之前我們討論了, IPv4協(xié)議中, IP地址數(shù)量不充足的問題。
（對(duì)于IP協(xié)議請(qǐng)看文章這里寫鏈接內(nèi)容）
我們再來了解一個(gè)技術(shù)：NAT技術(shù)（網(wǎng)絡(luò)地址轉(zhuǎn)換）

什么是NAT

NAT技術(shù)是當(dāng)前解決IP地址不夠用的主要手段，是路由器的一個(gè)重要功能。

NAT能夠?qū)⑺接蠭P對(duì)外通信時(shí)轉(zhuǎn)為全局IP。也就是就是一種將私有IP和全局IP相互轉(zhuǎn)化的技術(shù)方法。

簡單點(diǎn)說，就是在局域網(wǎng)中使用內(nèi)部地址，而當(dāng)內(nèi)部要與外網(wǎng)進(jìn)行通訊時(shí)，需要經(jīng)過網(wǎng)關(guān)，就在網(wǎng)關(guān)處，將內(nèi)部地址替換成公用地址。
從外在外部公網(wǎng)上正常使用，NAT可以使多臺(tái)計(jì)算機(jī)共享internet連接，這一功能很好地解決了公共IP地址緊缺的問題。
通常這種方法，可以只申請(qǐng)一個(gè)合法IP地址，就是把整個(gè)局域網(wǎng)中的計(jì)算機(jī)接入internet中。這時(shí)NAT屏蔽了計(jì)算機(jī)網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)計(jì)算機(jī)對(duì)于公共網(wǎng)絡(luò)來說是不可見的，而內(nèi)部網(wǎng)計(jì)算機(jī)用戶通常不會(huì)意識(shí)到NAT的存在。
用以下圖來表示:

NAT功能通常被集成路由器，防火墻，ISDN路由器或者單獨(dú)的NAT設(shè)備中。

NAT的分類

1. 靜態(tài)NAT
通過手動(dòng)設(shè)置，使internet客戶進(jìn)行的通信能夠映射到某個(gè)特定的私有網(wǎng)絡(luò)地址和端口。
1、如果想讓連接在Internet上的計(jì)算機(jī)能夠使用某個(gè)網(wǎng)絡(luò)上的服務(wù)器以及應(yīng)用程序，那么靜態(tài)映射是必須的，靜態(tài)映射不會(huì)從NAT轉(zhuǎn)換表中刪除。
2、如果在NAT轉(zhuǎn)換表中存在某個(gè)映射，那么NAT只是單向的從internet向私有網(wǎng)絡(luò)傳送數(shù)據(jù)。
3、這樣，NAT就為鏈接私有網(wǎng)絡(luò)部分的計(jì)算機(jī)提供了某種程度的保護(hù)，但是為了考慮internet的安全性，NAT就要配合全功能的防火墻一起使用。
2. 動(dòng)態(tài)NAT
所謂的動(dòng)態(tài)NAT只是轉(zhuǎn)換IP地址，為每一個(gè)內(nèi)部的IP地址分配一個(gè)臨時(shí)的外部IP地址，主要應(yīng)用于撥號(hào)，對(duì)于頻繁的遠(yuǎn)程連接也可以采用動(dòng)態(tài)NAT。當(dāng)遠(yuǎn)程用戶連接上之后，動(dòng)態(tài)地址NAT就會(huì)分配給它一個(gè)IP地址，用戶斷開時(shí)，這個(gè)IP地址就會(huì)被釋放。
3. NAPT網(wǎng)絡(luò)地址轉(zhuǎn)換
兩種轉(zhuǎn)換方式：SNAT、DNAT
(1)、SNAT：修改數(shù)據(jù)包的源地址，源NAT改變第一個(gè)數(shù)據(jù)包的來源地址，它永遠(yuǎn)會(huì)在數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)之前完成。
(2)、DNAT：修改數(shù)據(jù)包的目的地址，與SNAT相反，它是改變第一個(gè)數(shù)據(jù)包的目的地址。

NAPT的過程

如果說，NAT是IP的映射，那么NAPT就是端口的映射。
那么有什么作用呢？

按照NAT的思想，如果局域網(wǎng)內(nèi)，有多個(gè)主機(jī)都訪問同一個(gè)外網(wǎng)服務(wù)器， 那么對(duì)于服務(wù)器返回的數(shù)據(jù)中, 目的IP都是相同的。
那么NAT路由器如何判定將這個(gè)數(shù)據(jù)包轉(zhuǎn)發(fā)給哪個(gè)局域網(wǎng)的主機(jī)?

這時(shí)候NAPT就可以解決這個(gè)問題，使用IP+port來建立這個(gè)映射關(guān)系。
如下圖：

這種關(guān)聯(lián)關(guān)系也是由NAT路由器自動(dòng)維護(hù)的。
例如在TCP的情況下, 建立連接時(shí), 就會(huì)生成這個(gè)表項(xiàng)；
在斷開連接后, 就會(huì)刪除這個(gè)表項(xiàng)。

NAT原理

1、地址轉(zhuǎn)換
NAT基本工作原理：
當(dāng)私有網(wǎng)主機(jī)和公共網(wǎng)主機(jī)通信的IP包經(jīng)過NAT網(wǎng)關(guān)時(shí)，將IP包中的源IP或目的IP在私有IP和NAT的公共IP之間進(jìn)行轉(zhuǎn)換
2、連接跟蹤
NAT Gateway在收到響應(yīng)包后，就需要判斷將數(shù)據(jù)包轉(zhuǎn)發(fā)給誰。此時(shí)如果子網(wǎng)內(nèi)僅有少量客戶機(jī)，可以用靜態(tài)NAT手工指定；但如果內(nèi)網(wǎng)有多臺(tái)客戶機(jī)，并且各自訪問不同網(wǎng)站，這時(shí)候就需要連接跟蹤（connection track）。
3、端口轉(zhuǎn)換
客戶機(jī)訪問服務(wù)器為例，當(dāng)僅有一臺(tái)客戶機(jī)訪問服務(wù)器時(shí)，NAT Gateway只須更改數(shù)據(jù)包的源IP或目的IP即可正常通訊。但是如果Client A和Client B同時(shí)訪問Web Server，那么當(dāng)NAT Gateway收到響應(yīng)包的時(shí)候，就無法判斷將數(shù)據(jù)包轉(zhuǎn)發(fā)給哪臺(tái)客戶機(jī)。

NAT應(yīng)用

數(shù)據(jù)偽裝可以將內(nèi)網(wǎng)數(shù)據(jù)包中的地址信息更改成統(tǒng)一的對(duì)外地址信息,不讓內(nèi)網(wǎng)主機(jī)直接暴露在因特網(wǎng)上,保證內(nèi)網(wǎng)主機(jī)的安全

端口轉(zhuǎn)發(fā)	當(dāng)內(nèi)網(wǎng)主機(jī)對(duì)外提供服務(wù)時(shí)，使用的內(nèi)部私有IP地址，外網(wǎng)無法直接訪問。故需要在網(wǎng)關(guān)上進(jìn)行端口轉(zhuǎn)發(fā)，將特定服務(wù)的數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)網(wǎng)主機(jī)
負(fù)載平衡	目的地址轉(zhuǎn)換NAT可以重定向一些服務(wù)器的連接到其他隨機(jī)選定的服務(wù)器
失效終結(jié)	目的地址轉(zhuǎn)換NAT可以用來提供高可靠性的服務(wù)。比如某系統(tǒng)有通過路由器訪問的關(guān)鍵服務(wù)器，路由器檢測到該服務(wù)器關(guān)機(jī)，便使用目的地址轉(zhuǎn)換NAT透明的把連接轉(zhuǎn)移到一個(gè)備份服務(wù)器上，提高系統(tǒng)的可靠性
透明代理	例如自己架設(shè)的服務(wù)器空間不足，需要將某些鏈接指向存在另外一臺(tái)服務(wù)器的空間，或者某臺(tái)計(jì)算機(jī)上沒有安裝IIS服務(wù)，但是卻想讓網(wǎng)友訪問該臺(tái)計(jì)算機(jī)上的內(nèi)容，這個(gè)時(shí)候利用IIS的Web站點(diǎn)重定向即可輕松的幫助我們搞定。

NAT的缺陷

由于NAT依賴轉(zhuǎn)換表， 所以有諸多限制:
(1)不能處理嵌入式IP地址或端口
NAT設(shè)備不能翻譯那些嵌入到應(yīng)用數(shù)據(jù)部分的IP地址或端口信息，它只能翻譯那種正常位于IP首部中的地址信息和位于TCP/UDP首部中的端口信息
(2)不能從公網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)服務(wù)
由于內(nèi)網(wǎng)是私有IP，所以不能直接從公網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)服務(wù)。
(3)有一些應(yīng)用程序雖然是用A端口發(fā)送數(shù)據(jù)的，但卻要用B端口進(jìn)行接收，不過NAT設(shè)備翻譯時(shí)卻不知道這一點(diǎn)，它仍然建立一條針對(duì)A端口的映射，結(jié)果對(duì)方響應(yīng)的數(shù)據(jù)要傳給B端口時(shí)，NAT設(shè)備卻找不到相關(guān)映射條目而會(huì)丟棄數(shù)據(jù)包。

NAT和代理服務(wù)器

路由器往往都具備NAT設(shè)備的功能，通過NAT設(shè)備進(jìn)行中轉(zhuǎn)，完成子網(wǎng)設(shè)備和其他子網(wǎng)設(shè)備的通信過程。
代理服務(wù)器看起來和NAT設(shè)備有一點(diǎn)像，客戶端像代理服務(wù)器發(fā)送請(qǐng)求, 代理服務(wù)器將請(qǐng)求轉(zhuǎn)發(fā)給真正要請(qǐng)求的服務(wù)器；服務(wù)器返回結(jié)果后, 代理服務(wù)器又把結(jié)果回傳給客戶端。
那么NAT和代理服務(wù)器的區(qū)別有哪些呢?
（1）從應(yīng)用上講，NAT設(shè)備是網(wǎng)絡(luò)基礎(chǔ)設(shè)備之一，解決的是IP不足的問題。代理服務(wù)器則是更貼近具體應(yīng)用，通過代理服務(wù)器進(jìn)行翻墻，另外像迅游這樣的加速器, 也是使用代理服務(wù)器。
（2）從底層實(shí)現(xiàn)上講，NAT是工作在網(wǎng)絡(luò)層， 直接對(duì)IP地址進(jìn)行替換。 代理服務(wù)器往往工作在應(yīng)用層。
（3）從使用范圍上講，NAT一般在局域網(wǎng)的出口部署， 代理服務(wù)器可以在局域網(wǎng)做, 也可以在廣域網(wǎng)做, 也可以跨網(wǎng)
（4） 從部署位置上看，NAT一般集成在防火墻， 路由器等硬件設(shè)備上，代理服務(wù)器則是一個(gè)軟件程序， 需要部署在服務(wù)器上。
代理服務(wù)器是一種應(yīng)用比較廣的技術(shù)：
(1) 翻墻：廣域網(wǎng)中的代理
(2) 負(fù)載均衡：局域網(wǎng)中的代理

總結(jié)

以上是生活随笔為你收集整理的NAT技术及应用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。