网络基础 – NAT网络地址转换

网络地址翻译:NAT

• NAT是“网络地址转换”,是一个IP地址耗尽的快速修补方案,它允许一个整体机构以一个公用IP地址出现在Internet上。

• 当内网需要和外网通信的时候,NAT完成私人地址转换成合法的IP地址,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术

• NAT转换器能够维护一个地址转换表,以便回来的分组能够找到它的出处,当回来的分组到达NAT转化器的时候,它查找地址转换表以获得目标机的私人地址,并转换地址之后发往目标机

简单地说,NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通讯时,就在网关(可以理解为出口,打个比方就像院子的门一样)处,将内部地址替换成公用地址。

为什么提出NAT?

• IPv4总地址池已于2019年枯竭

• 然而每个上网设备都需要上网资源,包括IPv4地址

名词解释

公有IP地址:也叫全局地址,是指合法的IP地址,它是由NIC(网络信息中心)或者ISP(网络服务提供商)分配的地址,对外代表一个或多个内部局部地址,是全球统一的可寻 址的地址。

私有IP地址:也叫内部地址,属于非注册地址,专门为组织机构内部使用。因特网分配编号委员会(IANA)保留了3块IP地址做为私有IP

地址池:地址池是有一些外部地址(全球唯一的IP地址)组合而成,我们称这样的一个地址集合为地址池。

在内部网络的数据包通过地址转换到达外部网络时,将会在地址池中选择某个IP地址作为数据包的源IP地址,这样可以有效的利用用户的外部地址,提高访问外部网络的能力。

NAT工作原理

NAT的基本工作原理是,当私有网主机和公共网主机通信的IP包经过NAT网关时,将IP包中的源IP或目的IP在私有IP和NAT的公共IP之间进行转换。

如下图所示,NAT网关有2个网络端口,其中公共网络端口的IP地址是统一分配的公共 IP,为202.20.65.5;私有网络端口的IP地址是保留地址为192.168.1.1。私有网中的主机192.168.1.2向公共网中的主机202.20.65.4发送了1个IP包(Dst=202.20.65.4,Src=192.168.1.2)。

NAT的缺陷
NAT在最开始的时候是非常完美的,但随着网络的发展,各种新的应用层出不穷,此时NAT也暴露出了缺点。NAT的缺陷主要表现在以下几方面:

(1) 不能处理嵌入式IP地址或端口
NAT设备不能翻译那些嵌入到应用数据部分的IP地址或端口信息,它只能翻译那种正常位于IP首部中的地址信息和位于TCP/UDP首部中的端口信息

(2) 不能从公网访问内部网络服务
由于内网是私有IP,所以不能直接从公网访问内部网络服务

(3) 有一些应用程序虽然是用A端口发送数据的,但却要用B端口进行接收,不过NAT设备翻译时却不知道这一点,它仍然建立一条针对A端口的映射,结果对方响应的数据要传给B端口时,NAT设备却找不到相关映射条目而会丢弃数据包。

NAT分为静态NAT,动态NAT,和PAT
1、静态NAT:就是私有ip和公网ip一对一的映射,端口号不变化,一般用于局域网上网。

2、动态NAT:就是多个私有ip和多个公网ip(地址池)多对多的映射,端口号不变化,当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。 

3、PAT:指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的***。因此,目前网络中应用最多的就是端口多路复用方式。

PAT和nginx反向代理实现的效果是一样的。

总结:
NAT技术无可否认是在ipv4地址资源的短缺时候起到了缓解作用;
但是在ipv4地址在以后几年将会枯竭,NAT技术不能改变ip地址空间不足的本质(IPV4地址已经枯竭)。
然而在安全机制上也潜在着威胁,在配置和管理上也是一个挑战。
如果要从根本上解决ip地址资源的问题,ipv6才是最根本之路。
在ipv4转换到ipv6的过程中,NAT技术确实是一个不错的选择,相对其他的方案优势也非常明显。

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发