NAT简介
NAT技术的工作原理和特点
NAT的转换示意
我们一般使用私网ip作为局域网内部的主机标识,使用公网ip作为互联网上通信的标识。
在整个NAT的转换中,最关键的流程有以下几点
网络被分为私网和公网两个部分,NAT网关设置在私网到公网的路由出口位置,双向流量必须都要经过NAT网关
网络访问只能先由私网侧发起,公网无法主动访问私网主机;
NAT网关的存在对通信双方是保持透明的;
NAT网关为了实现双向翻译的功能,需要维护一张关联表,把会话的信息保存下来。
NAT实现方式
静态转换
动态转换
多路复用(PAT)
图中例子,客户端172.18.250.6和百度服务器202.108.22.5通信,172.18.250.6发送数据时,先转换为219.155.6.240:1723(任意>1024的随机端口),然后再利用这个身份发送数据给百度服务器,然后百度服务器回应数据并发送给219.155.6.240:1723,NAT网关检查自己的关联表,意识到这是自己地私网中172.18.250.6的数据包,然后把这个数据发送给客户端
NAT技术的优缺点
优点
NAT对我们来说最大的贡献就是帮助我们节省了大量的ip资源
缺点
破坏了IP端到端通信的能力,很多应用层协议无法识别(比如ftp协议 )
NAT使IP会话的保持时效变短。
无法进行端到端的ip跟踪(破坏了端对端通信的平等性)
NAT在实现上将多个内部主机发出的连接复用到一个IP上,这就使依赖IP进行主机跟踪的机制都失效了。如网络管理中需要的基于网络流量分析的应用无法跟踪到终端用户与流量的具体行为的关系。基于用户行为的日志分析也变得困难,因为一个IP被很多用户共享,如果存在恶意的用户行为,很难定位到发起连接的那个主机。即便有一些机制提供了在NAT网关上进行连接跟踪的方法,但是把这种变换关系接续起来也困难重重。基于IP的用户授权不再可靠,因为拥有一个IP的不等于一个用户或主机。一个服务器也不能简单把同一IP的访问视作同一主机发起的,不能进行关联。有些服务器设置有连接限制,同一时刻只接纳来自一个IP的有限访问(有时是仅一个访问),这会造成不同用户之间的服务抢占和排队。有时服务器端这样做是出于DOS攻击防护的考虑,因为一个用户正常情况下不应该建立大量的连接请求,过度使用服务资源被理解为攻击行为。但是这在NAT存在时不能简单按照连接数判断。
ALG(Application Level Gateway),即应用程序级网关技术
概念
应用
图中私网侧的主机要访问公网的FTP服务器。
(1) 私网主机和公网FTP服务器之间通过TCP三次握手成功建立控制连接。
NAT技术的未来
