NAT(网络地址转换)技术与代理服务器原理
一、????Nat技術(shù):
NAT英文全稱是“Network Address Translation”,中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”,它是一個IETF(Internet Engineering Task Force,Internet工程任務(wù)組)標準,允許一個整體機構(gòu)以一個公用IP(Internet Protocol)地址出現(xiàn)在Internet上。顧名思義,它是一種把內(nèi)部私有網(wǎng)絡(luò)地址(IP地址)翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù),如下圖所示。因此我們可以認為,NAT在一定程度上,能夠有效的解決公網(wǎng)地址不足的問題。
簡單地說,NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址,而當內(nèi)部節(jié)點要與外部網(wǎng)絡(luò)進行通訊時,就在網(wǎng)關(guān)(可以理解為出口,打個比方就像院子的門一樣)處,將內(nèi)部地址替換成公用地址,從而在外部公網(wǎng)(internet)上正常使用,NAT可以使多臺計算機共享Internet連接,這一功能很好地解決了公共 IP地址緊缺的問題。通過這種方法,可以只申請一個合法IP地址,就把整個局域網(wǎng)中的計算機接入Internet中。這時,NAT屏蔽了內(nèi)部網(wǎng)絡(luò),所有內(nèi)部網(wǎng)計算機對于公共網(wǎng)絡(luò)來說是不可見的,而內(nèi)部網(wǎng)計算機用戶通常不會意識到NAT的存在。如下圖所示。這里提到的內(nèi)部地址,是指在內(nèi)部網(wǎng)絡(luò)中分配給節(jié)點的私有IP地址,這個地址只能在內(nèi)部網(wǎng)絡(luò)中使用,不能被路由轉(zhuǎn)發(fā)。
NAT 功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設(shè)備中。
二、 分類:
? NAT有三種類型:靜態(tài)NAT(Static NAT)、動態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port-Level NAT)。
1、靜態(tài)NAT
通過手動設(shè)置,使 Internet 客戶進行的通信能夠映射到某個特定的私有網(wǎng)絡(luò)地址和端口。如果想讓連接在 Internet 上的計算機能夠使用某個私有網(wǎng)絡(luò)上的服務(wù)器(如網(wǎng)站服務(wù)器)以及應(yīng)用程序(如游戲),那么靜態(tài)映射是必需的。靜態(tài)映射不會從 NAT 轉(zhuǎn)換表中刪除。
如果在 NAT 轉(zhuǎn)換表中存在某個映射,那么 NAT 只是單向地從 Internet 向私有網(wǎng)絡(luò)傳送數(shù)據(jù)。這樣,NAT 就為連接到私有網(wǎng)絡(luò)部分的計算機提供了某種程度的保護。但是,如果考慮到 Internet 的安全性,NAT 就要配合全功能的防火墻一起使用。
對于以上網(wǎng)絡(luò)拓撲圖,當內(nèi)網(wǎng)主機 10.1.1.1如果要與外網(wǎng)的主機201.0.0.11通信時,主機(IP:10.1.1.1)的數(shù)據(jù)包經(jīng)過路由器時,路由器通過查找NAT table 將IP數(shù)據(jù)包的源IP地址(10.1.1.1)改成與之對應(yīng)的全局IP地址(201.0.0.1),而目標IP地址201.0.0.11保持不變,這樣,數(shù)據(jù)包就能到達201.0.0.11。而當主機HostB(IP:201.0.0.11) 響應(yīng)的數(shù)據(jù)包到達與內(nèi)網(wǎng)相連接的路由器時,路由器同樣查找NAT table,將IP數(shù)據(jù)包的目的IP地址改成10.1.1.1,這樣內(nèi)網(wǎng)主機就能接收到外網(wǎng)主機發(fā)過來的數(shù)據(jù)包。在靜態(tài)NAT方式中,內(nèi)部的IP地址與公有IP地址是一種一一對應(yīng)的映射關(guān)系,所以,采用這種方式的前提是,機構(gòu)能夠申請到足夠多的全局IP地址。
2、 動態(tài)NAT
動態(tài)地址NAT只是轉(zhuǎn)換IP地址,它為每一個內(nèi)部的IP地址分配一個臨時的外部IP地址,主要應(yīng)用于撥號,對于頻繁的遠程聯(lián)接也可以采用動態(tài)NAT。當遠程用戶聯(lián)接上之后,動態(tài)地址NAT就會分配給他一個IP地址,用戶斷開時,這個IP地址就會被釋放而留待以后使用。
動態(tài)NAT方式適合于 當機構(gòu)申請到的全局IP地址較少,而內(nèi)部網(wǎng)絡(luò)主機較多的情況。內(nèi)網(wǎng)主機IP與全局IP地址是多對一的關(guān)系。當數(shù)據(jù)包進出內(nèi)網(wǎng)時,具有NAT功能的設(shè)備對IP數(shù)據(jù)包的處理與靜態(tài)NAT的一樣,只是NAT table表中的記錄是動態(tài)的,若內(nèi)網(wǎng)主機在一定時間內(nèi)沒有和外部網(wǎng)絡(luò)通信,有關(guān)它的IP地址映射關(guān)系將會被刪除,并且會把該全局IP地址分配給新的IP數(shù)據(jù)包使用,形成新的NAT table映射記錄。
3、端口多路復(fù)用?
端口多路復(fù)用是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換,即端口地址轉(zhuǎn)換(PAT,Port Address Translation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問,從而可以最大限度地節(jié)約IP地址資源。同時,又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機,有效避免來自internet的攻擊。因此,目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。
1)當內(nèi)網(wǎng)主機需要與Internet建立連接時,首先將請求發(fā)送到端口NAT服務(wù)器。NAT服務(wù)器接收到請求后,根據(jù)接收到的數(shù)據(jù)包,檢查端口NAT映射表;如果還沒有為該內(nèi)網(wǎng)主機建立地址轉(zhuǎn)換映射項,則NAT服務(wù)器會創(chuàng)建一個會話,并給該會話分配一個端口。之后將源地址及端口改為企業(yè)公網(wǎng)IP地址及相應(yīng)的端口,發(fā)送數(shù)據(jù)包到Internet主機上;
2)Internet主機接收到信息后,將應(yīng)答信息返回給端口NAT服務(wù)器;
3)當端口NAT服務(wù)器接收到應(yīng)答信息后,檢查端口NAT映射表。如果端口NAT表存在匹配的映射項,則將目標地址及端口轉(zhuǎn)換為對應(yīng)的內(nèi)網(wǎng)IP及端口,將數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)網(wǎng)主機。如果不存在匹配映射項,就將數(shù)據(jù)包丟棄;
?
?
?
三、nat原理
1、地址轉(zhuǎn)換
NAT的基本工作原理是,當私有網(wǎng)主機和公共網(wǎng)主機通信的IP包經(jīng)過NAT網(wǎng)關(guān)時,將IP包中的源IP或目的IP在私有IP和NAT的公共IP之間進行轉(zhuǎn)換。
如下圖所示,NAT網(wǎng)關(guān)有2個網(wǎng)絡(luò)端口,其中公共網(wǎng)絡(luò)端口的IP地址是統(tǒng)一分配的公共 IP,為202.20.65.5;私有網(wǎng)絡(luò)端口的IP地址是保留地址為192.168.1.1。私有網(wǎng)中的主機192.168.1.2向公共網(wǎng)中的主機202.20.65.4發(fā)送了1個IP包(Dst=202.20.65.4,Src=192.168.1.2)。
?當IP包經(jīng)過NAT網(wǎng)關(guān)時,NAT Gateway會將IP包的源IP轉(zhuǎn)換為NAT Gateway的公共IP并轉(zhuǎn)發(fā)到公共網(wǎng),此時IP包(Dst=202.20.65.4,Src=202.20.65.5)中已經(jīng)不含任何私有網(wǎng)IP的信息。由于IP包的源IP已經(jīng)被轉(zhuǎn)換成NAT Gateway的公共IP,Web Server發(fā)出的響應(yīng)IP包(Dst= 202.20.65.5,Src=202.20.65.4)將被發(fā)送到NAT Gateway。
這時,NAT Gateway會將IP包的目的IP轉(zhuǎn)換成私有網(wǎng)中主機的IP,然后將IP包(Des=192.168.1.2,Src=202.20.65.4)轉(zhuǎn)發(fā)到私有網(wǎng)。對于通信雙方而言,這種地址的轉(zhuǎn)換過程是完全透明的。轉(zhuǎn)換示意圖如下。
如果內(nèi)網(wǎng)主機發(fā)出的請求包未經(jīng)過NAT,那么當Web Server收到請求包,回復(fù)的響應(yīng)包中的目的地址就是私有網(wǎng)絡(luò)IP地址,在Internet上無法正確送達,導(dǎo)致連接失敗。
2、連接跟蹤
在上述過程中,NAT Gateway在收到響應(yīng)包后,就需要判斷將數(shù)據(jù)包轉(zhuǎn)發(fā)給誰。此時如果子網(wǎng)內(nèi)僅有少量客戶機,可以用靜態(tài)NAT手工指定;但如果內(nèi)網(wǎng)有多臺客戶機,并且各自訪問不同網(wǎng)站,這時候就需要連接跟蹤(connection track)。如下圖所示:
在NAT Gateway收到客戶機發(fā)來的請求包后,做源地址轉(zhuǎn)換,并且將該連接記錄保存下來,當NAT Gateway收到服務(wù)器來的響應(yīng)包后,查找Track Table,確定轉(zhuǎn)發(fā)目標,做目的地址轉(zhuǎn)換,轉(zhuǎn)發(fā)給客戶機。
3、端口轉(zhuǎn)換
以上述客戶機訪問服務(wù)器為例,當僅有一臺客戶機訪問服務(wù)器時,NAT Gateway只須更改數(shù)據(jù)包的源IP或目的IP即可正常通訊。但是如果Client A和Client B同時訪問Web Server,那么當NAT Gateway收到響應(yīng)包的時候,就無法判斷將數(shù)據(jù)包轉(zhuǎn)發(fā)給哪臺客戶機,如下圖所示。
?此時,NAT Gateway會在Connection Track中加入端口信息加以區(qū)分。如果兩客戶機訪問同一服務(wù)器的源端口不同,那么在Track Table里加入端口信息即可區(qū)分,如果源端口正好相同,那么在實行SNAT和DNAT的同時對源端口也要做相應(yīng)的轉(zhuǎn)換,如下圖所示。
四、nat應(yīng)用及產(chǎn)品
???? NAT主要可以實現(xiàn)以下幾個功能:數(shù)據(jù)包偽裝、平衡負載、端口轉(zhuǎn)發(fā)和透明代理。
?
數(shù)據(jù)偽裝:?可以將內(nèi)網(wǎng)數(shù)據(jù)包中的地址信息更改成統(tǒng)一的對外地址信息,不讓內(nèi)網(wǎng)主機直接暴露在因特網(wǎng)上,保證內(nèi)網(wǎng)主機的安全。同時,該功能也常用來實現(xiàn)共享上網(wǎng)。例如,內(nèi)網(wǎng)主機訪問外網(wǎng)時,為了隱藏內(nèi)網(wǎng)拓撲結(jié)構(gòu),使用全局地址替換私有地址。
?
端口轉(zhuǎn)發(fā):?當內(nèi)網(wǎng)主機對外提供服務(wù)時,由于使用的是內(nèi)部私有IP地址,外網(wǎng)無法直接訪問。因此,需要在網(wǎng)關(guān)上進行端口轉(zhuǎn)發(fā),將特定服務(wù)的數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)網(wǎng)主機。例如公司小王在自己的服務(wù)器上架設(shè)了一個Web網(wǎng)站,他的IP地址為192.168.0.5,使用默認端口80,現(xiàn)在他想讓局域網(wǎng)外的用戶也能直接訪問他的Web站點。利用NAT即可很輕松的解決這個問題,服務(wù)器的IP地址為210.59.120.89,那么為小王分配一個端口,例如81,即所有訪問210.59.120.89:81的請求都自動轉(zhuǎn)向192.168.0.5:80,而且這個過程對用戶來說是透明的。
?
負載平衡:目的地址轉(zhuǎn)換NAT可以重定向一些服務(wù)器的連接到其他隨機選定的服務(wù)器。例如1.2.3所講的目的NAT的例子。
失效終結(jié):目的地址轉(zhuǎn)換NAT可以用來提供高可靠性的服務(wù)。如果一個系統(tǒng)有一臺通過路由器訪問的關(guān)鍵服務(wù)器,一旦路由器檢測到該服務(wù)器當機,它可以使用目的地址轉(zhuǎn)換NAT透明的把連接轉(zhuǎn)移到一個備份服務(wù)器上,提高系統(tǒng)的可靠性。
?
透明代理:例如自己架設(shè)的服務(wù)器空間不足,需要將某些鏈接指向存在另外一臺服務(wù)器的空間;或者某臺計算機上沒有安裝IIS服務(wù),但是卻想讓網(wǎng)友訪問該臺計算機上的內(nèi)容,這個時候利用IIS的Web站點重定向即可輕松的幫助我們搞定。
?
五、代理服務(wù)器
所謂“代理”,就是代而勞之的意思。代理服務(wù)器就是代理網(wǎng)絡(luò)用戶去取得網(wǎng)絡(luò)信息,形象的說:它是網(wǎng)絡(luò)信息的中轉(zhuǎn)站,使得一個網(wǎng)絡(luò)終端和另一個網(wǎng)絡(luò)終端不直接進行相連,代理網(wǎng)絡(luò)用戶去取得信息。主要工作在OSI的會話層中。
一個完整的代理請求過程為:客戶端首先與代理服務(wù)器創(chuàng)建連接,接著根據(jù)代理服務(wù)器所使用的代理協(xié)議,請求對目標服務(wù)器創(chuàng)建連接或者獲得目標服務(wù)器的指定資源(如文件)。在后一種情況中,代理服務(wù)器可能對目標服務(wù)器的資源下載至緩存,如果客戶端索要獲取的資源在代理服務(wù)器的緩存之中,則代理服務(wù)器并不會向目標服務(wù)器發(fā)送請求,而是直接返回了緩存的資源。一些代理協(xié)議允許代理服務(wù)器改變客戶端的原始請求、目標服務(wù)器的原始響應(yīng),以滿足代理協(xié)議的需要。代理服務(wù)器的選項和設(shè)置在計算機程序中,通常只包括一個“防火墻”,允許用戶輸入代理地址,他會這該他們的網(wǎng)絡(luò)活動,可以允許繞過互聯(lián)網(wǎng)過濾實現(xiàn)網(wǎng)絡(luò)訪問。
代理服務(wù)器(Proxy Server)是Internet鏈路級網(wǎng)關(guān)所提供的一種重要的安全功能,主要的功能有:
1.突破自身IP訪問限制,訪問國外站點。教育網(wǎng),過去的169網(wǎng)等。
2.提高訪問速度:通常代理服務(wù)器都設(shè)置了一個較大的硬盤緩沖區(qū),當有外界的信息通過的時候,同時也將其保存在緩沖區(qū)中,當其他用戶在訪問相同的信息時,則直接有緩沖區(qū)取出信息,傳給用戶,以提高訪問速度
3.鏈接內(nèi)網(wǎng)與Internet,充當防火墻:因為所有的內(nèi)部網(wǎng)用戶通過代理服務(wù)器訪問外界時,只映射一個IP地址,所以外界不能直接訪問到內(nèi)部網(wǎng);同時可以設(shè)置IP地址過濾,限制內(nèi)部網(wǎng)對外部的訪問權(quán)限
4.節(jié)省IP開銷:代理服務(wù)器允許使用大量的偽IP地址,節(jié)約上網(wǎng)資源,即代理服務(wù)器可以減少對IP地址的需求,對于使用局域網(wǎng)方式接入Internet,如果為局域網(wǎng)(LAN)內(nèi)的每一個用戶都申請一個IP地址,其費用可想而知。但使用代理服務(wù)器之后,只需代理服務(wù)器上有一個合法的IP地址,LAN內(nèi)其他用戶可以使用10.*.*.*這樣的私有IP地址,這樣可以節(jié)約大量的IP,降低網(wǎng)路的維護成本。
5.隱藏真實IP:上網(wǎng)者可以通過這種方式隱藏自己的IP,以免受到攻擊;
6.設(shè)置用戶驗證和記賬功能,沒有登記的用戶無權(quán)通過代理服務(wù)器訪問Internet網(wǎng)。并對用戶的訪問時間、訪問地點、信息流量進行統(tǒng)計。
?
?
六、二者之間的聯(lián)系:
??? 常見的局域網(wǎng)接入Internet的技術(shù)有三種:
?
總結(jié)
以上是生活随笔為你收集整理的NAT(网络地址转换)技术与代理服务器原理的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 随机森林:对UCI数据集的分类实现
- 下一篇: 周志华《机器学习》习题3.4——用UCI