網(wǎng)絡(luò)運(yùn)維|關(guān)于AP有關(guān)的介紹

2020-04-15 18:08 作者：艾銻無(wú)限 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運(yùn)維工程師，今天跟大家分享一個(gè)日常網(wǎng)絡(luò)運(yùn)維一個(gè)很重要的網(wǎng)絡(luò)協(xié)議NAT的簡(jiǎn)單介紹。

NAT簡(jiǎn)介

定義

網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（Network Address Translation）是將IP數(shù)據(jù)報(bào)文頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過(guò)程。

目的

隨著Internet的發(fā)展和網(wǎng)絡(luò)應(yīng)用的增多，IPv4地址枯竭已成為制約網(wǎng)絡(luò)發(fā)展的瓶頸。盡管IPv6可以從根本上解決IPv4地址空間不足問(wèn)題，但目前眾多網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用大多是基于IPv4的，因此在IPv6廣泛應(yīng)用之前，一些過(guò)渡技術(shù)（如CIDR、私網(wǎng)地址等）的使用是解決這個(gè)問(wèn)題最主要的技術(shù)手段。NAT主要用于實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)（簡(jiǎn)稱內(nèi)網(wǎng)，使用私有IP地址）訪問(wèn)外部網(wǎng)絡(luò)（簡(jiǎn)稱外網(wǎng)，使用公有IP地址）的功能。當(dāng)內(nèi)網(wǎng)的主機(jī)要訪問(wèn)外網(wǎng)時(shí)，通過(guò)NAT技術(shù)可以將其私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，可以實(shí)現(xiàn)多個(gè)私網(wǎng)用戶共用一個(gè)公網(wǎng)地址來(lái)訪問(wèn)外部網(wǎng)絡(luò)，這樣既可保證網(wǎng)絡(luò)互通，又節(jié)省了公網(wǎng)地址。

受益

作為減緩IP地址枯竭的一種過(guò)渡方案，NAT通過(guò)地址重用的方法來(lái)滿足IP地址的需要，可以在一定程度上緩解IP地址空間枯竭的壓力。NAT除了解決IP地址短缺的問(wèn)題，還帶來(lái)了兩個(gè)好處：

• 有效避免來(lái)自外網(wǎng)的攻擊，可以很大程度上提高網(wǎng)絡(luò)安全性。
• 控制內(nèi)網(wǎng)主機(jī)訪問(wèn)外網(wǎng)，同時(shí)也可以控制外網(wǎng)主機(jī)訪問(wèn)內(nèi)網(wǎng)，解決了內(nèi)網(wǎng)和外網(wǎng)不能互通的問(wèn)題。

NAT概述

NAT是將IP數(shù)據(jù)報(bào)文頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過(guò)程，主要用于實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)（私有IP地址）訪問(wèn)外部網(wǎng)絡(luò)（公有IP地址）的功能。Basic NAT是實(shí)現(xiàn)一對(duì)一的IP地址轉(zhuǎn)換，而NAPT可以實(shí)現(xiàn)多個(gè)私有IP地址映射到同一個(gè)公有IP地址上。

Basic NAT

Basic NAT方式屬于一對(duì)一的地址轉(zhuǎn)換，在這種方式下只轉(zhuǎn)換IP地址，而不處理TCP/UDP協(xié)議的端口號(hào)，一個(gè)公網(wǎng)IP地址不能同時(shí)被多個(gè)私網(wǎng)用戶使用。
 Basic NAT示意圖  下圖描述了Basic NAT的基本原理，實(shí)現(xiàn)過(guò)程如下：

1. Router收到內(nèi)網(wǎng)側(cè)Host發(fā)送的訪問(wèn)公網(wǎng)側(cè)Server的報(bào)文，其源IP地址為10.1.1.100。
2. Router從地址池中選取一個(gè)空閑的公網(wǎng)IP地址，建立與內(nèi)網(wǎng)側(cè)報(bào)文源IP地址間的NAT轉(zhuǎn)換表項(xiàng)（正反向），并依據(jù)查找正向NAT表項(xiàng)的結(jié)果將報(bào)文轉(zhuǎn)換后向公網(wǎng)側(cè)發(fā)送，其源IP地址是1.1.1.1，目的IP地址是2.2.2.2。
3. Router收到公網(wǎng)側(cè)的回應(yīng)報(bào)文后，根據(jù)其目的IP地址查找反向NAT表項(xiàng)，并依據(jù)查表結(jié)果將報(bào)文轉(zhuǎn)換后向私網(wǎng)側(cè)發(fā)送，其源IP地址是2.2.2.2，目的IP地址是10.1.1.100。

NAT實(shí)現(xiàn)

Basic NAT和NAPT是私網(wǎng)IP地址通過(guò)NAT設(shè)備轉(zhuǎn)換成公網(wǎng)IP地址的過(guò)程，分別實(shí)現(xiàn)一對(duì)一和多對(duì)一的地址轉(zhuǎn)換功能。在現(xiàn)網(wǎng)環(huán)境下，NAT功能的實(shí)現(xiàn)還得依據(jù)Basic NAT和NAPT的原理，NAT實(shí)現(xiàn)主要包括：Easy IP、地址池NAT、NAT Server和靜態(tài)NAT/NAPT。
地址池NAT和Easy IP類似，此處只介紹Easy IP，關(guān)于地址池NAT相關(guān)內(nèi)容請(qǐng)參見(jiàn)NAT概述中的NAPT。

Easy IP

Easy IP方式可以利用訪問(wèn)控制列表來(lái)控制哪些內(nèi)部地址可以進(jìn)行地址轉(zhuǎn)換。
Easy IP方式特別適合小型局域網(wǎng)訪問(wèn)Internet的情況。這里的小型局域網(wǎng)主要指中小型網(wǎng)吧、小型辦公室等環(huán)境，一般具有以下特點(diǎn)：內(nèi)部主機(jī)較少、出接口通過(guò)撥號(hào)方式獲得臨時(shí)公網(wǎng)IP地址以供內(nèi)部主機(jī)訪問(wèn)Internet。對(duì)于這種情況，可以使用Easy IP方式使局域網(wǎng)用戶都通過(guò)這個(gè)IP地址接入Internet。
  Easy IP示意圖  如下圖所示，Easy IP方式的處理過(guò)程如下：

1. Router收到內(nèi)網(wǎng)側(cè)主機(jī)發(fā)送的訪問(wèn)公網(wǎng)側(cè)服務(wù)器的報(bào)文。
2. Router利用公網(wǎng)側(cè)接口的“公網(wǎng)IP地址＋端口號(hào)”，建立與內(nèi)網(wǎng)側(cè)報(bào)文“源IP地址＋源端口號(hào)”間的Easy IP轉(zhuǎn)換表項(xiàng)（正反向），并依據(jù)查找正向Easy IP表項(xiàng)的結(jié)果將報(bào)文轉(zhuǎn)換后向公網(wǎng)側(cè)發(fā)送。
3. Router收到公網(wǎng)側(cè)的回應(yīng)報(bào)文后，根據(jù)其“目的IP地址＋目的端口號(hào)”查找反向Easy IP表項(xiàng)，并依據(jù)查表結(jié)果將報(bào)文轉(zhuǎn)換后向內(nèi)網(wǎng)側(cè)發(fā)送。

NAT Server

NAT具有“屏蔽”內(nèi)部主機(jī)的作用，但有時(shí)內(nèi)網(wǎng)需要向外網(wǎng)提供服務(wù)，比如提供WWW服務(wù)或者FTP服務(wù)。這種情況下需要內(nèi)網(wǎng)的服務(wù)器不被“屏蔽”，外網(wǎng)用戶可以隨時(shí)訪問(wèn)內(nèi)網(wǎng)服務(wù)器。
NAT Server可以很好地解決這個(gè)問(wèn)題，當(dāng)外網(wǎng)用戶訪問(wèn)內(nèi)網(wǎng)服務(wù)器時(shí)，它通過(guò)事先配置好的“公網(wǎng)IP地址+端口號(hào)”與“私網(wǎng)IP地址+端口號(hào)”間的映射關(guān)系，將服務(wù)器的“公網(wǎng)IP地址+端口號(hào)”根據(jù)映射關(guān)系替換成對(duì)應(yīng)的“私網(wǎng)IP地址+端口號(hào)”。
NAT Server實(shí)現(xiàn)原理圖  如下圖所示，NAT Server的地址轉(zhuǎn)換過(guò)程如下：

1. 在Router上配置NAT Server的轉(zhuǎn)換表項(xiàng)。
2. Router收到公網(wǎng)用戶發(fā)起的訪問(wèn)請(qǐng)求，設(shè)備根據(jù)該請(qǐng)求的“目的IP+端口號(hào)”查找NAT Server轉(zhuǎn)換表項(xiàng)，找出對(duì)應(yīng)的“私網(wǎng)IP+端口號(hào)”，然后用查找結(jié)果替換報(bào)文的“目的IP+端口號(hào)”。
3. Router收到內(nèi)網(wǎng)服務(wù)器的回應(yīng)報(bào)文后，根據(jù)該回應(yīng)報(bào)文的“源IP地址＋源端口號(hào)”查找NAT Server轉(zhuǎn)換表項(xiàng)，找出對(duì)應(yīng)的“公網(wǎng)IP+端口號(hào)”，然后用查找結(jié)果替換報(bào)文的“源IP地址＋源端口號(hào)”。

靜態(tài)NAT/NAPT

靜態(tài)NAT是指在進(jìn)行NAT轉(zhuǎn)換時(shí)，內(nèi)部網(wǎng)絡(luò)主機(jī)的IP同公網(wǎng)IP是一對(duì)一靜態(tài)綁定的，靜態(tài)NAT中的公網(wǎng)IP只會(huì)給唯一且固定的內(nèi)網(wǎng)主機(jī)轉(zhuǎn)換使用。
靜態(tài)NAPT是指“內(nèi)部網(wǎng)絡(luò)主機(jī)的IP+協(xié)議號(hào)+端口號(hào)”同“公網(wǎng)IP+協(xié)議號(hào)+端口號(hào)”是一對(duì)一靜態(tài)綁定的，靜態(tài)NAPT中的公網(wǎng)IP可以為多個(gè)私網(wǎng)IP使用。
靜態(tài)NAT/NAPT還支持將指定私網(wǎng)范圍內(nèi)的主機(jī)IP轉(zhuǎn)換為指定的公網(wǎng)范圍內(nèi)的主機(jī)IP。當(dāng)內(nèi)部主機(jī)訪問(wèn)外部網(wǎng)絡(luò)時(shí)，如果該主機(jī)地址在指定的內(nèi)部主機(jī)地址范圍內(nèi)，會(huì)被轉(zhuǎn)換為對(duì)應(yīng)的公網(wǎng)地址；同樣，當(dāng)公網(wǎng)主機(jī)對(duì)內(nèi)部主機(jī)進(jìn)行訪問(wèn)時(shí)，如果該公網(wǎng)主機(jī)IP經(jīng)過(guò)NAT轉(zhuǎn)換后對(duì)應(yīng)的私網(wǎng)IP地址在指定的內(nèi)部主機(jī)地址范圍內(nèi)，也是可以直接訪問(wèn)到內(nèi)部主機(jī)。