NAT技術及其應用

一:概念:
共有IP:也叫全局地址,是指合法IP地址,它是由NIT(網絡信息中心)或者ISP(網絡服務提供商)分配的地址,對外代表一個或多個內部局部地址,是全球統一的可尋址的地址.
私有IP地址:也就內部地址,屬於非註冊地址,專門爲組織機構內部使用,因特網分配編寫委員會,保留了3塊IP地址做爲私有IP地址:
10.0.0—-10.255.255.255
172.16.0.0—172.16.255.255
192.168.0.0—192.168.255.255
二:什麼是NAT:
NAT,又稱”網絡地址轉換”,簡單點說就是在局域網中使用內部地址,而當內部要與外部網絡進行通訊時,就在網關(理解出出口)處,將內部地址替換成公用地址,從外在外部公網上正常使用,NAT可以使多臺計算機共享internet連接,這一功能很好地解決了公共IP地址緊缺的問題.通常這種方法,可以只申請一個合法IP地址,就是把整個局域網中的計算機接入internet中.這時NAT屏蔽了計算機網絡,所有內部網計算機對於公共網絡來說是不可見的,而內部網計算機用戶通常不會意識到NAT的存在.
我們畫圖來表示:

NAT功能通常被集成路由器,防火牆,ISDN路由器或者單獨的NAT設備中.
三:分類
NAT有三種類型:靜態NAT,動態地址NAT,網絡地址端口轉換NAPT.
1:靜態NAT
通過手動設置,使internet客戶進行的通信能夠映射到某個特定的私有網絡地址和端口,如果想讓連接在Internet上的計算機能夠使用某個西遊網絡上的服務器(如網站服務器)以及應用程序(如遊戲),那麼靜態映射是必須的,靜態映射不會從NAT轉換表中刪除.
如果在NAT轉換表中存在某個映射,那麼NAT只是單向第從internet向私有網絡傳送數據,這樣,NAT就爲鏈接私有網絡部分的計算機提供了某種程度的保護,但是爲了考慮internet的安全性,NAT就要配合全功能的防火牆一起使用.
2:動態NAT
所謂的動態NAT只是轉換IP地址,它爲每一個內部的IP地址分配一個臨時的外部IP地址,主要應用於撥號,對於頻繁的遠程聯接也可以採用動態NAT.,當遠程用戶聯接上之後,動態地址NAT就會分配給他一個IP地址,用戶斷開時,這個IP地址就會被釋放而留待以後使用
3:NAPT網絡地址轉換,
兩種轉換方式:SNAT,和DNAT
(1):源NAT:修改數據包的源地址,源NAT改變第一個數據包的來源地址,它永遠會在數據包發送到網絡之前完成,數據包僞裝就是SNA的栗子
(2):目的NAT:修改數據包的目的地址,與SNAT相反,它是改變第一個數據包的目的地址.

四:NAT原理
1:地址轉換
NAT基本工作原理 當私有網主機和公共網主機通信的IP包經過NAT網關時，將IP包中的源IP或目的IP在私有IP和NAT的公共IP之間進行轉換。
2:連接跟蹤
NAT Gateway在收到響應包後，就需要判斷將數據包轉發給誰。此時如果子網內僅有少量客戶機，可以用靜態NAT手工指定；但如果內網有多臺客戶機，並且各自訪問不同網站，這時候就需要連接跟蹤（connection track）。
3:端口轉換
客戶機訪問服務器爲例，當僅有一臺客戶機訪問服務器時，NAT Gateway只須更改數據包的源IP或目的IP即可正常通訊。但是如果Client A和Client B同時訪問Web Server，那麼當NAT Gateway收到響應包的時候，就無法判斷將數據包轉發給哪臺客戶機，

五:NAT應用:
實現以下幾個功能:數據包僞裝,平衡負載,失效終結,端口轉發和透明代理
1:數據僞裝:可以將內網數據包中的地址信息更改成統一的對外地址信息,不讓內網主機直接暴露在因特網上,保證內網主機的安全.同時,該功能也常用來共享上網.
2:端口轉發: 當內網主機對外提供服務時，由於使用的是內部私有IP地址，外網無法直接訪問。因此，需要在網關上進行端口轉發，將特定服務的數據包轉發給內網主機。
3:負載平衡:目的地址轉換NAT可以重定向一些服務器的連接到其他隨機選定的服務器
4:失效終結:目的地址轉換NAT可以用來提供高可靠性的服務。如果一個系統有一臺通過路由器訪問的關鍵服務器，一旦路由器檢測到該服務器當機，它可以使用目的地址轉換NAT透明的把連接轉移到一個備份服務器上，提高系統的可靠性。
5:透明代理:例如自己架設的服務器空間不足，需要將某些鏈接指向存在另外一臺服務器的空間；或者某臺計算機上沒有安裝IIS服務，但是卻想讓網友訪問該臺計算機上的內容，這個時候利用IIS的Web站點重定向即可輕鬆的幫助我們搞定。

六:NAT的缺陷:
(1)不能處理嵌入式IP地址或端口
NAT設備不能翻譯那些嵌入到應用數據部分的IP地址或端口信息，它只能翻譯那種正常位於IP首部中的地址信息和位於TCP/UDP首部中的端口信息
(2)不能從公網訪問內部網絡服務
由於內網是私有IP，所以不能直接從公網訪問內部網絡服務，比如WEB服務，對於這個問題，我們可以採用建立靜態映射的方法來解決.
(3) 有一些應用程序雖然是用A端口發送數據的，但卻要用B端口進行接收，不過NAT設備翻譯時卻不知道這一點，它仍然建立一條針對A端口的映射，結果對方響應的數據要傳給B端口時，NAT設備卻找不到相關映射條目而會丟棄數據包。