網絡運維|關于AP有關的介紹

2020-04-15 18:08 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網絡運維工程師，今天跟大家分享一個日常網絡運維一個很重要的網絡協議NAT的簡單介紹。

NAT簡介

定義

網絡地址轉換NAT（Network Address Translation）是將IP數據報文頭中的IP地址轉換為另一個IP地址的過程。

目的

隨著Internet的發展和網絡應用的增多，IPv4地址枯竭已成為制約網絡發展的瓶頸。盡管IPv6可以從根本上解決IPv4地址空間不足問題，但目前眾多網絡設備和網絡應用大多是基于IPv4的，因此在IPv6廣泛應用之前，一些過渡技術（如CIDR、私網地址等）的使用是解決這個問題最主要的技術手段。NAT主要用于實現內部網絡（簡稱內網，使用私有IP地址）訪問外部網絡（簡稱外網，使用公有IP地址）的功能。當內網的主機要訪問外網時，通過NAT技術可以將其私網地址轉換為公網地址，可以實現多個私網用戶共用一個公網地址來訪問外部網絡，這樣既可保證網絡互通，又節省了公網地址。

受益

作為減緩IP地址枯竭的一種過渡方案，NAT通過地址重用的方法來滿足IP地址的需要，可以在一定程度上緩解IP地址空間枯竭的壓力。NAT除了解決IP地址短缺的問題，還帶來了兩個好處：

• 有效避免來自外網的攻擊，可以很大程度上提高網絡安全性。
• 控制內網主機訪問外網，同時也可以控制外網主機訪問內網，解決了內網和外網不能互通的問題。

NAT概述

NAT是將IP數據報文頭中的IP地址轉換為另一個IP地址的過程，主要用于實現內部網絡（私有IP地址）訪問外部網絡（公有IP地址）的功能。Basic NAT是實現一對一的IP地址轉換，而NAPT可以實現多個私有IP地址映射到同一個公有IP地址上。

Basic NAT

Basic NAT方式屬于一對一的地址轉換，在這種方式下只轉換IP地址，而不處理TCP/UDP協議的端口號，一個公網IP地址不能同時被多個私網用戶使用。
 Basic NAT示意圖  下圖描述了Basic NAT的基本原理，實現過程如下：

1. Router收到內網側Host發送的訪問公網側Server的報文，其源IP地址為10.1.1.100。
2. Router從地址池中選取一個空閑的公網IP地址，建立與內網側報文源IP地址間的NAT轉換表項（正反向），并依據查找正向NAT表項的結果將報文轉換后向公網側發送，其源IP地址是1.1.1.1，目的IP地址是2.2.2.2。
3. Router收到公網側的回應報文后，根據其目的IP地址查找反向NAT表項，并依據查表結果將報文轉換后向私網側發送，其源IP地址是2.2.2.2，目的IP地址是10.1.1.100。

NAT實現

Basic NAT和NAPT是私網IP地址通過NAT設備轉換成公網IP地址的過程，分別實現一對一和多對一的地址轉換功能。在現網環境下，NAT功能的實現還得依據Basic NAT和NAPT的原理，NAT實現主要包括：Easy IP、地址池NAT、NAT Server和靜態NAT/NAPT。
地址池NAT和Easy IP類似，此處只介紹Easy IP，關于地址池NAT相關內容請參見NAT概述中的NAPT。

Easy IP

Easy IP方式可以利用訪問控制列表來控制哪些內部地址可以進行地址轉換。
Easy IP方式特別適合小型局域網訪問Internet的情況。這里的小型局域網主要指中小型網吧、小型辦公室等環境，一般具有以下特點：內部主機較少、出接口通過撥號方式獲得臨時公網IP地址以供內部主機訪問Internet。對于這種情況，可以使用Easy IP方式使局域網用戶都通過這個IP地址接入Internet。
  Easy IP示意圖  如下圖所示，Easy IP方式的處理過程如下：

1. Router收到內網側主機發送的訪問公網側服務器的報文。
2. Router利用公網側接口的“公網IP地址＋端口號”，建立與內網側報文“源IP地址＋源端口號”間的Easy IP轉換表項（正反向），并依據查找正向Easy IP表項的結果將報文轉換后向公網側發送。
3. Router收到公網側的回應報文后，根據其“目的IP地址＋目的端口號”查找反向Easy IP表項，并依據查表結果將報文轉換后向內網側發送。

NAT Server

NAT具有“屏蔽”內部主機的作用，但有時內網需要向外網提供服務，比如提供WWW服務或者FTP服務。這種情況下需要內網的服務器不被“屏蔽”，外網用戶可以隨時訪問內網服務器。
NAT Server可以很好地解決這個問題，當外網用戶訪問內網服務器時，它通過事先配置好的“公網IP地址+端口號”與“私網IP地址+端口號”間的映射關系，將服務器的“公網IP地址+端口號”根據映射關系替換成對應的“私網IP地址+端口號”。
NAT Server實現原理圖  如下圖所示，NAT Server的地址轉換過程如下：

1. 在Router上配置NAT Server的轉換表項。
2. Router收到公網用戶發起的訪問請求，設備根據該請求的“目的IP+端口號”查找NAT Server轉換表項，找出對應的“私網IP+端口號”，然后用查找結果替換報文的“目的IP+端口號”。
3. Router收到內網服務器的回應報文后，根據該回應報文的“源IP地址＋源端口號”查找NAT Server轉換表項，找出對應的“公網IP+端口號”，然后用查找結果替換報文的“源IP地址＋源端口號”。

靜態NAT/NAPT

靜態NAT是指在進行NAT轉換時，內部網絡主機的IP同公網IP是一對一靜態綁定的，靜態NAT中的公網IP只會給唯一且固定的內網主機轉換使用。
靜態NAPT是指“內部網絡主機的IP+協議號+端口號”同“公網IP+協議號+端口號”是一對一靜態綁定的，靜態NAPT中的公網IP可以為多個私網IP使用。
靜態NAT/NAPT還支持將指定私網范圍內的主機IP轉換為指定的公網范圍內的主機IP。當內部主機訪問外部網絡時，如果該主機地址在指定的內部主機地址范圍內，會被轉換為對應的公網地址；同樣，當公網主機對內部主機進行訪問時，如果該公網主機IP經過NAT轉換后對應的私網IP地址在指定的內部主機地址范圍內，也是可以直接訪問到內部主機。