NAT原理应用精华
WHY
IPv4地址短缺,IP地址设计之初的不合理导致
WHAT
优点:
实现IP地址复用,节约宝贵的地址资源;
地址转换过程对用户透明;
对内网用户提供隐私保护;
可实现对内部服务器的负载均衡-------多个内部服务器可以映射同一个公网IP;
缺点:
网络监控难度加大--------内网用户过多,然后使用的公网地址一样,监控难度就变大了;
限制某些具体应用-------要对IP地址转换,涉及到的IP地址的数据报文头部就不能去加密;
NAT分类
Basic NAT:一对一地址映射,在地址池配置多个公网地址,然后进行静态映射-----内网用户多的时候,相对
来说还是没有解决地址短缺的问题,而且,地址池设置过大浪费资源,过小部分用户上不了网;
NAPT:地址端口映射,躲过用户会用地址池中一个公网的地址的不同端口进行地址转换;
Easy IP:跟NAPT一样,但是不用配置地址池,直接用出接口的地址做转换,是NAPT的一种特例,适用拨号接
入Internet或动态获取IP地址;
NAT Server:用公网地址或公网地址加端口号专门作为内部服务器的地址转换;
NAT ALG:有的时候,应用层协议的IP地址和端口号会封装在应用层,而普通的NAT只能拆除IP头部和
TCP/UDP头部,用ALG技术就对应用层报文信息进行地址解析和地址转换;
注:NO-PAT是指,不做端口映射,只做IP地址映射
HOW
NAT是一种地址转换技术,可以将IPv4报文头中的地址做转换。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,实现了内网设备与公网设备的互访
域间双向转换:Server NAT + NAPT
1.用户2.2.2.5想服务器发送一个报文,他首先到达防火墙的20.1.5公网地址;
问题:这个时候如果没有配置公网地址转换为私网地址,会怎么样,防火墙会
把这个2.2.2.5的报文直接转发给内网服务器,而服务器收到这个报文
要给用户回复一个报文的时候,会发送一个目的地址为2.2.2.5的报文,这个时候就会要求
目的地址到这个防火墙之间要全部有2.2.2.5的路由,这样就会浪费路由表资源,外网用户
访问数量一多,就会造成网络动荡,这个时候就会用域间双向地址转换
2.在公网地址进入私网的时候做NAPT转换,将公网地址转换为私网地址;
域内地址转换:Server NAT + NAPT
- 内部用户通过公网服务器,比如百度内部内部员工访问百度网站的时候,经过DNS解析得到服务器的公网地址,内部用户发送一个168.1.5为源地址的目的地址是202.1.1的报文
问题:如果直接发送给防火墙,防火墙会直接把这个源地址168.1.5的报文发送给服务器,服务器收到
后,发现这个源地址168.1.5是同一网段,他就不会经过外网,直接进行内部转发,当内部用户
收到这个数据报文的时候发现,目的地址是168.1.1服务器,这个跟发出去的报文信息不匹配
这样肯定是不行的
- 这个时候就需要给服务器和用户同时配置公网地址
WHERE
经常用在防火墙上,在私网访问外网或者外网访问私网的时候
隐私内网网络结构,防止外部攻击源对内部服务器的攻击行为