NAT的工作原理啥

Posted 2023-04-20

NAT全称是
Network
Address
Translation，网络地址转换。
其是在是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。
NAT不仅能解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。
1.宽带分享：这是
NAT
主机的最大功能。
2.安全防护：NAT
之内的
PC
联机到
Internet
上面时，他所显示的
IP
是
NAT
主机的公共
IP，所以
Client
端的
PC
当然就具有一定程度的安全了，外界在进行
portscan（端口扫描）
的时候，就侦测不到源Client
端的
PC
。
NAT工作原理
借助于NAT，私有（保留）地址的"内部"网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求。
NAT将自动修改IP报文的源IP地址和目的IP地址，Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文的数据部分进行修改，以匹配IP头中已经修改过的源IP地址。否则，在报文数据部分嵌入IP地址的应用程序就不能正常工作。 参考技术A 内网的数据到达网关时，被网关用NAT转换为公网IP。内网的数据分组是以网关的身份去访问internet，而网关区别内网的数据分组使用了端口，每个数据分组使用一个端口。
在外网的主机看来，数据都是从内网的网关发送过来的，不同的是他们的端口。而这些端口是映射到内网主机上的。本回答被提问者采纳

NAT基本原理

NAT只能作为过渡方案，暂时缓解IPV4地址不够用的问题，在IPv6广泛应用之前，采用一些过渡技术（CIDR、私网地址等）

私网地址10.0.0.0/8、172.16.0.0-172.31.255.255、192.168.0.0/16

工作原理:
当访问互联网的报文会经过NAT网关，NAT网关会用一个合法的公网地址替换原报文中的源IP地址，并对这种转换进行记录(出方向)，之后，当报文从internet侧返回时，NAT网关会查找原有的记录（反方向），将报文的目的地址再替换回原来的私网地址，并送回发出请求的主机

ACL对IP地址的控制
在实际应用中、NAT设备会查看IP数据报文的头部，对照ACL、如果源IP动作拒绝，它将不进行地址转换

基础NAT方式:属于一对一的地址转换，在这种方式下只转换IP地址，而对TCP/UDP协议端口号不做处理，目前实际中不常用
NAT端口复用:属于多对一的地址转换，使用“IP地址+端口号”形式转换(NAT选取空闲的端口号)
NAT Server方式:出于安全考虑，大部分用户主机不希望被公网用户访问，但某些服务希望被公网访问，“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系

应用级网关
NAT只改变IP头部地址信息，不对报文过载进行分析，然而有些应用层协议，其报文携带有地址或端口信息，这些信息不能有效的转换
使用应用级网关(ALG)机制来解决
ALG是特定应用协议的转换代理，它对IP报文的进行分析，改变封装在其中的地址和端口信息，并完成应用协议穿越NAT

NAT日志:在NAT转换时生成的一种系统信息（源IP地址、目的IP地址、源端口、目的端口等）只记录内网访问外网的情况，不记录外网访问内网

NAT会话状态表占用CPU和内存资源

NAT网关必做的事情、因为IP和端口资源有限，通信需求无限、如果应用需要维持连接的时间大于NAT网关的设置，通信会中断

NAT优点:
1、节约IPv4地址
2、隐藏公网地址、网络安全
3、方便管理

NAT缺点:
1、对于一些数据报文进行IP地址的转换，报头不能被加密
2、如果遭受到内网攻击，很难准确定位，因为主机IP地址被屏蔽了