IP 网络地址转换:IP Network Address Translation,NAT
允许少量的公用IP地址被大量使用专用地址的主机共享
由于NAT使得主机更难被外部机器直接寻址,增强了安全性
28.1.2 IP NAT 的劣势
NAT 转换表:内部本地地址 -> 内部全局地址,静态/动态映射
静态映射一般用于实现公共网络向内部特殊服务器发起的通信
NAT 修改 IP 源or 目的地址,则需要重新计算IP首部校验和、TCP/UDP校验和
基于端口的NAT通过改变TCP/UDP报文中使用的端口号,使得专用网络中的大量设备同时共享单个内部全局地址
端口NAT存在更多兼容性问题,必须查看较高层的端口号,进行端口号转换
NAT的专用网络的内部地址如果同公共网络的地址重叠会产生问题,因此要采用overlapping NAT : 内部-> 外部 ,外部->内部,总是转换源or目的地址,依赖DNS
28.7 重叠NAT ,举例见表28-4
NAT的兼容性问题在于,IP地址也被网络层或更高层次的协议使用,NAT转换IP地址时,通常也要改变其他地方的参数,或对数据报进行转换。
如果NAT不支持上层协议对应的转换,则某些通信有可能无法正常工作
28.8 NAT兼容性问题及需求
当NAT使得IP地址长度改变时,甚至于TCP序列号也要改变
NAT不支持IPSec传输模式
IPSec:IP层通信安全,为任何较高层的TCP/IP应用程序及协议提供保护
表29-1 重要的IPSec标准
IPSec的重要用途:VPN
29.3 IPSec体系结构和实现方法
图29-4 IPSec传输模式
图29-5 IPSec隧道模式
29.5 IPSec安全性构成
图29-9 带有IPSec ESP的IPv6 数据报格式
注意ESP尾部的下一个首部将指向加密载荷中的IP首部
29.8 IPSec IKE 这边的写得很省,可参考《网络安全协议》里面的章节去看。
另:想起老板当年还发指的考过ISAKMP,泪啊。。。
30.2.2 移动IP功能 这章感觉写得一般,凑合看看,要具体了解的话有空还是再去找本书看吧
没有评论:
发表评论