IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> NAT 技术概览(二) -> 正文阅读

[系统运维]NAT 技术概览(二)

上一章我们提到 p2p 最大的障碍就是无处不在的 NAPT(网络端口地址转换),NAPT 是一种 NAT(网络地址转换) 技术,这一章节我们就来介绍一下 NAT 技术。

NAT 产生背景

随着 Internet 的发展和网络应用的增多,IPv4 地址枯竭已成为制约网络发展的瓶颈。尽管 IPv6 可以从根本上解决 IPv4 地址空间不足问题,但是在 IPv6 广泛应用之前,一些过渡技术(如 CIDR、私网地址等)是解决这个问题最主要的技术手段。其中,使用私网地址之所以能够节省 IPv4 地址,主要是利用了这样一个事实:一个局域网中在一定时间内只有很少的主机需访问外部网络,而 80% 左右的流量只局限于局域网内部。由于局域网内部的互访可通过私网地址实现,且私网地址在不同局域网内可被重复利用,因此私网地址的使用有效缓解了 IPv4 地址不足的问题。当局域网内的主机要访问外部网络时,只需通过 NAT 技术将其私网地址转换为公网地址即可,这样既可保证网络互通,又节省了公网地址。IANA (互联网数字分配机构) 保留以下三个网段中的地址作为私网地址:10.0.0.0/8、172.16.0.0/12 和192.168.0.0/16。使用私网地址的主机不能直接访问 Internet,而在 Internet 上也不能直接访问使用私网地址的主机。

技术优点

作为一种过渡方案,NAT 通过地址重用的方法来满足 IP 地址的需要,可以在一定程度上缓解 IP 地址空间枯竭的压力。它具备以下优点:

  • 对于内部通讯可以利用私网地址,如果需要与外部通讯或访问外部资源,则可通过将私网地址转换成公网地址来实现。
  • 通过公网地址与端口的结合,可使多个私网用户共用一个公网地址。
  • 通过静态映射,不同的内部服务器可以映射到同一个公网地址。外部用户可通过公网地址和端口访问不同的内部服务器,同时还隐藏了内部服务器的真实IP地址,从而防止外部对内部服务器乃至内部网络的攻击行为。
  • 方便网络管理,如通过改变映射表就可实现私网服务器的迁移,内部网络的改变也很容易。

NAT 技术实现

NAT的基本原理是仅在私网主机需要访问 Internet 时才会分配到合法的公网地址,而在内部互联时则使用私网地址。当访问 Internet 的报文经过 NAT 网关时,NAT 网关会用一个合法的公网地址(IP)替换原报文中的源 IP 地址,并对这种转换进行记录;之后,当报文从 Internet 侧返回时,NAT 网关查找原有的记录,将报文的目的地址再替换回原来的私网地址,并送回发出请求的主机。这样,在私网侧或公网侧设备看来,这个过程与普通的网络访问并没有任何的区别。

基本 NAT (Basic NAT)

Basic NAT 方式属于一对一的地址转换,在这种方式下只转换IP地址,而不关心 TCP/UDP 等传输层协议的端口号,一个公网 IP 地址不能同时被多个用户使用。

在这里插入图片描述

Basic NAT方式的处理过程:

  • NAT设备收到私网侧主机发送的访问公网侧服务器的报文。
  • NAT设备从地址池中选取一个空闲的公网 IP 地址,建立与私网侧报文源IP地址间的NAT转换表项(正反向),并依据查找正向 NAT 表项的结果将报文转换后向公网侧发送。
  • NAT 设备收到公网侧的回应报文后,根据其目的 IP 地址查找反向 NAT 表项,并依据查表结果将报文转换后向私网侧发送。

注意由于Basic NAT这种一对一的转换方式并未实现公网地址的复用,不能有效解决IP地址短缺的问题,因此在实际应用中并不常用。

端口 NAT(NAPT)(PAT)

由于Basic NAT方式并未实现地址复用,因此并不能解决公网地址短缺的问题,而NAPT方式则可以解决这个问题。NAPT方式属于多对一的地址转换,它通过使用"IP地址+端口号"的形式进行转换,使多个私网用户可共用一个公网IP地址访问外网,因此是 NAT 实现的主要形式。

在这里插入图片描述

NAPT方式的处理过程如下:

  • NAT设备收到私网侧主机发送的访问公网侧服务器的报文。
  • NAT设备从地址池中选取一对空闲的"公网IP地址+端口号",建立与私网侧报文"源IP地址+源端口号"间的NAPT转换表项(正反向),并依据查找正 向NAPT表项的结果将报文转换后向公网侧发送。
  • NAT设备收到公网侧的回应报文后,根据其"目的IP地址+目的端口号"查找反向NAPT表项,并依据查表结果将报文转换后向私网侧发送。

NAT Server方式

出于安全考虑,大部分私网主机通常并不希望被公网用户访问。但在某些实际应用中,需要给公网用户提供一个访问私网服务器的机会。而在Basic NAT或NAPT方式下,由于由公网用户发起的访问无法动态建立NAT表项,因此公网用户无法访问私网主机。NAT Server(NAT内部服务器)方式就可以解决这个问题——通过静态配置"公网IP地址 +端口号"与"私网IP地址+端口号"间的映射关系,NAT设备可以将公网地址"反向"转换成私网地址。

在这里插入图片描述

  • 在NAT设备上手工配置静态NAT转换表项(正反向)。
  • NAT设备收到公网侧主机发送的访问私网侧服务器的报文。
  • NAT设备根据公网侧报文的"目的IP地址+目的端口号"查找反向静态NAT表项,并依据查表结果将报文转换后向私网侧发送。

接下来我们来重点讨论第二种实现方式:端口 NAT(NAPT)(PAT),我们绝大多数的终端设备都位于这个这种 NAT 之后。

NAT 设备的分类

这里是根据设备处理需要 NAPT 的数据包的行为(behavior)来分类的。这里行为分为两种:映射行为(mapping behavior)过滤行为(filter behavior)

在这里插入图片描述

映射行为

这里的映射是指:内网ip+端口公网ip+端口的映射。nat 设备所有的映射规则可以分为三种:端点无关依赖地址依赖地址+端口。解释一下端点,一个端点就是一个网络地址(IP)+端口的组合(后面我们提到的端口都代指 IP + 端口),端点无关就是即不依赖地址也不依赖端口,这里地址和端口指的都是远端设备的地址和端口,即:目的IP+目的端口。

  • 端点无关:只是根据设备后终端发出数据包的的内网IP + 端口 两个元素的不同来决定映射后的公网IP+端口
  • 依赖地址: 根据本地的内网IP+端口在加上远端地址(目的IP) 三个元素的不同来决定映射后的 公网IP+端口
  • 依赖地址+端口: 根据内网IP+端口在加上**远端地址(目的IP)+ 远端端口(目的端口)* *四个元素的不同来决定映射后的 公网IP+端口

上面三种中的第一种我们可以简称为:EIM(Endpoint-independent mapping 端结点无关的映射),后面两种统称为:EDM(Endpoint-dependent mapping 端结点相关的映射)

过滤行为

当我们请求数据包发出后我们当然期望有数据包的返回,这个返回的数据包的目的地址+端口就是映射之后的公网IP+端口,那么是不是所有的目的地址+端口是本端公网IP+端口的数据包我们都放行呢?

根据 nat 设备的放行规则(过滤行为):我们可以把 nat 设备分为三类:

  • 端点无关:不做过滤,只要 nat 设备后的终端设备向外发出请求,nat 网络建立了 内网ip+端口公网ip+端口的映射。公网端点收到的数据包都会被转发到相应内网IP+端口。
  • 依赖地址: 根据数据包的 IP 过滤,只有该nat设备后的终端设备向该 IP 发送过数据包,nat 设备才会把来着该设备的数据包转发到内网。
  • 依赖地址+端口: 根据数据包的 IP + 端口过滤,只有nat设备后的终端设备向该端点发送给数据包,nat 设备才会把来着该端点的数据包转发到内网。

上面三种中的第一种我们可以简称为:EIF(Endpoint-independent Filtering 端结点无关的过滤),后面两种统称为:EDF(Endpoint-independent Filtering 端节点相关的过滤)

为什么要介绍这些分类呢?因为 P2P 应对无处不在的 napt 的方案叫做 nat 穿越,这其中打洞是最优先要考虑的一种穿越技术,而 nat 设备的映射行为+过滤行为就决定了应用程序是否能打洞成功。

另外一种分类方式

为了方便展示什么样类型的 nat 支持打洞,我们再来引入一种更为传统的 nat 设备分类方式:全锥形,限制锥型,端口限制型,对称型

EIM 和 EIF <=> 全锥型
EIM 和 EDF (基于 IP 的过滤) <=> 限制锥型
EIM 和 EDF (基于 IP 和 Port 的过滤) <=> 端口限制型
EDM 和 EDF (基于 IP 和 Port 的过滤) <=> 对称型

本地类型/对端类型全锥型限制锥型端口限制型对称型
全锥型
限制锥型
端口限制型
对称型×
  • √ 表示可以打通
  • × 表示不可以打通
  • — 表示有打通的方法,但是不能确保 100% 打通

至于为什么有的能打通,有的打不通,有的还不能确保 100% 打通,这个原因是很复杂的,在后面介绍 ICE 时我们再来详细介绍其原理。

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2022-10-31 12:39:35  更:2022-10-31 12:41:35 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/25 18:20:40-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码