网络地址转换(NAT):简介

blank

网络地址转换(NAT)是个人和组织可以使用的一种强大方法,以建立安全、经济实惠、简单的与互联网的连接。

NAT不仅提供安全性,还提供了与网络通信的灵活性、可伸缩性和速度。

使用NAT还可以确保您在保存公共IP地址方面做出贡献。

但是,到底什么是NAT,为什么你应该花时间理解和使用它呢?

在本文中,我将回答这个问题。

所以,让我们从定义NAT开始。

什么是网络地址转换(NAT)?

网络地址转换(NAT)是通过在传输过程中更改网络地址数据,将一个范围的 IP addresses映射到另一个范围。

blank

换句话说,NAT使一个独特的(互联网协议)IP地址能够代表一个或一组计算机。这意味着在一个网络中,即使它们具有相同的私有IP地址,多个设备也可以公开共享一个IP地址。

最初,这种方法是用来消除在上游 ISP(互联网服务提供商)更改或网络重新定位的情况下,为每个主机单独分配新的IP地址的需求,但是网络的IP地址保持不变。

有趣的是,NAT网关可以提供一个单一可路由的IP地址,可以轻松用于整个私有网络。由于NAT在传输过程中更改IP地址数据,在不同的寻址情况下有不同的行为,以及对 network traffic 的其他影响,因此存在不同的NAT实现。

NAT的功能是什么?

在NAT中,像NAT防火墙或路由器这样的网络设备会为私有网络中的一个计算机或一组计算机分配一个公共IP地址。这样,NAT允许一个设备在公共网络、私有网络和本地网络之间进行调解。

blank
NAT的功能是什么?

NAT可以通过允许使用未注册地址的私有IP地址上网来节省IP地址。在转发连接的数据包之前,NAT将本地的私有网络地址转换为唯一的全局和合法地址。

通过NAT配置,外部世界只能看到一个IP地址,尽管它代表整个网络。因此,它可以隐藏完整的内部网络并提供更多的 security and privacy。NAT实现最适用于远程访问环境。

NAT是如何工作的?

网络地址转换允许像NAT路由器或防火墙这样的设备在内部网络(局域网)和外部网络(互联网)之间充当中介。这使得整个设备组在执行网络外部操作时能反映出相同的IP地址。

blank

NAT的工作方式类似于组织中的前台接待员,根据特定的指示决定要发送、等待或排除的访客或电话。NAT的工作方式类似。所有的请求都到达公共端口和IP地址。在这里,NAT指令决定请求应该去哪里,同时隐藏目标的私有IP地址。

NAT选择在两个不同的局域网之间的网关 – 外部网络和内部网络之间的网关。内部系统上的所有系统将具有无法路由到外部网络的IP地址。此外,一些外部有效的IP地址将被分配给网关,使得出站流量看起来来自一个有效的外部IP地址。

接下来,它使用进入的流量,并将其传输到正确的内部系统。这样就建立了安全性。由于传入和传出的请求都需要经过一个转换过程,它提供了一种验证进入流量并将其与传出流量匹配的好方法。

NAT过程的示例

以下是NAT在现实世界中的工作示例。

用户将其设备连接到家庭Wi-Fi网络。家庭路由器将为该设备分配一个私有IP地址,该地址只能在该网络内使用。

因此,当用户尝试加载给定的网页时,地址将通过其路由器请求目标网页。现在,NAT路由器将请求的源地址从设备的私有IP地址更改为其网络的公共IP地址。NAT表将存储此转换,网关将查找以确定数据包是否满足转换条件。

此外,用户尝试访问的服务器将返回所请求的数据包到其网络的公共地址。接下来,路由器将在将数据包路由到用户设备时将目标地址修改为设备的私有IP地址。

NAT的类型

blank

NAT有不同的类型,可用于各种目的。

#1. SNAT

静态NAT(SNAT)是一种将私有IP地址转换为公共IP地址的NAT类型。它在执行转换时始终使用相同的公共IP地址。

SNAT可以使用一对一NAT将未注册的IP地址映射到已注册的IP地址。这意味着该网络上的所有设备将具有相同的公共地址。在此过程中,网络地址仅更改了标题和IP地址。

它适用于用户需要从外部网络访问的设备。当连接两个具有不兼容地址的不同IP网络时,也会使用它。此外,它在Web托管中使用。通常,个人和较小的组织使用SNAT,设备较少,成本较低。

#2. DNAT

动态NAT(DNAT)是一种将私有IP地址映射到一组公共IP地址的NAT类型。与SNAT不同,它不使用相同的IP地址,而是每次执行转换时使用不同的IP地址,但它使用一对一的连接,类似SNT。

blank

在此过程中,DNAT防火墙或路由器具有一组可用的公共注册IP。因此,当DNAT将网络地址从私有转换为公共时,它允许路由器从该池中选择任何可用的公共IP地址。接下来,它开始将未注册的IP地址映射到已注册的IP地址。

因此,DNAT使设备可以在每次转换时具有不同的IP。这意味着您无法知道私有地址映射到哪个全局IP地址。这是一种高效的解决方案,因为您可以将更多设备连接到网络。

然而,它可能会很昂贵,因为您需要投资于一个公共IP池。此外,可以传输的数据包数量有限。您只能发送和接收等于您池中可用的公共IP地址总数的数据包。

它适用于具有多个内部网络的大型组织。如果有一定数量的用户需要互联网访问,也非常适合。

#3. PAT

端口地址转换(PAT),也称为NAT过载,是每个内部设备使用共同的公共IP地址的情况。但是,每个私有IP地址都将被分配一个不同的端口。

在PAT中,不同的端口用于将不同的本地未注册和私有IP地址映射到仅一个已注册的IP地址。它还区分哪个网络流量对应于哪个IP地址。

blank

PAT是一种NAT类型,在私有网络到公共网络传输数据包时,数据包的源地址将被更改。当它们从公共网络返回到私有网络时,它们的目标地址也将被更改。

此外,数据包之间的链接也将被更改,以确保翻译清晰。使用已注册私有IP地址来映射更改的IP地址和端口号的组合。

许多人认为PAT比NAT更具成本效益。原因是许多用户只需使用一个公共IP地址即可连接到网络。因此,无论您是大型、小型还是中型组织,都可以使用它。

除了SNAT、DNAT和PAT之外,您还可以见证RNAT和重叠NAT。

  • RNAT允许您使用公共互联网或互联网连接到您的网络。
  • 重叠NAT发生在两个组织的网络使用相同的IP合并时。当注册的IP分配给多个设备或用于多个内部网络时,也可能发生这种情况。在这种情况下,重叠NAT可以连接网络而不需要重新寻址每个设备。

NAT的重要性是什么?

blank

设备或系统需要一个IP地址,这是一组由句点分隔的唯一数字,以建立与网络的通信。这个数字用于标识和定位网络设备,并使用户能够与网络进行通信。

IP分为两种类型- IPv4和IPv6。在互联网的早期阶段,只创建了约43亿个IPv4地址。然而,并非每个地址都可以分配给设备进行通信。一些地址被保留用于测试、军事和广播,剩下的30亿地址可用于通信。

blank

2019年,可用地址池中的最后几个IPv4地址被分配完毕,IPv4用尽。为了应对这个问题,引入了IPv6寻址。IPv6重新创建了IP寻址,并提供了更多分配地址的选项。然而,改变或实施网络系统需要很多年的时间。

于是,NAT应运而生。Cisco在此期间引入了NAT,现在广泛部署。

NAT已成为一种宝贵且流行的方式,用于节省全球地址空间,特别是在IPv4地址耗尽的情况下。NAT还用于隐藏私有网络IP地址范围,以实现成本效益和安全性。

NAT的优势

IP地址保留

NAT有助于保留合法注册的IP地址,并防止它们的耗尽。鉴于全球互联网用户数量的增长,这是使网络对每个人都可以访问的一个伟大举措。

安全性

使用NAT,您可以在数据包传输过程中隐藏设备的IP地址,从而实现访问网络的安全性和隐私性。NAT速率限制还可以让您限制路由器上同时进行的NAT操作的最大数量。

blank

这样,您可以更好地控制NAT地址的使用,并减少病毒、蠕虫、拒绝服务(DoS)攻击等的影响。实施动态NAT(DNAT)将自动在互联网和内部网络之间创建连接。此外,一些NAT路由器还可以提供诸如流量过滤和日志记录之类的安全功能。

多个连接

建立多个互联网连接有助于保持网络可靠性,并减少连接故障时关闭的可能性。它还通过减少使用单个连接的设备数量来负载均衡。

此外,多家网络通常连接到为组织分配单个或多个IP地址的几个ISP。此外,路由器可以使用NAT来路由具有不同NAT协议的网络。

此外,多家网络通过使路由器利用子域名系统(DNS)或IP协议的一部分,边界网关协议(BGP)来进行通信。类似地,子域名站点通过内部BGP(IBGPs)进行共享,而路由器使用外部BGP(EBGP)进行交互。如果连接失败,多家网络将通过另一个路由器重新路由数据。

速度

blank

NAT对源计算机和目标计算机都比proxy servers透明。这样可以实现直接的高速处理。代理服务器通常也在OSI模型的第四层或传输层甚至更高层次工作。这使得它们比NAT慢,因为NAT位于第三层或网络层。

可扩展性

当您的需求增长时,您的需求将需要更多的IP地址供用户和设备使用。因此,您可以利用NAT而不是向IANA请求更多的IP地址。当您使用具有动态主机配置协议(DHCP)的NAT时,扩展将变得更加容易。

原因是NAT和DHCP很好地配合,根据您的需求从可用列表中分配未注册的子域IP。这样,您可以扩展可用的IP地址范围,并且DHCP可以快速配置和为更多的网络计算机腾出空间。

灵活性和简单性

NAT在部署和建立连接方面具有灵活性。您可以将其部署在无线、公共局域网中。有时,通过静态NAT(SNAT)和入站映射,您可以使外部设备能够在子域上建立设备连接。

此外,NAT降低了复杂性,使互联网连接变得简单,因为它不需要在更改或合并网络后重新编号IP地址。NAT还允许您在内部网络中构建虚拟主机,协调TCP load-balancing

NAT的限制

blank
NAT的限制

NAT的一些限制包括:

  • 消耗资源:NAT可能消耗大量处理器空间和内存资源。这是因为它将所有IPv4地址转换为您的传入和传出IPv4数据报,并将所有转换详细信息保存在内存中。
  • 功能:启用NAT可能导致某些技术和应用的功能降低。
  • 隧道复杂性:NAT可能会复杂化隧道协议。为此,您可以使用IPsec进行安全网络地址转换。
  • 层问题:当路由器作为NAT设备工作时,它可能会干扰第4层或传输层的端口号,因为它是为第3层或网络层设计的。
  • 延迟:在转换过程中可能会出现路径延迟。

NAT中的一些常见术语

blank
  • 源地址:它是发起主机的IP地址。
  • 源端口:它是发起主机分配的TCP/UDP端口号。
  • 目标地址:它是接收方的IP地址。
  • 目标端口:它是发起主机请求接收方打开的端口。
  • 内部本地地址:它是分配给本地(内部)网络上的主机的私有IP地址。服务提供商不分配它。它是内部网络的内部主机。
  • 内部全局地址:它是表示一个或多个本地IP的IP地址。它是外部/外部网络的内部主机。
  • 外部本地地址:一旦转换完成,目标主机的真实IP地址位于本地网络中。
  • 外部全局地址:转换前的外部目标主机的IP地址。它是外部/外部网络的外部主机。
  • 子域:它是由以下组成的未注册的私有IP地址:
  1. NAT路由器部署的外部本地地址
  2. 本地区域网络使用的内部本地地址
  • NAT表:NAT重新分配端口号和IP地址,并使用NAT转换表对其进行跟踪。

假设路由器已经接收到来自本地设备的数据包,并分配了一个公共IP地址给该设备。路由器将会改变源设备的IP地址,使其能够利用自己的IP地址。接下来,它会改变源端口号,以确保它有关于接收到的数据包应该传送到哪里的信息。这些IP地址的重新分配会被记录在NAT转换表中。

结论

随着互联网用户的增加和全球安全问题的传播,需要一种更安全、更高效的连接方法。NAT旨在实现这一点。它将帮助节约公共链接,同时为您在连接互联网时提供安全性、速度、灵活性和可扩展性的优势。

类似文章