【网络】NAT、代理服务、内网穿透(1)

云掣YunChe9个月前行业资讯472

1.NAT技术

NAT(Network Address Translation,网络地址转换)技术,是解决IP地址不足的主要手段,并且能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。


1.1NAT技术背景

在IPv4协议中,IP地址数量不足是一个大问题,而NAT技术就是当前解决IP地址不够用的主要手段,是路由器的一个重要功能。


在进行对外通信时,NAT能够将私有IP经过一系列替换操作最终转为全局IP,也就是说,NAT是一种将私有IP和全局IP相互转化的技术方法。


装有NAT软件的路由器叫做NAT路由器,所有使用私有IP的主机在和外界通信时,都要在NAT路由器上将其私有IP转换成全局IP。

大部分学校、家庭、公司内部每个终端设置的IP都是私有IP,而只在出口路由器(再外层就是公网)或必要的服务器上设置全局IP。

1.2NAT IP转换过程

假设某个局域网当中有A、B、C三台主机,在公网当中有一台服务器,以主机A访问公网中的这台服务器为例,我们来看看数据包在传输过程中IP地址的转换过程。


(1)数据包从局域网到公网的过程


主机A向服务器发起数据请求的过程中,数据包中IP地址的转换过程如下:


刚开始,该数据包当中的源IP地址就是主机A的私有IP地址,目的IP地址就是服务器的公网IP地址。

当数据包经过NAT路由器时,路由器会将该数据包的源IP地址替换成自己的WAN口IP地址,此时该数据包的源和目的IP地址就都是公网IP了。

该数据包在互联网中经过各种路由转发,最终到达服务器主机。

服务器收到主机A的数据请求并处理后,就会对主机A发来的请求进行响应。

(2)数据包从公网到局域网的过程


服务器向主机A进行响应的过程中,数据包中IP地址的转换过程如下:


刚开始,该数据包当中的源IP地址就是服务器的公网IP地址,目的IP地址就是路由器的WAN口IP地址。

数据包在互联网中经过各种路由转发,到达主机A所在局域网的NAT路由器,此时路由器会根据**“地址转换表”**将该数据包的目的IP地址替换成主机A的私有IP地址。

最终路由器就会将该数据包转发给局域网中的主机A。

image-20240810171723768

需要注意的是,因为主机A向服务器发起数据请求时,该数据包当中的源IP地址被替换成了NAT路由器的WAN口IP地址,相当于是该路由器代替主机A向服务器发起了数据请求,因此服务器发出的响应数据包的目的IP地址应该是NAT路由器的WAN口IP地址。


1.3NAPT

(1)地址转换表


当局域网当中的主机要访问外网时,NAT路由器会将这些数据包的源IP地址替换成自己的WAN口IP地址。


当外网发来响应数据时,报文的目的IP地址是NAT路由器的WAN口IP地址,但是此时报文还没有到达真正要去的主机,所以此时NAT路由器内部会维护一张**“地址转换表”**,根据该地址转换表将目的IP地址替换为目的主机的私有IP地址。


该转换表中维护的是局域网中主机的私有IP,与其对应访问的外网当中的某个公网IP之间的映射关系,这份映射互为键值。


当局域网中的主机第一次向外网发起数据请求时,就会生成表中的映射关系。


比如在TCP建立连接时,会建立对应的映射关系,在TCP断开连接后,就会删除对应的映射关系。


在刚才的例子中,主机A第一次向服务器发起数据请求时,路由器中就会建立以下映射关系。

image-20240810172302887

当NAT路由器收到服务器向主机A发来的响应数据时,就可以通过查表得知该响应数据是发送给局域网当中的主机A的。


但如果转换表中维护的只是局域网中主机的私有IP,与其对应访问的外网当中的某个公网IP之间的映射关系,那么就会出现某些问题。


如果局域网中的主机A和主机B同时都在访问该服务器,那么此时转换表中就会建立如下两对映射关系:

image-20240810172418232

此时这张转换表只能保证从左到右的唯一性,而不能保证从右到左的唯一性,当服务器发来响应数据时,该数据包中的目的IP地址都是路由器的WAN口IP,此时NAT路由器就无法判断该数据包应该转发给主机A还是主机B,此时就需要用到NAPT技术。

(2)NAPT


NAPT(Network Address Port Translation,网络地址端口转换),可以将多个内部地址映射为一个合法公网地址。


当局域网中的主机向外网发送数据时,路由器会将该数据包的源IP地址替换为自己的WAN口IP地址,并建立该主机私有IP与其对应访问的公网IP之间的映射关系。


但如果局域网中的多台主机同时访问同一个外网服务,当路由器收到外网发来的响应数据时,路由器无法判断该响应数据应该转发给局域网中的哪台主机,因为该局域网中所有主机的数据包都由路由器代替发送了,因此发来的响应数据包的目的IP地址都是路由器的WAN口IP地址。


于是NAPT在建立转换表的映射关系时,除了建立局域网中私有IP与其对应访问的公网IP之间的映射关系外,还会加上一个由NAT路由器选定的端口号。


此时当局域网中的多台主机同时访问同一个外网服务时,虽然外网发来的响应数据的目的IP地址都是路由器的WAN口IP,但发给局域网中不同主机的响应数据对应的目的端口号是不同的,此时路由器就能通过IP+Port的方式来区分发给不同主机的数据包。


比如局域网中的主机A和主机B都在访问同一个服务器,并且它们访问服务器时采用的端口号都是1025。


假设主机A发送的数据包先到达路由器,此时路由器将数据包的源IP地址替换成自己的WAN口IP地址,由于路由器用于访问该服务器的1025号端口没有被使用,因此该数据包的源端口号可以不变。

当主机B发来的数据包到达路由器时,路由器同样将数据包的源IP地址替换成自己的WAN口IP地址,但此时路由器用于访问该服务器的1025号端口已经被主机A使用了,因此路由器会重新选定一个端口号对数据包的源端口号进行替换(比如1026)。

此时转换表中就会建立如下两队映射关系:

image-20240810172720546

此时这张转换表既能保证从左到右的唯一性,也能保证从右到左的唯一性。


因此NAPT技术就是NAT路由器通过维护一张**“地址转换表”**,该表中记录源IP、源端口和目的IP、目的端口的对应关系,通过查表得到数据转发的目的地。


1.4NAT技术的缺陷

NAT技术进行私有IP和公网之间的替换,主要就是依赖NAT路由器当中维护的网络地址转换表,但这张转换表也体现出了NAT的一些缺陷:


无法从NAT外部向内部服务器建立连接,因为外部无法知道内部的私网IP,也就无法主动与内部服务器建立连接。


转换表的生成和销毁都需要额外开销。


通信过程中一旦NAT设备异常,即使存在热备,所有的TCP连接也都会断开。





免责申明:

本文转载自网友公开分享,若有侵权,请联系我们删除!


相关文章

MySQL数据库运维篇

MySQL数据库运维篇

一、日志1.1、错误日志它记录了当mysqld启动和停止时,以及服务器在运行过程中发生任何严重错误时的相关信息。当数据库出现任何故障导致无法正常使用时,建议首先查看此日志。该日志是默认开启的,默认存放...

Docker 基础与实战指南(1)

Docker 基础与实战指南(1)

Docker 可以使项目的部署变得简单,大大减少了运维工作量。即便你对 Linux 不熟悉,你也能轻松部署各种常见软件、Java项目。linux 上安装 docker 这里就不进行讲解,我使用的 li...

MyBatisPlus从零到一:快速入门与核心功能详解(3)

MyBatisPlus从零到一:快速入门与核心功能详解(3)

2.3 Service 接口:MybatisPlus 不仅提供了 BaseMapper,还提供了通用的 Service 接口及默认实现,封装了一些常用的 service 模板方法。通用接口为IServ...

CMP?MSP?1+1才能大于2

CMP?MSP?1+1才能大于2

CMP与MSP都已经出现有一段时间了,而业界对于两个名词略有混淆,CMP和MSP到底是什么,能做什么,互相边界是什么,是互补还是互相竞争傻傻分不清楚。笔者试从自己十多年的云计算实践以及对于Gartne...

如何为阿里云服务器配置域名

如何为阿里云服务器配置域名

域名是互联网上的门牌号,它将用户输入的网址转换为服务器的IP地址,从而让用户能够访问到服务器上托管的网站或应用。阿里云作为国内领先的云服务提供商,提供了强大的服务器和域名管理服务。本文将详细介绍如何为...

微服务保护和分布式事务(3)

微服务保护和分布式事务(3)

1.3 请求限流:在簇点链路后面点击流控按钮,即可对其做限流配置:在弹出的菜单中填写:这样就把查询购物车列表这个簇点资源的流量限制在了每秒 6 个,也就是最大 QPS 为 6。1.4 线程隔离:限流可...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。