NAT基本原理

Posted 2020-09-01

NAT只能作为过渡方案，暂时缓解IPV4地址不够用的问题，在IPv6广泛应用之前，采用一些过渡技术（CIDR、私网地址等）

私网地址10.0.0.0/8、172.16.0.0-172.31.255.255、192.168.0.0/16

工作原理:
当访问互联网的报文会经过NAT网关，NAT网关会用一个合法的公网地址替换原报文中的源IP地址，并对这种转换进行记录(出方向)，之后，当报文从internet侧返回时，NAT网关会查找原有的记录（反方向），将报文的目的地址再替换回原来的私网地址，并送回发出请求的主机

ACL对IP地址的控制
在实际应用中、NAT设备会查看IP数据报文的头部，对照ACL、如果源IP动作拒绝，它将不进行地址转换

基础NAT方式:属于一对一的地址转换，在这种方式下只转换IP地址，而对TCP/UDP协议端口号不做处理，目前实际中不常用
NAT端口复用:属于多对一的地址转换，使用“IP地址+端口号”形式转换(NAT选取空闲的端口号)
NAT Server方式:出于安全考虑，大部分用户主机不希望被公网用户访问，但某些服务希望被公网访问，“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系

应用级网关
NAT只改变IP头部地址信息，不对报文过载进行分析，然而有些应用层协议，其报文携带有地址或端口信息，这些信息不能有效的转换
使用应用级网关(ALG)机制来解决
ALG是特定应用协议的转换代理，它对IP报文的进行分析，改变封装在其中的地址和端口信息，并完成应用协议穿越NAT

NAT日志:在NAT转换时生成的一种系统信息（源IP地址、目的IP地址、源端口、目的端口等）只记录内网访问外网的情况，不记录外网访问内网

NAT会话状态表占用CPU和内存资源

NAT网关必做的事情、因为IP和端口资源有限，通信需求无限、如果应用需要维持连接的时间大于NAT网关的设置，通信会中断

NAT优点:
1、节约IPv4地址
2、隐藏公网地址、网络安全
3、方便管理

NAT缺点:
1、对于一些数据报文进行IP地址的转换，报头不能被加密
2、如果遭受到内网攻击，很难准确定位，因为主机IP地址被屏蔽了