網(wǎng)絡(luò)地址轉(zhuǎn)換NAT原理及其作用

1 概述

1.1 簡(jiǎn)介

NAT英文全稱是“Network Address Translation”，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個(gè)IETF(Internet Engineering Task Force, Internet工程任務(wù)組)標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP（Internet Protocol）地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。因此我們可以認(rèn)為，NAT在一定程度上，能夠有效的解決公網(wǎng)地址不足的問(wèn)題。

1.2 分類

NAT有三種類型：靜態(tài)NAT(Static NAT)、動(dòng)態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port-Level NAT）。

其中，網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面。NAPT與 動(dòng)態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上，同時(shí)在該地址上加上一個(gè)由NAT設(shè)備選定的端口號(hào)。

NAPT是使用最普遍的一種轉(zhuǎn)換方式，在HomeGW中也主要使用該方式。它又包含兩種轉(zhuǎn)換方式：SNAT和DNAT。

(1)源NAT（Source NAT，SNAT）：修改數(shù)據(jù)包的源地址。源NAT改變第一個(gè)數(shù)據(jù)包的來(lái)源地址，它永遠(yuǎn)會(huì)在數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)之前完成，數(shù)據(jù)包偽裝就是一具SNAT的例子。

(2)目的NAT（Destination NAT，DNAT）：修改數(shù)據(jù)包的目的地址。Destination NAT剛好與SNAT相反，它是改變第一個(gè)數(shù)據(jù)懈的目的地地址，如平衡負(fù)載、端口轉(zhuǎn)發(fā)和透明代理就是屬于DNAT。

我們?cè)跊](méi)有理解NAT原理前當(dāng)然理解不了上面所說(shuō)的功能，我們先看下NAT的原理。

2 原理

2.1 地址轉(zhuǎn)換

NAT的基本工作原理是，當(dāng)私有網(wǎng)主機(jī)和公共網(wǎng)主機(jī)通信的IP包經(jīng)過(guò)NAT網(wǎng)關(guān)時(shí)，將IP包中的源IP或目的IP在私有IP和NAT的公共IP之間進(jìn)行轉(zhuǎn)換。

如下圖所示，NAT網(wǎng)關(guān)有2個(gè)網(wǎng)絡(luò)端口，其中公共網(wǎng)絡(luò)端口的IP地址是統(tǒng)一分配的公共 IP，為202.20.65.5；私有網(wǎng)絡(luò)端口的IP地址是保留地址，為192.168.1.1。私有網(wǎng)中的主機(jī)192.168.1.2向公共網(wǎng)中的主機(jī)202.20.65.4發(fā)送了1個(gè)IP包(Dst=202.20.65.4,Src=192.168.1.2)。

當(dāng)IP包經(jīng)過(guò)NAT網(wǎng)關(guān)時(shí)，NAT Gateway會(huì)將IP包的源IP轉(zhuǎn)換為NAT Gateway的公共IP并轉(zhuǎn)發(fā)到公共網(wǎng)，此時(shí)IP包（Dst=202.20.65.4，Src=202.20.65.5）中已經(jīng)不含任何私有網(wǎng)IP的信息。由于IP包的源IP已經(jīng)被轉(zhuǎn)換成NAT Gateway的公共IP，Web Server發(fā)出的響應(yīng)IP包（Dst= 202.20.65.5,Src=202.20.65.4）將被發(fā)送到NAT Gateway。

這時(shí)，NAT Gateway會(huì)將IP包的目的IP轉(zhuǎn)換成私有網(wǎng)中主機(jī)的IP，然后將IP包（Des=192.168.1.2，Src=202.20.65.4）轉(zhuǎn)發(fā)到私有網(wǎng)。對(duì)于通信雙方而言，這種地址的轉(zhuǎn)換過(guò)程是完全透明的。轉(zhuǎn)換示意圖如下。

如果內(nèi)網(wǎng)主機(jī)發(fā)出的請(qǐng)求包未經(jīng)過(guò)NAT，那么當(dāng)Web Server收到請(qǐng)求包，回復(fù)的響應(yīng)包中的目的地址就是私網(wǎng)IP地址，在Internet上無(wú)法正確送達(dá)，導(dǎo)致連接失敗。

2.2 連接跟蹤

在上述過(guò)程中，NAT Gateway在收到響應(yīng)包后，就需要判斷將數(shù)據(jù)包轉(zhuǎn)發(fā)給誰(shuí)。此時(shí)如果子網(wǎng)內(nèi)僅有少量客戶機(jī)，可以用靜態(tài)NAT手工指定；但如果內(nèi)網(wǎng)有多臺(tái)客戶機(jī)，并且各自訪問(wèn)不同網(wǎng)站，這時(shí)候就需要連接跟蹤（connection track）。如下圖所示：

在NAT Gateway收到客戶機(jī)發(fā)來(lái)的請(qǐng)求包后，做源地址轉(zhuǎn)換，并且將該連接記錄保存下來(lái)，當(dāng)NAT Gateway收到服務(wù)器來(lái)的響應(yīng)包后，查找Track Table，確定轉(zhuǎn)發(fā)目標(biāo)，做目的地址轉(zhuǎn)換，轉(zhuǎn)發(fā)給客戶機(jī)。

2.3 端口轉(zhuǎn)換

以上述客戶機(jī)訪問(wèn)服務(wù)器為例，當(dāng)僅有一臺(tái)客戶機(jī)訪問(wèn)服務(wù)器時(shí)，NAT Gateway只須更改數(shù)據(jù)包的源IP或目的IP即可正常通訊。但是如果Client A和Client B同時(shí)訪問(wèn)Web Server，那么當(dāng)NAT Gateway收到響應(yīng)包的時(shí)候，就無(wú)法判斷將數(shù)據(jù)包轉(zhuǎn)發(fā)給哪臺(tái)客戶機(jī)，如下圖所示。

此時(shí)，NAT Gateway會(huì)在Connection Track中加入端口信息加以區(qū)分。如果兩客戶機(jī)訪問(wèn)同一服務(wù)器的源端口不同，那么在Track Table里加入端口信息即可區(qū)分，如果源端口正好相同，那么在執(zhí)行SNAT和DNAT的同時(shí)對(duì)源端口也要做相應(yīng)的轉(zhuǎn)換，如下圖所示。（這里的理解灰常重要）

現(xiàn)在就可以理解NAT協(xié)議的應(yīng)用了吧。

3.NAT協(xié)議的應(yīng)用

NAT主要可以實(shí)現(xiàn)以下幾個(gè)功能：數(shù)據(jù)包偽裝、平衡負(fù)載、端口轉(zhuǎn)發(fā)和透明代理。

數(shù)據(jù)偽裝: 可以將內(nèi)網(wǎng)數(shù)據(jù)包中的地址信息更改成統(tǒng)一的對(duì)外地址信息，不讓內(nèi)網(wǎng)主機(jī)直接暴露在因特網(wǎng)上，保證內(nèi)網(wǎng)主機(jī)的安全。同時(shí)，該功能也常用來(lái)實(shí)現(xiàn)共享上網(wǎng)。

端口轉(zhuǎn)發(fā): 當(dāng)內(nèi)網(wǎng)主機(jī)對(duì)外提供服務(wù)時(shí)，由于使用的是內(nèi)部私有IP地址，外網(wǎng)無(wú)法直接訪問(wèn)。因此，需要在網(wǎng)關(guān)上進(jìn)行端口轉(zhuǎn)發(fā)，將特定服務(wù)的數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)網(wǎng)主機(jī)。

負(fù)載平衡: 目的地址轉(zhuǎn)換NAT可以重定向一些服務(wù)器的連接到其他隨機(jī)選定的服務(wù)器。

失效終結(jié): 目的地址轉(zhuǎn)換NAT可以用來(lái)提供高可靠性的服務(wù)。如果一個(gè)系統(tǒng)有一臺(tái)通過(guò)路由器訪問(wèn)的關(guān)鍵服務(wù)器，一旦路由器檢測(cè)到該服務(wù)器當(dāng)機(jī)，它可以使用目的地址轉(zhuǎn)換NAT透明的把連接轉(zhuǎn)移到一個(gè)備份服務(wù)器上。

透明代理: NAT可以把連接到因特網(wǎng)的HTTP連接重定向到一個(gè)指定的HTTP代理服務(wù)器以緩存數(shù)據(jù)和過(guò)濾請(qǐng)求。一些因特網(wǎng)服務(wù)提供商就使用這種技術(shù)來(lái)減少帶寬的使用而不用讓他們的客戶配置他們的瀏覽器支持代理連接。

常見(jiàn)NAT代理服務(wù)器

1.HTTP代理

www連接請(qǐng)求就采用的是HTTP協(xié)議，我們?cè)跒g覽網(wǎng)頁(yè)或者下載數(shù)據(jù)時(shí)就采用的是HTTP代理。它通常綁定在代理服務(wù)器的80，3128，8080等端口上。

2.socks代理

采用socks協(xié)議的代理服務(wù)器就是SOCKS服務(wù)器，是一種通用的代理服務(wù)器。Socks是個(gè)電路級(jí)的底層網(wǎng)關(guān)，Socks 不要求應(yīng)用程序遵循特定的操作系統(tǒng)平臺(tái)，Socks 代理與應(yīng)用層代理、HTTP層代理不同，Socks 代理只是簡(jiǎn)單地傳遞數(shù)據(jù)包，而不必關(guān)心是何種應(yīng)用協(xié)議（比如FTP、HTTP和NNTP請(qǐng)求）。所以，Socks代理比其他應(yīng)用層代理要快得多。它通常綁定在代理服務(wù)器的1080端口上。如果您在企業(yè)網(wǎng)或校園網(wǎng)上，需要透過(guò)防火墻或通過(guò)代理服務(wù)器訪問(wèn) Internet就可能需要使用SOCKS。一般情況下，對(duì)于撥號(hào)上網(wǎng)用戶都不需要使用它。注意，瀏覽網(wǎng)頁(yè)時(shí)常用的代理服務(wù)器通常是專門的http代理，它和SOCKS是不同的。因此，您能瀏覽網(wǎng)頁(yè)不等于 您一定可以通過(guò)SOCKS訪問(wèn)Internet。常用的防火墻，或代理軟件都支持SOCKS，但需要其管理員打開(kāi)這一功能。如果您不確信您是否需要SOCKS或是否有SOCKS可用，請(qǐng)與您的網(wǎng)絡(luò)管理員聯(lián)系。為了使用socks，您需要了解一下內(nèi)容：

① SOCKS服務(wù)器的IP地址

② SOCKS服務(wù)所在的端口

③ 這個(gè)SOCKS服務(wù)是否需要用戶認(rèn)證？如果需要，您要向您的網(wǎng)絡(luò)管理員申請(qǐng)一個(gè)用戶和口令

知道了上述信息，您就可以把這些信息填入“網(wǎng)絡(luò)配置”中，或者在第一次登記時(shí)填入，您就可以使用socks代理了。

在實(shí)際應(yīng)用中SOCKS代理可以用作為：電子郵件、新聞組軟件、網(wǎng)絡(luò)傳呼ICQ、網(wǎng)絡(luò)聊天MIRC和使用代理服務(wù)器上聯(lián)眾打游戲等等各種游戲應(yīng)用軟件當(dāng)中。

3.VPN代理

指在共用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。之所以稱為虛擬網(wǎng)主要是因?yàn)檎麄�(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)結(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)建設(shè)所需的點(diǎn)到點(diǎn)的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商ISP所提供的網(wǎng)絡(luò)平臺(tái)之上的邏輯網(wǎng)絡(luò)。

4.反向代理

反向代理服務(wù)器架設(shè)在服務(wù)器端，通過(guò)緩沖經(jīng)常被請(qǐng)求的頁(yè)面來(lái)緩解服務(wù)器的工作量。 安裝反向代理服務(wù)器有幾個(gè)原因:

加密和SSL加速

負(fù)載平衡

緩存靜態(tài)內(nèi)容

壓縮 減速上傳

安全 外網(wǎng)發(fā)布

大多使用開(kāi)放源代代碼的squid做反向代理

5.FTP代理

能夠代理客戶機(jī)上的FTP軟件訪問(wèn)FTP服務(wù)器

6.RTSP代理

代理客戶機(jī)上的Realplayer訪問(wèn)Real流媒體服務(wù)器

7.POP3代理

代理客戶機(jī)上的郵件軟件用POP3方式收發(fā)郵件

本文鏈接：http://m.51huadong.com/cloundnews/11006843.html