NAT技术
产生背景
- IPv4地址日渐枯竭
- IPv6技术不能立即大面积替换
- 各种延长IPv4寿命的技术不断出现,NAT就是其中之一
NAT优点:
- 实现IP地址复用,节约宝贵的地址资源
- 地址转换过程对用户透明
- 对内网用户提供隐私保护
- 可实现对内部服务器的负载均衡
NAT缺点:
- 网络监控难度加大
- 限制某些具体应用
基本原理
NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使大量的私网IP地址通过共享少量的公网IP地址来访问公网。
不仅可转换地址,还可转换端口
NAT分类
源NAT:私→公
地址池方式、出接口地址方式
服务器映射:公→私
静态映射(公网地址和私网地址一对一进行映射)
NAT转换方式
不带端口转换
不带端口转换的地址池方式通过配置NAT地址池来实现,NAT地址池中可以包含多个公网地址。
转换时只转换地址,不转换端口,实现私网地址到公网地址一对一的转换。
带端口转换
可以实现多个私网用户共同使用一个公网IP地址上网
出接口地址方式(Easy IP)
即直接使用接口的公网地址作为转换后的地址,不需要配置NAT地址池。
NAT ALG
可以完成应用层数据中携带的地址及端口号信息的转换。
实现原理:
①私网主机和公网FTP服务器之间通过TCP三次握手成功建立控制连接。
②控制连接建立后,私网主机向FTP服务器发送PORT报文,报文中携带私网主机指定的数据连接的目的地址和端口,用于通知服务器使用该地址和端口和自己进行数据连接。
③PORT报文在经过支持ALG特性的NAT设备时,报文载荷中的私网地址和端口会被转换成对应的公网地址和端口。即设备将收到的PORT报文载荷中的私网地址192.168.1.2转换成公网地址8.8.8.11,端口1084转换成12487。
④公网的FTP服务器收到PORT报文后,解析其内容,并向私网主机发起数据连接,该数据连接的目的地址为8.8.8.11,目的端口为12487(注意:一般情况下,该报文源端口为20,但由于FTP协议没有严格规定,有的服务器发出的数据连接源端口为大于1024的随机端口,如本例采用的是wftpd服务器,采用的源端口为3004)。由于该目的地址是一个公网地址,因此后续的数据连接就能够成功建立,从而实现私网主机对公网服务器的访问。
NAT Server - 内部服务器
外部用户访问内部服务器时,有如下两部分操作:
防火墙将外部用户的请求报文的目的地址转换成内部服务器的私有地址。
防火墙将内部服务器的回应报文的源地址(私网地址)转换成公网地址。
NAT Server与Server Map表
配置NAT Server时,设备会自动生成Server-map表项,用于存放Global地址与Inside地址的映射关系。
域间双向NAT
为了简化配置服务器至公网的路由,可在NAT Server基础上,增加源NAT配置。
域内双向NAT
域内NAT是指当内网用户和服务器部署在同一安全区域的情况下,仍然希望内网用户只能通过访问服务器的公网地址的场景。在实现域内NAT过程中,既要将访问内部服务器的报文的目的地址由公网地址转换为私网地址,又需要将源地址由私网地址转换为公网地址。
防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址,源地址转换成用户对外公布的IP地址。
防火墙将FTP服务器回应报文的源地址转换成对外公布的地址,目的地址转换成用户的内网IP地址。
总结
NAT技术原理
NAT应用方式
NAT应用场景
持续更新…