NAT转换过程中会存在的问题

最新推荐文章于 2024-08-07 09:08:16 发布
最新推荐文章于 2024-08-07 09:08:16 发布
阅读量1.7k 收藏
点赞数
分类专栏: 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/db_water/article/details/79067671
版权

MSS和MTU问题

MTU(maximum transmission unit)

  • 最大传输单元,由硬件规定,如以太网的MTU为1500字节。
  • 一个IP数据报在以太网中传输,如果它的长度大于该MTU值,就要进行分片传输,使得每片数据报的长度小于MTU。分片传输的IP数据报不一定按序到达,但IP首部中的信息能让这些数据报片按序组装。
  • IP数据报的分片与重组是在网络层进完成的。

MSS:maximum segment size

  • 最大分段大小,为TCP数据包每次传输的最大数据分段大小,一般由发送端向对端TCP通知对端在每个分节中能发送的最大TCP数据。
  • MSS值为MTU值减去IP头部(20 Byte)和TCP头部(20 Byte)得到,一般情况下为1460字节。
  • TCP报文段的分段与重组是在运输层完成的。

NAT转换中MSS问题

  • IP报文里是有五元组的(源ip,目的ip,源端口,目的端口,协议号),当报文在分片的时候由于不会保留TCP/UDP报文所有的标识信息,比如端口号等,这种情况下,如果设备又实现了NAT转换操作(NAT转换过程中,会随机地做端口转换),并且应用又是基于TCP/UDP的这就导致报文不能正确组包。

  • TCP中的MSS参数就是用于协商TCP报文大小的,如果协商出来的TCP MSS的参数值小于设备的MTU的值时,TCP报文在设备上就不会被分片,否则就会出现报文分片并导致上述现象的发生,因此,为了避免上述情况的发生,一定要保证协商的TCP MSS参数小于设备的MTU的值。

  • 有些系统在传输信息的过程中为了增加传输的速度,内部进程间传输数据会用UDP协议传输来往的数据包,那么为了防止内部传输时候数据包分片一般情况写会把MSS设置的比正常的MSS小一些,减去内部UDP传输使用的ip头部(20 Byte)和UDP头部(8 Byte),为1432 字节

源地址复现问题

LVS的VS/NAT介绍

  • LVS是Linux Virtual Server的简称,也就是Linux虚拟服务器, 用现在的观点来看就是个4层(传输层tcp/udp)的负责均衡器。
  • LVS技术要达到的目标是:通过LVS提供的负载均衡技术和Linux操作系统实现一个高性能、高可用的服务器群集,它具有良好可靠性、可扩展性和可操作性。从而以低廉的成本实现最优的服务性能。
  • LVS中有一种调度方法为VS/NAT: 即(Virtual Server via Network Address Translation)
    也就是网络地址翻译技术实现虚拟服务器,当用户请求到达调度器时,调度器将请求报文的目标地址(即虚拟IP地址)改写成选定的Real Server地址,同时报文的目标端口也改成选定的Real Server的相应端口,最后将报文请求发送到选定的Real Server。在服务器端得到数据后,Real Server返回数据给用户时,需要再次经过负载调度器将报文的源地址和源端口改成虚拟IP地址和相应端口,然后把数据发送给用户,完成整个负载调度过程。

TOA的作用
- 在LVS的FULLNAT转发模式下, LVS对数据包同时做SNAT和DNAT,将数据包的源IP、源端口更换为LVS本地的IP和端口,将数据包的目的IP和目的端口修改为RealServer的IP和端口,从而不再依赖特定网络拓朴转发数据包。
- 那么现在就有一个问题RealServer无法获得用户IP,淘宝通过叫TOA的方式解决的,FULLNAT模式在转发包的时候,在TCP包中添加一个option,来传递客户端的真实地址。RealServer中通过内核模块toa令应用层程序获取真实的客户端地址

struct toa_data
{
    __u8   opcode;      //option的opcode为254(0xfe)
    __u8   size;        //option长度8字节为8(0x08)
    __u16  real_port;   //用户的真实端口
    __u32  readl_ip;    //用户的真实ip
}
  • 函数调用hook_toa_functions函数HOOK两个函数:
    • inet_getname
      应用层程序调用getpeername()时就可以获取到真实的客户端地址了
    • tcp_v4_syn_recv_sock
      RS侧收到建连报文时,取出toa里面的client ip和port 存放在socket的use_data

由于本篇不对LVS做详细介绍,如果想更深入了解LVS可以参考这篇文章:LVS原理介绍

X-Forwarded-For

  • X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。
  • 如果没有XFF或者另外一种相似的技术,所有通过代理服务器的连接只会显示代理服务器的IP地址,而非连接发起的原始IP地址,这样的代理服务器实际上充当了匿名服务提供者的角色,如果连接的原始IP地址不可得,恶意访问的检测与预防的难度将大大增加。XFF的有效性依赖于代理服务器提供的连接原始IP地址的真实性,因此,XFF的有效使用应该保证代理服务器是可信的,比如可以通过创建可信服务器白名单的方式。

  • 这一HTTP头一般格式如下:
    X-Forwarded-For: client1, proxy1, proxy2

  • 在代理转发的场景中,你可以通过内部代理链以及记录在网关设备上的IP地址追踪到网络中客户端的IP地址

DB_water
关注
专栏目录
关于最大传输单元(MTU)的整理
wangxg_7520的专栏
02-28 2万+
MTU设置不当,可能会导致许多网络问题,如某些网络应用无法使用,某些网站无法访问等。下面是在网上搜索整理的关于MTU设置的东西,某些可能未作验证,仅供参考。 1. 如何确定网络MTU 某些ISP接入的MTU可能会比常规使用的MTU小,这时如果设置了过大的MTU,就可能会导致很多服务无法使用的问题。可以通过ping程序确定MTU的值。 Windows可以打开命令提示符,使用 PING -l
NAT地址转换略解
qq_45109448的博客
07-20 1930
NAT是一种地址转换技术,支持将报文的源地址进行转换,也支持将报文的目的地址进行转换。 定义:网络地址转换协议NAT是将IP数据报文头部中的IP地址转换成另一个IP地址的过程。 目的:当内网(私网)主机想要访问外网时,通过NAT技术可以将其私网地址转换为公网地址,可以实现多个私网地址公用一个公网地址来访问网络,这样既可以保证网络的胡同,也节省了IP地址资源。 优点: 1.作为减缓IP地址枯竭的一种方案,NAT在一定程度上缓解了IP地址枯竭的速度。 2.有效的避免了来自外网的攻击,在一定程度上提高了网络安全性
当IP分片遇上NAT
kklvsports的专栏
03-13 1220
    关于NAT原理的介绍请参考点击打开链接,如上述参考文章所述NAT节约公网地址的同时也带来一些问题,考虑最常用的NAPT模式,当NAT网关收到Server端发来的IP分片时,由于只有第一个IP分片中包含传输层信息(端口,协议等),后续的IP分片到NAT网关时,NAT网关将无法直接根据本分片信息还原出原来的内网IP,需要NAT特殊处理甚至重组分片(虚拟重组,真正的重组是在Client上进行的)...
关于一个MSS值引发的疑案的思考
weixin_34107739的博客
10-21 105
virtualadc在《负载均衡故障诊断:一个MSS值引发的疑案》中写到的这个故障现象引发了我的思考,我接触的很多项目中也都有负载均衡,但是却没有遇到过这个故障。现针对作者提到的故障,我在自己的实验环境中抓包测试了一下。对此提出自己的两点思考,仅此交流。 网络环境拓扑:  抓包截图: 172.29.141.150为客户端地址 172.29.141.100为真实服务器地址 17...
阿里云CDN工具TOA使用教程
最新发布
gitblog_00812的博客
08-07 347
阿里云CDN工具TOA使用教程 alibabacloud-cdn-tool-toaalibabacloud-cdn-tool-toa项目地址:https://gitcode.com/gh_mirrors/al/alibabacloud-cdn-tool-toa 1. 项目的目录结构及介绍 该项目的目录结构如下: . ├── src # 源代码目录 │ ├── READ...
浅谈NAT的原理缺陷及其解决之道
xiaofei0859的专栏
07-24 1万+
犹如windows统治着绝大部份桌面系统一样,TCP/IP也是网络协议中的实际统治者,而IP正是这个协议统治的基础,作为标识TCP/IP网络中每个结点的IP地址,由于它只有32个bit的空间,随着网络的发展,它变得越来越稀有,再加上IP地址地区分配的极端不平衡,已使一些地区比如亚
关于 FullNat 模式的 Toa 实现原理【转】
legend050709的专栏
02-24 5110
目录背景获取client ip的几种方法toa/uoa 获取client ip原理tcp option 字段lvs中的toa格式与插入格式插入后端获取client ipnetstat 和 toa的关系其他思考参考 背景 FullNat 模式的特点,比如跨机房、可运维性强等优势。不过会存在一个问题,在后端服务器上,应用程序能够获取到的请求源 IP 是 lvs 的 LocalIP,并不是真实客户端的 ClientIP。而现在大多数业务都需要对用户信息进行分析画像,也有一些敏感业务需要对用户进行溯源,所以获取用户
通信与网络中的网络地址转换NAT)的工作原理
11-04
网络地址转换NAT,Network Address Translation)是通信与网络领域中的关键技术,它在解决IP地址短缺、增强网络安全以及简化网络管理方面起着至关重要的作用。随着互联网的迅速扩张,IP地址的需求量激增,而IPv4...
CISCO路由器NAT过程中的地址重叠问题及解决办法.pdf
10-09
"CISCO路由器NAT过程中的地址重叠问题及解决办法" 在本文中,我们将详细讨论CISCO路由器NAT过程中的地址重叠问题及解决办法。首先,我们需要了解NAT技术的基本概念。NAT(Network Address Translation)是一种允许...
基于IPv6的NAT地址转换配置方法
03-25
在本例中采用的是静态NAT-PT,即预先定义好IPv4地址到IPv6地址的映射关系,这种一对一的映射方式虽然简单明了,但存在IPv4地址资源浪费的问题,并且当网络规模较大时,维护这些映射关系将变得相当复杂。 #### 实验...
网络地址转换NAT详解及配置
qdz060525的博客
11-12 5942
网络地址转换NAT详解及配置
计网 - 局域网:NAT 是如何工作的?
小工匠
07-04 2万+
文章目录Pre内部网络和外部网络 Pre 广域网是由很多的局域网组成的,比如公司网络、家庭网络、校园网络等。之前我们一直在讨论广域网的设计,今天我们到微观层面,看看局域网是如何工作的。 IPv4 的地址不够,因此需要设计子网。当一个公司申请得到一个公网 IP 后,会在自己的公司内部设计一个局域网。这个局域网所有设备的 IP 地址,通常会以 192.168 开头。这个时候,假设你的职工小明,上班时间玩王者荣耀。当他用 UDP 协议向王者荣耀的服务器发送信息时,消息的源 IP 地址是一个内网 IP 地址,而
NAT协议(网络地址转换协议)详解
TABE_的博客
03-18 2万+
这里写目录标题为什么需要NATNAT的特点NAT的实现方式静态NAT动态NATNAPTNAT技术的优缺点优点缺点 为什么需要NAT IPv4地址随着用户的增多压力不断增大,但是每一个路由器的IP地址下面都有很多的私有地址,外部消息只需要找到这个路由器,这个路由器把消息找到真正目的主机传递给它即可。每一个路由器都可以分配很多私有地址,并且不同路由器的私有地址可以重复,通过这种地址转换,能够大大增加地址的容量。 私有地址有三种: ①10.0.0.0~10.255.255.255/8 ②172.16.0.0~17
计算机基础知识学习之网络常用术语(累计积分 MTU MSS NAT
Three_ST的博客
04-28 449
累计积分 面试问题:TCP的可靠性,超时重传怎么实现,M1,M2,M3,M4,M5,丢失M2;怎么重传M2?为什么不用重传M4,M5? 因为每个TCP报文被发送时,都会设置一个重传定时器,若定时期到了还没收到ack包,则应重传。为什么不用重传M4,M5?则可由此文回答:因为采用了累积确认。有例如下: Server 发送80个字节 Part1,seq = 1 Server 发送120个字节Part2,Seq = 81 Server发送160个字节Part3,Seq = 201,此包由于其他原因丢失 Clien
第二十四周 SNAT和DNAT使用,iptables规则保存,LVS算法
hfhshwj的博客
05-30 667
1、NAT原理总结 NAT: network address translation,支持PREROUTING,INPUT,OUTPUT,POSTROUTING四个链 NAT作用:修改请求报文/响应报文的源/目标IP NAT类型: SNAT:source NAT ,支持POSTROUTING, INPUT,让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装。方法,修改请求报文源IP,将源IP修改成能上外网的IP,实现本地主机访问外部网络。例如路由器 DNAT:destination NA
TCP中的MSS解读
jw903的专栏
09-06 2778
MSS 是TCP选项中最经常出现,也是最早出现的选项。MSS选项占4byte。MSS是每一个TCP报文段中数据字段的最大长度,注意:只是数据部分的字段,不包括TCP的头部。TCP在三次握手中,每一方都会通告其期望收到的MSS(MSS只出现在SYN数据包中)如果一方不接受另一方的MSS值则定位默认值536byte。 MSS值太小或太大都是不合适。太小,例如MSS值只有1byte,那么为了传输这1b
TCP/IP协议:最大报文段长度(MSS)是如何确定的(3)
热门推荐
xiaofei0859的专栏
04-04 4万+
一.实际使用中的问题 用户在使用路由器访问Internet时,经常会反馈不能访问网页(或部分网页)以及使用Outlook收发邮件(这些应用是基于TCP或UDP的),但进行Ping包时没有问题,这时候检查配置时也没有错误。出现这种情况的时候,多半是因为在设备上进行了NAT应用,同时设备对报文进行了分片操作。 (没有支持路径MTU;设备没有参与MSS协商;结果TCP协商的MSS大于了设备的MTU-
【转载】网络中MTU与MSS
sjingpink的专栏
03-15 630
转自:http://blog.chinaunix.net/uid-20786208-id-3802258.html 关于mtu和mss 网上的资料很多,在看《tcp/ip详解卷1》的时候里面重点说了下mtu的重要性. 但是却没找到mss,或许是因为mss是tcp层的一个概念吧,当然mss和mtu也有莫大的关系.这里为什么再写一下,是因为在实际工作中,前方测试遇到的一个奇怪问题. 解决
NAT网络地址转换理论+实验
Parhoia的博客
10-17 2361
NAT网络地址转换 NAT不仅能解决IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。 1.宽带分享:这是 NAT 主机的最大功能。 2.安全防护:NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行 portscan(端口扫描) 的时候,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值