你了解你每天都在用的NAT吗？

NAT网络地址转换

概述

NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。NAT 可以让那些使用私有地址的内部网络连接到Internet或其它IP网络上，这个过程对用户来说是透明的。NAT路由器在将内部网络的数据包发送到公用网络时，在IP包的报头把私有地址转换成合法的IP地址。因此我们可以认为，NAT在一定程度上能够有效的解决公网地址不足的问题。

分类

在这里插入图片描述

NAT有三种类型：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（Network Address Port Translation）（Port-Level NAT）。

静态NAT( Static NAT )

通过手动设置，使 Internet 客户进行的通信能够映射到某个特定的私有网络地址和端口。如果想让连接在 Internet 上的计算机能够使用某个私有网络上的服务器以及应用程序，那么静态映射是必需的。

静态 NAT ( Static NAT )（一对一）。将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一直不变的，静态映射不会从 NAT 转换表中删除。

在这里插入图片描述

动态地址 NAT ( Pooled NAT )

动态地址 NAT将内部网络的私有 IP 地址转换为公用 IP 地址时，IP 地址是不确定，随机的。所有被授权访问 Internet 的私有 IP 地址可随机转换为任何指定合法的 IP 地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态 NAT 转换。动态 NAT 是在路由器上配置一个外网 IP 地址池，当内部有计算机需要和外部通信时，就从地址池里动态的取出一个外网 IP，并将他们的对应关系绑定到 NAT 表中，通信结束后，这个外网 IP 才被释放，可供其他内部 IP 地址转换使用，这个 DHCP 租约 IP 有相似之处。当 ISP 提供的合法 IP 地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

动态NAT方式中，内网主机IP与全局IP地址是多对一的关系。当数据包进出内网时，具有NAT功能的设备对IP数据包的处理与静态NAT的一样，只是NAT table表中的记录是动态的，若内网主机在一定时间内没有和外部网络通信，有关它的IP地址映射关系将会被删除，并且会把该全局IP地址分配给新的IP数据包使用，形成新的NAT table映射记录。

在这里插入图片描述

网络地址端口转换 NAPT（Network Address Port Translation）（Port-Level NAT）

网络地址端口转换NAPT（Network Address Port Translation）则是把内部地址映射到外部网络的一个IP地址的不同端口上。它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的端口号。

NAPT是使用最普遍的一种转换方式，它又包含两种转换方式：SNAT和DNAT。

SNAT和DNAT是针对内部网络而言的，可以理解为数据包以内网IP作为源的时候进行的源地址转换叫SNAT，数据包以内网IP作为目的的时候进行的目的地址转换叫DNAT。

源NAT（Source NAT，SNAT）

SNAT是修改数据包的源地址。源NAT改变第一个数据包的来源地址，它永远会在数据包发送到网络之前完成，数据包伪装就是一具SNAT的例子。

SNAT举例

对于内网的主机数量比较多，但是该组织只有一个合法的IP地址，如当内网主机（10.1.1.3）往外发送数据包时，则需要修改数据包的IP地址和TCP/UDP端口号，例如将

在这里插入图片描述

这样，通过修改IP地址和端口的方法就可以使内网中所有的主机都能访问外网，此类NAT适用于组织或机构内只有一个合法的IP地址的情况，也是动态NAT的一种特例。客户端172.18.250.6和百度服务器202.108.22.5通信，172.18.250.6发送数据时，先转换为219.155.6.240:1723（任意>1024的随机端口），然后再利用这个身份发送数据给百度服务器，然后百度服务器回应数据并发送给219.155.6.240:1723，NAT网关检查自己的关联表，意识到这是自己地私网中172.18.250.6的数据包，然后把这个数据发送给客户端

也就是说，我们利用端口号的唯一性实现了公网ip转换为私网ip的这一步。PAT（NAT重载）能够使用传输层端口号来标识主机，因此，从理论上说，最多可让大约65000台主机共用一个公有IP地址

目的NAT（Destination NAT，DNAT）

DNAT是修改数据包的目的地址。Destination NAT刚好与SNAT相反，它是改变第一个数据包的目的地地址，如平衡负载、端口转发和透明代理就是属于DNAT。

DNAT举例

在这里插入图片描述
这种方式适用于内网的某些服务器需要为外网提供某些服务的情况。例如以上拓扑结构，内网服务器群（ip地址分别为：10.1.1.1,10.1.1.2,10.1.1.3等）需要为外网提供WEB 服务，当外网主机HostB访问内网时，所发送的数据包的目的IP地址为10.1.1.127，端口号为：80，当该数据包到达内网连接的路由器时，路由器查找NAT table，路由器通过修改目的IP地址和端口号，将外网的数据包平均发送到不同的主机上（10.1.1.1,10.1.1.2,10.1.1.3等），这样就实现了负载均衡。

NAT工作原理

NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这意味着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。在运行NAT的路由器中，当数据包被传送时，NAT可以转换数据包的IP地址和TCP/UDP数据包的端口号。设置NAT功能的路由器至少要有一个Inside（内部）端口和一个Outside（外部）端口。内部端口连接内网的用户，外部端口一般连接到Internet。当IP数据包离开内部网络时，NAT负责将内网IP源地址（通常是专用地址）转换为合法的公共IP地址。当IP数据包进入内网时，NAT将合法的公共IP目的地址转换为内网的IP源地址。

NAT的基本工作原理是：当私有网主机和公共网主机通信的IP包经过NAT网关时，将IP包中的源IP或目的IP在私有IP和NAT的公共IP之间进行转换。

其实主要就是修改 IP 数据包中的源 IP 地址，或目的 IP 地址。主要目的是把 RFC1918所提议的私有地址转变成在 Internet 上可路由的公有合法地址。对于某些有限的应用（如 DNS、 FTP 等），它也可以修改 IP 数据包有效载荷中的地址。由于应用的复杂性， NAT 目前支持的应用有限，当然，如果需要，完全可以针对新的应用做相应的开发工作。

NAT地址转换过程

在NAT路由器接收到来自内部网络主机发送的数据包时（发），其源IP地址（SA）为“内部本地地址”，目的IP地址（DA）为“外部本地地址”。当数据包被转发到外部网络时，数据包的源IP地址（SA）就会转变为“内部全局地址”，而目的IP地址（DA）被转变为“外部全局地址”。也就是把数据包的所有源IP地址（SA）和目的IP地址（DA）全部由本地地址转换为全局地址。如图6-9上部分数据包IP地址转换示意图。

在NAT路由器接收到来自外部网络主机发送的数据包时（收），其源IP地址（SA）就是“外部全局地址”，目的IP地址（DA）就是“内部全局地址”。相当于由内部网络向外部网络发送数据包时数据包中的源IP地址（SA）和目的IP地址（DA）的互换。而当数据包被路由器转发到本地网络时，源IP地址（SA）被转变为“外部本地地址”，目的IP地址（DA）被转变为“内部本地地址”，也相当于由内部网络向外部网络发送数据包时数据包中的源IP地址（SA）和目的IP地址（DA）的互换。

在这里插入图片描述

NAT基本IP地址转换原理

以上是从总体上介绍NAT的IP地址转换原理的，实际NAT应用有时并不需要对源IP地址和IP地址进行全面替换，仅需要对源IP地址或者仅需要对目的IP地址进行转换即可达到所需的目的。下面予以介绍。

内部地址NAT即将数据包内网IP部分的地址进行转换，外部地址NAT就是将数据包外网IP部分的地址进行转换（不论它是源还是目的地址）。

内部地址NAT转换实例

多数情况下使用NAT的目的就是为了使内部网络中的多个用户能使用一个注册IP地址访问外部网络，所以仅需要配置内部地址NAT转换。

这是一个简单的NAT转换示例。要实现以下目的：当NAT路由器的内部网络s0接口上接收到一个源地址为内部本地地址10.10.10.1，目的IP地址为外部本地地址171.16.68.1的数据包时，在转发到s1接口时，原来数据包源地址的内部本地地址10.10.10.1被转换成内部全局地址171.16.68.5，但目的地址不变，然后继续发送。在这个过程中，所进行的只是数据包中源IP地址的转换，由内部本地地址向内部全局地址转换，且只是内部地址之间的转换。

相反，当在NAT路由器的外部网络接口s1上接收源地址为172.16.68.1外部本地地址，目的地址为内部全局地址172.16.68.5的外部服务器响应数据包时，目的地址将被转换成10.10.10.1这个内部本地地址，然后继续发送。在这个过程中，所进行的只是数据包中目的IP地址的转换，由内部全局地址向内部本地地址转换，也只是内部地址之间的转换。
在这里插入图片描述

外部地址NAT转换实例

当公司服务器位于内部网络，使用内部网络私有IP地址，为了方便外部网络用户对内部网络服务器进行访问，则需要“外部全局地址”与“外部本地地址”之间的转换。

下面同样以上面那个简单的NAT转换示例进行介绍。本示例要实现的目的是：当NAT路由器外部网络接口s1接收到来自外部网络用户发送的源IP地址为外部全局地址171.16.68.1，目的地址为内部本地地址10.10.10.1的数据包在被路由器转发到s0接口时，数据包中的源IP地址转变为外部本地地址10.10.10.5（即由外部全局地址转换成外部本地地址），目的IP地址不变，即也只是源IP地址的转换；而由内部网络用户发送的响应数据包中，却只是目的IP地址（即由外部本地地址转换为外部全局地址）的转换，源IP地址不变。

在这里插入图片描述

NAT的应用

NAT主要可以实现以下几个功能：数据包伪装、平衡负载、端口转发和透明代理。

数据伪装：可以将内网数据包中的地址信息更改成统一的对外地址信息，不让内网主机直接暴露在因特网上，保证内网主机的安全。同时，该功能也常用来实现共享上网。例如，内网主机访问外网时，为了隐藏内网拓扑结构，使用全局地址替换私有地址。
端口转发：当内网主机对外提供服务时，由于使用的是内部私有IP地址，外网无法直接访问。因此，需要在网关上进行端口转发，将特定服务的数据包转发给内网主机。
负载平衡：目的地址转换NAT可以重定向一些服务器的连接到其他随机选定的服务器。
失效终结：目的地址转换NAT可以用来提供高可靠性的服务。如果一个系统有一台通过路由器访问的关键服务器，一旦路由器检测到该服务器down机，它可以使用目的地址转换NAT透明的把连接转移到一个备份服务器上，提高系统的可靠性。
透明代理：NAT可以把连接到因特网的HTTP连接重定向到一个指定的HTTP代理服务器以缓存数据和过滤请求。一些因特网服务提供商就使用这种技术来减少带宽的使用而不用让他们的客户配置他们的浏览器支持代理连接。

NAT技术的优缺点

优点

节省合法的公有ip地址
地址重叠时，提供解决办法
网络发生变化时，避免重新编址（这个问题具有亲身体会，原本所在的实习单位搬迁，我们搬到了新的住处，网络环境发生了一些变化，但是由于nat技术的特点，我们局域网的地址并没有发生改变，我们依然使用着最初的编址方案）

NAT对我们来说最大的贡献就是帮助我们节省了大量的ip资源。

IP的端到端通信

IP协议的一个重要贡献是把世界变得平等。在理论上，具有IP地址的每个站点在协议层面有相当的获取服务和提供服务的能力，不同的IP地址之间没有差异。人们熟知的服务器和客户机实际是在应用协议层上的角色区分，而在网络层和传输层没有差异。一个具有IP地址的主机既可以是客户机，也可以是服务器，大部分情况下，既是客户机，也是服务器。端到端对等看起来是很平常的事情，而意义并不寻常。但在以往的技术中，很多协议体系下的网络限定了终端的能力。正是IP的这个开放性，使得TCP/IP协议族可以提供丰富的功能，为应用实现提供了广阔平台。因为所有的IP主机都可以服务器的形式出现，所以通讯设计可以更加灵活。使用UNIX/LINUX的系统充分利用了这个特性，使得任何一个主机都可以建立自己的HTTP、SMTP、POP3、DNS、DHCP等服务。与此同时，很多应用也是把客户端和服务器的角色组合起来完成功能。例如在VoIP应用中，用户端向注册服务器登录自己的IP地址和端口信息过程中，主机是客户端；而在呼叫到达时，呼叫处理服务器向用户端发送呼叫请求时，用户端实际工作在服务器模式下。在语音媒体流信道建立过程后，通讯双向发送语音数据，发送端是客户模式，接收端是服务器模式。而在P2P的应用中，一个用户的主机既为下载的客户，同时也向其他客户提供数据，是一种C/S混合的模型。上层应用之所以能这样设计，是因为IP协议栈定义了这样的能力。试想一下，如果IP提供的能力不对等，那么每个通信会话都只能是单方向发起的，这会极大限制通信的能力。细心的读者会发现，前面介绍NAT的一个特性正是这样一种限制。没错，NAT最大的弊端正在于此——破坏了IP端到端通信的能力。

NAT的弊端

首先，NAT使IP会话的保持时效变短。因为一个会话建立后会在NAT设备上建立一个关联表，在会话静默的这段时间，NAT网关会进行老化操作。这是任何一个NAT网关必须做的事情，因为IP和端口资源有限，通信的需求无限，所以必须在会话结束后回收资源。通常TCP会话通过协商的方式主动关闭连接，NAT网关可以跟踪这些报文，但总是存在例外的情况，要依赖自己的定时器去回收资源。而基于UDP的通信协议很难确定何时通信结束，所以NAT网关主要依赖超时机制回收外部端口。通过定时器老化回收会带来一个问题，如果应用需要维持连接的时间大于NAT网关的设置，通信就会意外中断。因为网关回收相关转换表资源以后，新的数据到达时就找不到相关的转换信息，必须建立新的连接。当这个新数据是由公网侧向私网侧发送时，就会发生无法触发新连接建立，也不能通知到私网侧的主机去重建连接的情况。这时候通信就会中断，不能自动恢复。即使新数据是从私网侧发向公网侧，因为重建的会话表往往使用不同于之前的公网IP和端口地址，公网侧主机也无法对应到之前的通信上，导致用户可感知的连接中断。NAT网关要把回收空闲连接的时间设置到不发生持续的资源流失，又维持大部分连接不被意外中断，是一件比较有难度的事情。在NAT已经普及化的时代，很多应用协议的设计者已经考虑到了这种情况，所以一般会设置一个连接保活的机制，即在一段时间没有数据需要发送时，主动发送一个NAT能感知到而又没有实际数据的保活消息，这么做的主要目的就是重置NAT的会话定时器。
其次，NAT在实现上将多个内部主机发出的连接复用到一个IP上，这就使依赖IP进行主机跟踪的机制都失效了。如网络管理中需要的基于网络流量分析的应用无法跟踪到终端用户与流量的具体行为的关系。基于用户行为的日志分析也变得困难，因为一个IP被很多用户共享，如果存在恶意的用户行为，很难定位到发起连接的那个主机。即便有一些机制提供了在NAT网关上进行连接跟踪的方法，但是把这种变换关系接续起来也困难重重。基于IP的用户授权不再可靠，因为拥有一个IP的不等于一个用户或主机。一个服务器也不能简单把同一IP的访问视作同一主机发起的，不能进行关联。有些服务器设置有连接限制，同一时刻只接纳来自一个IP的有限访问(有时是仅一个访问)，这会造成不同用户之间的服务抢占和排队。有时服务器端这样做是出于DOS攻击防护的考虑，因为一个用户正常情况下不应该建立大量的连接请求，过度使用服务资源被理解为攻击行为。但是这在NAT存在时不能简单按照连接数判断。

总之，缺点大概如下：

破坏了端对端通信的平等性
应用需要维持连接的时间大于NAT网关的设置，通信就会意外中断
无法进行端到端的ip跟踪