掌握NAT基本原理和地址轉(zhuǎn)換方式

1、一一、NATIANA向超大型企業(yè)/組織分配A類網(wǎng)絡(luò)地址，一次一段。向中型企業(yè)或教育機(jī)構(gòu)分配B類網(wǎng)絡(luò)地址，一次一段。這樣一種分配策略使得IP地址浪費(fèi)很嚴(yán)重，很多被分配出去的地址沒(méi)有真實(shí)被利用，地址消耗很快。以至于二十世紀(jì)90年代初，網(wǎng)絡(luò)專家們意識(shí)到，這樣大手大腳下去，IPv4地址很快就要耗光了。于是，人們開始考慮IPv4的替代方案，同時(shí)采取一系列的措施來(lái)減緩IPv4地址的消耗。正是在這樣一個(gè)背景之下，本期的主角閃亮登場(chǎng)，它就是網(wǎng)絡(luò)地址轉(zhuǎn)換NAT。二、NAT的概念模型NAT名字很準(zhǔn)確，網(wǎng)絡(luò)地址轉(zhuǎn)換，就是替換IP報(bào)文頭部的地址信息。NAT通常部署在一個(gè)組織的網(wǎng)絡(luò)出口位置，通過(guò)將內(nèi)部網(wǎng)絡(luò)IP地址替換為

2、出口的IP地址提供公網(wǎng)可達(dá)性和上層協(xié)議的連接能力。 1）內(nèi)部網(wǎng)絡(luò)IP地址 RFC1918規(guī)定了三個(gè)保留地址段落：10.0.0.0-10.255.255.255；172.16.0.0-172.31.255.255；192.168.0.0-192.168.255.255。這三個(gè)范圍分別處于A,B,C類的地址段，不向特定的用戶分配，被IANA作為私有地址保留。這些地址可以在任何組織或企業(yè)內(nèi)部使用，和其他Internet地址的區(qū)別就是，僅能在內(nèi)部使用，不能作為全球路由地址。這就是說(shuō)，出了組織的管理范圍這些地址就不再有意義，無(wú)論是作為源地址，還是目的地址。對(duì)于一個(gè)封閉的組織，如果其網(wǎng)絡(luò)不連接到Inter

3、net，就可以使用這些地址而不用向IANA提出申請(qǐng)，而在內(nèi)部的路由管理和報(bào)文傳遞方式與其他網(wǎng)絡(luò)沒(méi)有差異。對(duì)于有Internet訪問(wèn)需求而內(nèi)部又使用私有地址的網(wǎng)絡(luò)，就要在組織的出口位置部署NAT網(wǎng)關(guān)，在報(bào)文離開私網(wǎng)進(jìn)入Internet時(shí)，將源IP替換為公網(wǎng)地址，通常是出口設(shè)備的接口地址。一個(gè)對(duì)外的訪問(wèn)請(qǐng)求在到達(dá)目標(biāo)以后，表現(xiàn)為由本組織出口設(shè)備發(fā)起，因此被請(qǐng)求的服務(wù)端可將響應(yīng)由Internet發(fā)回出口網(wǎng)關(guān)。出口網(wǎng)關(guān)再將目的地址替換為私網(wǎng)的源主機(jī)地址，發(fā)回內(nèi)部。這樣一次由私網(wǎng)主機(jī)向公網(wǎng)服務(wù)端的請(qǐng)求和響應(yīng)就在通信兩端均無(wú)感知的情況下完成了。依據(jù)這種模型，數(shù)量龐大的內(nèi)網(wǎng)主機(jī)就不再需要公有IP地址了。三、

4、NAT轉(zhuǎn)換過(guò)程示意圖四、NAT處理報(bào)文的幾個(gè)關(guān)鍵特點(diǎn) 1. 網(wǎng)絡(luò)被分為私網(wǎng)和公網(wǎng)兩個(gè)部分，NAT網(wǎng)關(guān)設(shè)置在私網(wǎng)到公網(wǎng)的路由出口位置，雙向流量必須都要經(jīng)過(guò)NAT網(wǎng)關(guān)； 2. 網(wǎng)絡(luò)訪問(wèn)只能先由私網(wǎng)側(cè)發(fā)起，公網(wǎng)無(wú)法主動(dòng)訪問(wèn)私網(wǎng)主機(jī)； 3. NAT網(wǎng)關(guān)在兩個(gè)訪問(wèn)方向上完成兩次地址的轉(zhuǎn)換或翻譯，出方向做源信息替換，入方向做目的信息替換； 4. NAT網(wǎng)關(guān)的存在對(duì)通信雙方是保持透明的； 5. NAT網(wǎng)關(guān)為了實(shí)現(xiàn)雙向翻譯的功能，需要維護(hù)一張關(guān)聯(lián)表，把會(huì)話的信息保存下來(lái)。五、一對(duì)一的NAT如果一個(gè)內(nèi)部主機(jī)唯一占用一個(gè)公網(wǎng)IP，這種方式被稱為一對(duì)一模型。此種方式下，轉(zhuǎn)換上層協(xié)議就是不必要的，因?yàn)橐粋€(gè)公網(wǎng)IP就能

5、唯一對(duì)應(yīng)一個(gè)內(nèi)部主機(jī)。顯然，這種方式對(duì)節(jié)約公網(wǎng)IP沒(méi)有太大意義，主要是為了實(shí)現(xiàn)一些特殊的組網(wǎng)需求。比如用戶希望隱藏內(nèi)部主機(jī)的真實(shí)IP，或者實(shí)現(xiàn)兩個(gè)IP地址重疊網(wǎng)絡(luò)的通信。六、一對(duì)多的NAT一個(gè)組織網(wǎng)絡(luò)，在出口位置部署NAT網(wǎng)關(guān)，所有對(duì)公網(wǎng)的訪問(wèn)表現(xiàn)為一臺(tái)主機(jī)。這就是所謂的一對(duì)多模型。這種方式下，出口設(shè)備只占用一個(gè)由Internet服務(wù)提供商分配的公網(wǎng)IP地址。面對(duì)私網(wǎng)內(nèi)部數(shù)量龐大的主機(jī)，如果NAT只進(jìn)行IP地址的簡(jiǎn)單替換，就會(huì)產(chǎn)生一個(gè)問(wèn)題：當(dāng)有多個(gè)內(nèi)部主機(jī)去訪問(wèn)同一個(gè)服務(wù)器時(shí)，從返回的信息不足以區(qū)分響應(yīng)應(yīng)該轉(zhuǎn)發(fā)到哪個(gè)內(nèi)部主機(jī)。此時(shí)，需要NAT設(shè)備根據(jù)傳輸層信息或其他上層協(xié)議去區(qū)分不同的會(huì)話，并且可能要對(duì)上層協(xié)議的標(biāo)識(shí)進(jìn)行轉(zhuǎn)換，比如TCP或UDP端口號(hào)。這樣NAT網(wǎng)關(guān)就可以將不同的內(nèi)部連接訪問(wèn)映射到同一公網(wǎng)IP的不同傳