NAT技术及其应用

最新推荐文章于 2024-07-26 22:01:10 发布

f2016913

最新推荐文章于 2024-07-26 22:01:10 发布

阅读量1.2k

点赞数

分类专栏： Linus 文章标签： NAT技术网络

本文链接：https://blog.csdn.net/f2016913/article/details/74937591

版权

Linus 专栏收录该内容

26 篇文章 1 订阅

订阅专栏

一:概念:
共有IP:也叫全局地址,是指合法IP地址,它是由NIT(网络信息中心)或者ISP(网络服务提供商)分配的地址,对外代表一个或多个内部局部地址,是全球统一的可寻址的地址.
私有IP地址:也就内部地址,属于非注册地址,专门为组织机构内部使用,因特网分配编写委员会,保留了3块IP地址做为私有IP地址:
10.0.0—-10.255.255.255
172.16.0.0—172.16.255.255
192.168.0.0—192.168.255.255
二:什么是NAT:
NAT,又称”网络地址转换”,简单点说就是在局域网中使用内部地址,而当内部要与外部网络进行通讯时,就在网关(理解出出口)处,将内部地址替换成公用地址,从外在外部公网上正常使用,NAT可以使多台计算机共享internet连接,这一功能很好地解决了公共IP地址紧缺的问题.通常这种方法,可以只申请一个合法IP地址,就是把整个局域网中的计算机接入internet中.这时NAT屏蔽了计算机网络,所有内部网计算机对于公共网络来说是不可见的,而内部网计算机用户通常不会意识到NAT的存在.
我们画图来表示:
这里写图片描述

NAT功能通常被集成路由器,防火墙,ISDN路由器或者单独的NAT设备中.
三:分类
NAT有三种类型:静态NAT,动态地址NAT,网络地址端口转换NAPT.
1:静态NAT
通过手动设置,使internet客户进行的通信能够映射到某个特定的私有网络地址和端口,如果想让连接在Internet上的计算机能够使用某个西游网络上的服务器(如网站服务器)以及应用程序(如游戏),那么静态映射是必须的,静态映射不会从NAT转换表中删除.
如果在NAT转换表中存在某个映射,那么NAT只是单向第从internet向私有网络传送数据,这样,NAT就为链接私有网络部分的计算机提供了某种程度的保护,但是为了考虑internet的安全性,NAT就要配合全功能的防火墙一起使用.
2:动态NAT
所谓的动态NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程联接也可以采用动态NAT.,当远程用户联接上之后,动态地址NAT就会分配给他一个IP地址,用户断开时,这个IP地址就会被释放而留待以后使用
3:NAPT网络地址转换,
两种转换方式:SNAT,和DNAT
(1):源NAT:修改数据包的源地址,源NAT改变第一个数据包的来源地址,它永远会在数据包发送到网络之前完成,数据包伪装就是SNA的栗子
(2):目的NAT:修改数据包的目的地址,与SNAT相反,它是改变第一个数据包的目的地址.

四:NAT原理
1:地址转换
NAT基本工作原理当私有网主机和公共网主机通信的IP包经过NAT网关时，将IP包中的源IP或目的IP在私有IP和NAT的公共IP之间进行转换。
2:连接跟踪
NAT Gateway在收到响应包后，就需要判断将数据包转发给谁。此时如果子网内仅有少量客户机，可以用静态NAT手工指定；但如果内网有多台客户机，并且各自访问不同网站，这时候就需要连接跟踪（connection track）。
3:端口转换
客户机访问服务器为例，当仅有一台客户机访问服务器时，NAT Gateway只须更改数据包的源IP或目的IP即可正常通讯。但是如果Client A和Client B同时访问Web Server，那么当NAT Gateway收到响应包的时候，就无法判断将数据包转发给哪台客户机，

五:NAT应用:
实现以下几个功能:数据包伪装,平衡负载,失效终结,端口转发和透明代理
1:数据伪装:可以将内网数据包中的地址信息更改成统一的对外地址信息,不让内网主机直接暴露在因特网上,保证内网主机的安全.同时,该功能也常用来共享上网.
2:端口转发: 当内网主机对外提供服务时，由于使用的是内部私有IP地址，外网无法直接访问。因此，需要在网关上进行端口转发，将特定服务的数据包转发给内网主机。
3:负载平衡:目的地址转换NAT可以重定向一些服务器的连接到其他随机选定的服务器
4:失效终结:目的地址转换NAT可以用来提供高可靠性的服务。如果一个系统有一台通过路由器访问的关键服务器，一旦路由器检测到该服务器当机，它可以使用目的地址转换NAT透明的把连接转移到一个备份服务器上，提高系统的可靠性。
5:透明代理:例如自己架设的服务器空间不足，需要将某些链接指向存在另外一台服务器的空间；或者某台计算机上没有安装IIS服务，但是却想让网友访问该台计算机上的内容，这个时候利用IIS的Web站点重定向即可轻松的帮助我们搞定。

六:NAT的缺陷:
(1)不能处理嵌入式IP地址或端口
NAT设备不能翻译那些嵌入到应用数据部分的IP地址或端口信息，它只能翻译那种正常位于IP首部中的地址信息和位于TCP/UDP首部中的端口信息
(2)不能从公网访问内部网络服务
由于内网是私有IP，所以不能直接从公网访问内部网络服务，比如WEB服务，对于这个问题，我们可以采用建立静态映射的方法来解决.
(3) 有一些应用程序虽然是用A端口发送数据的，但却要用B端口进行接收，不过NAT设备翻译时却不知道这一点，它仍然建立一条针对A端口的映射，结果对方响应的数据要传给B端口时，NAT设备却找不到相关映射条目而会丢弃数据包。