【技術(shù)分享】企業(yè)網(wǎng)必不可少的NAT技術(shù)

發(fā)布作者：微思網(wǎng)絡(luò)   發(fā)布時(shí)間：2023-12-11   瀏覽量：0次

NAT是一種地址轉(zhuǎn)換技術(shù)，它可以將IP數(shù)據(jù)報(bào)文頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址，并通過轉(zhuǎn)換端口號達(dá)到地址重用的目的。NAT作為一種緩解IPv4公網(wǎng)地址枯竭的過渡技術(shù)，由于實(shí)現(xiàn)簡單，得到了廣泛應(yīng)用。

NAT解決了什么問題？

隨著網(wǎng)絡(luò)應(yīng)用的增多，IPv4地址枯竭的問題越來越嚴(yán)重。盡管IPv6可以從根本上解決IPv4地址空間不足問題，但目前眾多網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用大多是基于IPv4的，因此在IPv6廣泛應(yīng)用之前，使用一些過渡技術(shù)（如CIDR、私網(wǎng)地址等）是解決這個(gè)問題的主要方式，NAT就是這眾多過渡技術(shù)中的一種。

當(dāng)私網(wǎng)用戶訪問公網(wǎng)的報(bào)文到達(dá)網(wǎng)關(guān)設(shè)備后，如果網(wǎng)關(guān)設(shè)備上部署了NAT功能，設(shè)備會(huì)將收到的IP數(shù)據(jù)報(bào)文頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址，端口號轉(zhuǎn)換為另一個(gè)端口號之后轉(zhuǎn)發(fā)給公網(wǎng)。在這個(gè)過程中，設(shè)備可以用同一個(gè)公網(wǎng)地址來轉(zhuǎn)換多個(gè)私網(wǎng)用戶發(fā)過來的報(bào)文，并通過端口號來區(qū)分不同的私網(wǎng)用戶，從而達(dá)到地址復(fù)用的目的。

早期的NAT是指Basic NAT，Basic NAT在技術(shù)上實(shí)現(xiàn)比較簡單，只支持地址轉(zhuǎn)換，不支持端口轉(zhuǎn)換。因此，Basic NAT只能解決私網(wǎng)主機(jī)訪問公網(wǎng)問題，無法解決IPv4地址短缺問題。后期的NAT主要是指網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation），NAPT既支持地址轉(zhuǎn)換也支持端口轉(zhuǎn)換，允許多臺私網(wǎng)主機(jī)共享一個(gè)公網(wǎng)IP地址訪問公網(wǎng)，因此NAPT才可以真正改善IP地址短缺問題。

NAT的類型

根據(jù)NAT轉(zhuǎn)換是對報(bào)文中的源地址進(jìn)行轉(zhuǎn)換還是對目的地址進(jìn)行轉(zhuǎn)換，NAT可以分為源NAT、目的NAT和雙向NAT，下面我們分別介紹這三種NAT類型。

源NAT

源NAT在NAT轉(zhuǎn)換時(shí)，僅對報(bào)文中的源地址進(jìn)行轉(zhuǎn)換，主要應(yīng)用于私網(wǎng)用戶訪問公網(wǎng)的場景。當(dāng)私網(wǎng)用戶主機(jī)訪問Internet時(shí)，私網(wǎng)用戶主機(jī)發(fā)送的報(bào)文到達(dá)NAT設(shè)備后，設(shè)備通過源NAT技術(shù)將報(bào)文中的私網(wǎng)IPv4地址轉(zhuǎn)換成公網(wǎng)IPv4地址，從而使私網(wǎng)用戶可以正常訪問Internet。

根據(jù)轉(zhuǎn)換時(shí)是否同時(shí)轉(zhuǎn)換源端口號，源NAT可以細(xì)分為如下幾種類型，詳見下圖。

源NAT分類

目的NAT

目的NAT在NAT轉(zhuǎn)換時(shí)，僅對報(bào)文中的目的地址和目的端口號進(jìn)行轉(zhuǎn)換，主要應(yīng)用于公網(wǎng)用戶訪問私網(wǎng)服務(wù)的場景。當(dāng)公網(wǎng)用戶主機(jī)發(fā)送的報(bào)文到達(dá)NAT設(shè)備后，設(shè)備通過目的NAT技術(shù)將報(bào)文中的公網(wǎng)IPv4地址轉(zhuǎn)換成私網(wǎng)IPv4地址，從而使公網(wǎng)用戶可以使用公網(wǎng)地址訪問私網(wǎng)服務(wù)。

根據(jù)轉(zhuǎn)換前后的地址是否存在一種固定的映射關(guān)系，目的NAT可以細(xì)分為如下幾種類型，詳見下圖。

目的NAT分類

雙向NAT

雙向NAT指的是在轉(zhuǎn)換過程中同時(shí)轉(zhuǎn)換報(bào)文的源信息和目的信息。雙向NAT不是一個(gè)單獨(dú)的功能，而是源NAT和目的NAT的組合。雙向NAT是針對同一條流，在其經(jīng)過設(shè)備時(shí)同時(shí)轉(zhuǎn)換報(bào)文的源地址和目的地址。雙向NAT主要應(yīng)用在同時(shí)有外網(wǎng)用戶訪問內(nèi)部服務(wù)器和私網(wǎng)用戶訪問內(nèi)部服務(wù)器的場景。

STUN中定義的NAT類型

在STUN標(biāo)準(zhǔn)中，根據(jù)私網(wǎng)IP地址和端口到NAT出口的公網(wǎng)IP地址和端口的映射方式，把NAT分為如下四種類型，詳見下圖。

STUN中定義的NAT類型

• Full Cone NAT（完全錐型NAT）所有從同一個(gè)私網(wǎng)IP地址和端口（IP1:Port1）發(fā)送過來的請求都會(huì)被映射成同一個(gè)公網(wǎng)IP地址和端口（IP:Port）。并且，任何外部主機(jī)通過向映射的公網(wǎng)IP地址和端口發(fā)送報(bào)文，都可以實(shí)現(xiàn)和內(nèi)部主機(jī)進(jìn)行通信。這是一種比較寬松的策略，只要建立了私網(wǎng)IP地址和端口與公網(wǎng)IP地址和端口的映射關(guān)系，所有的Internet上的主機(jī)都可以訪問該NAT之后的主機(jī)。

• Restricted Cone NAT（限制錐型NAT）所有從同一個(gè)私網(wǎng)IP地址和端口（IP1:Port1）發(fā)送過來的請求都會(huì)被映射成同一個(gè)公網(wǎng)IP和端口號（IP:Port）。與完全錐型NAT不同的是，當(dāng)且僅當(dāng)內(nèi)部主機(jī)之前已經(jīng)向公網(wǎng)主機(jī)發(fā)送過報(bào)文，此時(shí)公網(wǎng)主機(jī)才能向私網(wǎng)主機(jī)發(fā)送報(bào)文。

• Port Restricted Cone NAT（端口限制錐型NAT）與限制錐型NAT很相似，只不過它包括端口號。也就是說，一臺公網(wǎng)主機(jī)（IP2:Port2）想給私網(wǎng)主機(jī)發(fā)送報(bào)文，必須是這臺私網(wǎng)主機(jī)先前已經(jīng)給這個(gè)IP地址和端口發(fā)送過報(bào)文。

• Symmetric NAT（對稱NAT）所有從同一個(gè)私網(wǎng)IP地址和端口發(fā)送到一個(gè)特定的目的IP地址和端口的請求，都會(huì)被映射到同一個(gè)IP地址和端口。如果同一臺主機(jī)使用相同的源地址和端口號發(fā)送報(bào)文，但是發(fā)往不同的目的地，NAT將會(huì)使用不同的映射。此外，只有收到數(shù)據(jù)的公網(wǎng)主機(jī)才可以反過來向私網(wǎng)主機(jī)發(fā)送報(bào)文。這和端口限制錐型NAT不同，端口限制錐型NAT是所有請求映射到相同的公網(wǎng)IP地址和端口，而對稱NAT是不同的請求有不同的映射。

NAT是如何工作的？

根據(jù)前面的分類，我們分別從源NAT和目的NAT中各選一種NAT為代表，介紹其工作原理。其他類型的NAT雖然在轉(zhuǎn)換時(shí)，轉(zhuǎn)換的內(nèi)容有細(xì)微差別，但是工作原理都相似，不再重復(fù)介紹。此外，雙向NAT是源NAT和目的NAT的組合，雙向NAT的工作原理也不再重復(fù)介紹。

NAPT工作原理

NAPT在進(jìn)行地址轉(zhuǎn)換的同時(shí)還進(jìn)行端口轉(zhuǎn)換，可以實(shí)現(xiàn)多個(gè)私網(wǎng)用戶共同使用一個(gè)公網(wǎng)IP地址上網(wǎng)。NAPT根據(jù)端口來區(qū)分不同用戶，真正做到了地址復(fù)用。

NAPT工作原理示意圖

當(dāng)Host訪問Web Server時(shí)，設(shè)備的處理過程如下：

1. 設(shè)備收到Host發(fā)送的報(bào)文后查找NAT策略，發(fā)現(xiàn)需要對報(bào)文進(jìn)行地址轉(zhuǎn)換。

2. 設(shè)備根據(jù)源IP Hash算法從NAT地址池中選擇一個(gè)公網(wǎng)IP地址，替換報(bào)文的源IP地址，同時(shí)使用新的端口號替換報(bào)文的源端口號，并建立會(huì)話表，然后將報(bào)文發(fā)送至Internet。

3. 設(shè)備收到Web Server響應(yīng)Host的報(bào)文后，通過查找會(huì)話表匹配到步驟2中建立的表項(xiàng)，將報(bào)文的目的地址替換為Host的IP地址，將報(bào)文的目的端口號替換為原始的端口號，然后將報(bào)文發(fā)送至Intranet。

NAT Server工作原理

使用NAT Server時(shí)，需要先在設(shè)備上配置公網(wǎng)地址和私網(wǎng)地址的固定映射關(guān)系。配置完成后，設(shè)備將會(huì)生成Server-Map表項(xiàng)，存放公網(wǎng)地址和私網(wǎng)地址的映射關(guān)系。該表項(xiàng)將一直存在除非NAT Server的配置被刪除。

NAT Server工作原理示意圖

內(nèi)部Server的私網(wǎng)IPv4地址為192.168.1.2/24，對外的公網(wǎng)IPv4地址為1.1.1.10，端口號都為80，它們之間的映射關(guān)系在設(shè)備上已提前配置好。當(dāng)Host訪問Server時(shí)，設(shè)備的處理過程如下：

1. 設(shè)備收到Internet上用戶訪問1.1.1.10的報(bào)文的首包后，查找并匹配到Server-Map表項(xiàng)，將報(bào)文的目的IP地址轉(zhuǎn)換為192.168.1.2。

2. 設(shè)備建立會(huì)話表，然后將報(bào)文發(fā)送至Intranet。

3. 設(shè)備收到Server響應(yīng)Host的報(bào)文后，通過查找會(huì)話表匹配到步驟2中建立的表項(xiàng)，將報(bào)文的源地址替換為1.1.1.10，然后將報(bào)文發(fā)送至Internet。

4. 后續(xù)Host繼續(xù)發(fā)送給Server的報(bào)文，設(shè)備都會(huì)直接根據(jù)會(huì)話表項(xiàng)的記錄對其進(jìn)行轉(zhuǎn)換，而不會(huì)再去查找Server-map表項(xiàng)。