址快速消耗所带来的IP地址数不足分配的压力。

NAT 的基本操作如下:

  • 当专用网络客户发起对Internet的连接请求时,对于每一个传出的数据包,NAT将专用网络中的源地址更改为连接到Internet的公用接口的源地址,并修改源传输控制协议(TCP)或用户数据报协议(UDP)端口号为一个NAT特定的值;并且,在自己的连接状态表中进行记录。

  • 对于传入的数据包,NAT首先检查自己的连接状态表,如果匹配某个专用网络中发起的通讯请求,则NAT将目标公用地址更改为初始发起通讯请求的专用网络中客户的专用网络地址,并将目标TCP或UDP端口号更改为其原始值,转发给此专用网络客户;如果不匹配某个专用网络中发起的通讯请求,NAT会丢弃此数据包。

例如,如果某一个专用网络上的客户192.168.0.8需要通过自己的NAT网关(专用网络IP地址为192.168.0.1,Internet IP地址为61.139.0.8)访问Internet上主机61.139.0.1的HTTP服务,则NAT转换过程如下:

  • 专用网络客户192.168.0.8发起通讯请求,数据包原格式为 TCP 192.168.0.8:1031(随机端口)->61.139.0.1:80,将此数据包发送给自己的默认网关192.168.0.1

  • 当NAT网关接收到192.168.0.8发送的数据包后,修改此数据包为 TCP 61.139.0.8:60066(随机端口)->61.139.0.1:80,转发给Internet主机61.139.0.1,并在自己的连接状态表中作记录;

  • Internet主机61.139.0.1收到此数据包后,回复数据包到NAT网关61.138.0.8,格式为 TCP 61.139.0.1:80 -> 61.139.0.8:60066;

  • 当NAT网关收到此数据包后,检查自己的连接状态表,发现 此数据包匹配专用网络客户192.168.0.8发起的连接请求,则修改数据包为 TCP 61.139.0.1:80 -> 192.168.0.8:1031,然后转发数据包给专用网络中的客户。

所以,NAT可以有效地允许专用网络中的客户端计算机正常访问Internet资源,而不需要让专用网络中的客户端计算机都直接连接到Internet。

在Windows系统中提供了ICS(Internet连接共享)和RRAS中的NAT这两种NAT组件,但是具有不同的定位和作用,我总结了一下,它们之间的详细区别如下表所示:

特性

ICS

NAT

定位

单个C类子网范围,适合于家庭网络或者小型企业网络使用。

网络地址范围无限制,适合于大中型网络使用。

配置

简单

较ICS更为复杂

提供方式

Windows 2000及其后客户端操作系统和服务器操作系统中均提供

作为路由和远程访问服务的一个组件,只在Windows服务器操作系统中提供。

公共IP地址

只能使用一个公共IP地址

可以使用多个公共IP地址

保留IP地址

无此功能

可以

对外发布服务(端口映射)

可以

可以

专用网络地址范围

限定为192.168.0.0/24

无限制

连接专用网络的网络接口的IP地址

限定为192.168.0.1/24

无限制,可保持原有配置不变。

专用网络地址分配

提供简化的DHCP服务,但是不可配置。

分配的IP地址范围为192.168.0.2~192.168.0.254, 子网掩码为255.255.255.0

提供DHCP分配器服务(也是简化的DHCP服务),默认分配的IP地址范围为专用网络接口所属子网。 你可以禁用此DHCP分配器服务,也可以配置DHCP分配器分配的IP地址范围,分配的IP地址数只受到配置的限制

DNS代理服务

默认启用,不能禁用,ICS中的简化DHCP服务为客户分配的DNS服务器地址是连接专用网络的网络接口的IP地址192.168.0.1。

默认启用,NAT的简化DHCP服务为客户分配的DNS服务器地址是连接专用网络的网络接口的IP地址,但是可以手动禁用

分配的默认网关地址

默认启用,不能禁用,为连接专用网络的网络接口的IP地址192.168.0.1

默认启用,不能禁用,为连接专用网络的网络接口的IP地址

DHCP更新期限

300秒(5分钟)

DHCP重新绑定期限

453600秒(租约期限的75%)

DHCP租约期限

604800秒(7天)

分配的连接指定域名

mshome.net

接下来,我将给大家分别进行详细的介绍。



作者:风间子
责任编辑:风间子

[1] [2] [3] [4] [5] [6] [7] 下一页>>
上一篇:深入理解远程访问策略
下一篇:How to :部署Windows Server 2003中的远程访问VPN服务
相关信息:

深入理解远程访问策略
How to :部署Windows server 2003中的站点到站点VPN连接
深入理解路由和远程访问服务中的筛选器和基本防火墙
How to :配置Windows Server 2003作为网络间的路由器
How to :部署Windows Server 2003中的远程访问VPN服务

热点信息 TOP 10
虚拟专用网络(VPN)连接基础
How to :部署Windows Server 2003中的远程访问VPN服务
深入理解ICS和NAT
深入理解路由和远程访问服务中的筛选器和基本防火墙
How to :部署Windows server 2003中的站点到站点VPN连接
深入理解远程访问策略
How to :配置Windows Server 2003作为网络间的路由器
Windows Server 2003 SP2 与 NAT 的兼容性问题

搜索 SEARCH
关键字:
包含:
搜索于:

Powered by: WinSVR.ORG
Copyright © 2006-2017 WinSVR.ORG, All Rights Reserved.