網(wǎng)絡運維|關于AP有關的介紹

2020-04-15 18:08 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡運維工程師，今天跟大家分享一個日常網(wǎng)絡運維一個很重要的網(wǎng)絡協(xié)議NAT的簡單介紹。

NAT簡介

定義

網(wǎng)絡地址轉換NAT（Network Address Translation）是將IP數(shù)據(jù)報文頭中的IP地址轉換為另一個IP地址的過程。

目的

隨著Internet的發(fā)展和網(wǎng)絡應用的增多，IPv4地址枯竭已成為制約網(wǎng)絡發(fā)展的瓶頸。盡管IPv6可以從根本上解決IPv4地址空間不足問題，但目前眾多網(wǎng)絡設備和網(wǎng)絡應用大多是基于IPv4的，因此在IPv6廣泛應用之前，一些過渡技術（如CIDR、私網(wǎng)地址等）的使用是解決這個問題最主要的技術手段。NAT主要用于實現(xiàn)內部網(wǎng)絡（簡稱內網(wǎng)，使用私有IP地址）訪問外部網(wǎng)絡（簡稱外網(wǎng)，使用公有IP地址）的功能。當內網(wǎng)的主機要訪問外網(wǎng)時，通過NAT技術可以將其私網(wǎng)地址轉換為公網(wǎng)地址，可以實現(xiàn)多個私網(wǎng)用戶共用一個公網(wǎng)地址來訪問外部網(wǎng)絡，這樣既可保證網(wǎng)絡互通，又節(jié)省了公網(wǎng)地址。

受益

作為減緩IP地址枯竭的一種過渡方案，NAT通過地址重用的方法來滿足IP地址的需要，可以在一定程度上緩解IP地址空間枯竭的壓力。NAT除了解決IP地址短缺的問題，還帶來了兩個好處：

• 有效避免來自外網(wǎng)的攻擊，可以很大程度上提高網(wǎng)絡安全性。
• 控制內網(wǎng)主機訪問外網(wǎng)，同時也可以控制外網(wǎng)主機訪問內網(wǎng)，解決了內網(wǎng)和外網(wǎng)不能互通的問題。

NAT概述

NAT是將IP數(shù)據(jù)報文頭中的IP地址轉換為另一個IP地址的過程，主要用于實現(xiàn)內部網(wǎng)絡（私有IP地址）訪問外部網(wǎng)絡（公有IP地址）的功能。Basic NAT是實現(xiàn)一對一的IP地址轉換，而NAPT可以實現(xiàn)多個私有IP地址映射到同一個公有IP地址上。

Basic NAT

Basic NAT方式屬于一對一的地址轉換，在這種方式下只轉換IP地址，而不處理TCP/UDP協(xié)議的端口號，一個公網(wǎng)IP地址不能同時被多個私網(wǎng)用戶使用。
 Basic NAT示意圖  下圖描述了Basic NAT的基本原理，實現(xiàn)過程如下：

1. Router收到內網(wǎng)側Host發(fā)送的訪問公網(wǎng)側Server的報文，其源IP地址為10.1.1.100。
2. Router從地址池中選取一個空閑的公網(wǎng)IP地址，建立與內網(wǎng)側報文源IP地址間的NAT轉換表項（正反向），并依據(jù)查找正向NAT表項的結果將報文轉換后向公網(wǎng)側發(fā)送，其源IP地址是1.1.1.1，目的IP地址是2.2.2.2。
3. Router收到公網(wǎng)側的回應報文后，根據(jù)其目的IP地址查找反向NAT表項，并依據(jù)查表結果將報文轉換后向私網(wǎng)側發(fā)送，其源IP地址是2.2.2.2，目的IP地址是10.1.1.100。

NAT實現(xiàn)

Basic NAT和NAPT是私網(wǎng)IP地址通過NAT設備轉換成公網(wǎng)IP地址的過程，分別實現(xiàn)一對一和多對一的地址轉換功能。在現(xiàn)網(wǎng)環(huán)境下，NAT功能的實現(xiàn)還得依據(jù)Basic NAT和NAPT的原理，NAT實現(xiàn)主要包括：Easy IP、地址池NAT、NAT Server和靜態(tài)NAT/NAPT。
地址池NAT和Easy IP類似，此處只介紹Easy IP，關于地址池NAT相關內容請參見NAT概述中的NAPT。

Easy IP

Easy IP方式可以利用訪問控制列表來控制哪些內部地址可以進行地址轉換。
Easy IP方式特別適合小型局域網(wǎng)訪問Internet的情況。這里的小型局域網(wǎng)主要指中小型網(wǎng)吧、小型辦公室等環(huán)境，一般具有以下特點：內部主機較少、出接口通過撥號方式獲得臨時公網(wǎng)IP地址以供內部主機訪問Internet。對于這種情況，可以使用Easy IP方式使局域網(wǎng)用戶都通過這個IP地址接入Internet。
  Easy IP示意圖  如下圖所示，Easy IP方式的處理過程如下：

1. Router收到內網(wǎng)側主機發(fā)送的訪問公網(wǎng)側服務器的報文。
2. Router利用公網(wǎng)側接口的“公網(wǎng)IP地址＋端口號”，建立與內網(wǎng)側報文“源IP地址＋源端口號”間的Easy IP轉換表項（正反向），并依據(jù)查找正向Easy IP表項的結果將報文轉換后向公網(wǎng)側發(fā)送。
3. Router收到公網(wǎng)側的回應報文后，根據(jù)其“目的IP地址＋目的端口號”查找反向Easy IP表項，并依據(jù)查表結果將報文轉換后向內網(wǎng)側發(fā)送。

NAT Server

NAT具有“屏蔽”內部主機的作用，但有時內網(wǎng)需要向外網(wǎng)提供服務，比如提供WWW服務或者FTP服務。這種情況下需要內網(wǎng)的服務器不被“屏蔽”，外網(wǎng)用戶可以隨時訪問內網(wǎng)服務器。
NAT Server可以很好地解決這個問題，當外網(wǎng)用戶訪問內網(wǎng)服務器時，它通過事先配置好的“公網(wǎng)IP地址+端口號”與“私網(wǎng)IP地址+端口號”間的映射關系，將服務器的“公網(wǎng)IP地址+端口號”根據(jù)映射關系替換成對應的“私網(wǎng)IP地址+端口號”。
NAT Server實現(xiàn)原理圖  如下圖所示，NAT Server的地址轉換過程如下：

1. 在Router上配置NAT Server的轉換表項。
2. Router收到公網(wǎng)用戶發(fā)起的訪問請求，設備根據(jù)該請求的“目的IP+端口號”查找NAT Server轉換表項，找出對應的“私網(wǎng)IP+端口號”，然后用查找結果替換報文的“目的IP+端口號”。
3. Router收到內網(wǎng)服務器的回應報文后，根據(jù)該回應報文的“源IP地址＋源端口號”查找NAT Server轉換表項，找出對應的“公網(wǎng)IP+端口號”，然后用查找結果替換報文的“源IP地址＋源端口號”。

靜態(tài)NAT/NAPT

靜態(tài)NAT是指在進行NAT轉換時，內部網(wǎng)絡主機的IP同公網(wǎng)IP是一對一靜態(tài)綁定的，靜態(tài)NAT中的公網(wǎng)IP只會給唯一且固定的內網(wǎng)主機轉換使用。
靜態(tài)NAPT是指“內部網(wǎng)絡主機的IP+協(xié)議號+端口號”同“公網(wǎng)IP+協(xié)議號+端口號”是一對一靜態(tài)綁定的，靜態(tài)NAPT中的公網(wǎng)IP可以為多個私網(wǎng)IP使用。
靜態(tài)NAT/NAPT還支持將指定私網(wǎng)范圍內的主機IP轉換為指定的公網(wǎng)范圍內的主機IP。當內部主機訪問外部網(wǎng)絡時，如果該主機地址在指定的內部主機地址范圍內，會被轉換為對應的公網(wǎng)地址；同樣，當公網(wǎng)主機對內部主機進行訪問時，如果該公網(wǎng)主機IP經(jīng)過NAT轉換后對應的私網(wǎng)IP地址在指定的內部主機地址范圍內，也是可以直接訪問到內部主機。