穿透数据中心网络的NAT大法

本文涉及的产品
公网NAT网关,每月750个小时 15CU
简介:
NAT(Network Address Translation)是一种网络地址转换技术,是一种将私有地址转化为合法IP地址的转换技术。它被广泛应用于各种数据中心网络中。NAT不仅完美地解决了IP地址不足的问题,还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的服务器。数据中心内部的服务器一般提供内网和外网两个网卡,内网访问主要采用的是私有地址,外网访问采用的是公有地址,由于公有地址的数量是有限的,所以内网中要使用大量的私有地址,通过NAT的方式实现私有地址与公有地址之间的转换,实现私有地址也可以访问外网的功能。这么有用的功能,怎能不赶快去了解一下,本文将详细介绍一下NAT技术。NAT可以分为两大类技术:基础NAT和NAPT两大部分。基础NAT,它仅将私有主机的私有IP地址转换成公有IP地址,但并不将TCP/UDP端口信息进行转换,有动态和静态之区分。NAPT是人们比较熟悉的一种转换方式。NAPT普遍应用于数据中心网络接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面,它将私有连接映射到公有网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。NAPT又分为对称型NAT和非对称型NAT。 
 

对称型NAT

 

对称型NAT也叫圆锥型NAT,是指私有地址设备用同一个IP和端口去连接外面任何一台服务器,它在NAT服务器上映射的都是同一个IP地址和端口,也就是说同一个私有地址和端口在NAT上都只有一个出口,是个一对多的关系,这个就有点像圆锥,故此得名是圆锥型NAT。圆锥形NAT又可以分为三类:完全圆锥型NAT,这种NAT会将私有地址转换成公有地址并绑定,任何数据报文都可以通过公有地址送到私有主机地址上。从一个私有IP地址和端口来的所有请求,都映射到相同的公有IP地址和端口。并且,任何公有主机通过向映射的公有地址发送报文,都可以实现和私有主机进行通信。这是一种比较宽松的策略,只要建立了私有网络的IP地址和端口与公有IP地址和端口的映射关系,所有的Internet上的主机都可以访问该NAT之后的主机;地址限制圆锥型NAT,这种NAT会将从相同的私有IP地址和端口来的所有请求映射到相同的公有IP地址和端口。但是与完全圆锥型NAT不同,当且仅当私有主机之前已经向公有主机发送过报文,此时公有主机才能向私有主机发送报文;端口限制圆锥型NAT,这种NAT与地址限制圆锥型NAT类似,但是更为严格,端口受限圆锥型NAT增加了端口号的限制。当前,仅当私有主机之前已经向公有主机发送了报文,公有主机才能和此私有主机通信。

 

圆锥NAT主要部署与用户对应用体验非常敏感的地方,如P2P下载,由于破坏了端到端的网络模型,如果应用不支持NAT穿越协议,由公网侧发起对NAT后私网的下载报文将被NAT设备丢弃,部署圆锥NAT将改善这种情况。目前各种UDP协议也考虑了NAT设备,一些基于UDP协议的应用自身就可以穿越NAT设备,如QQ等。地址限制圆锥型NAT及端口限制圆锥NAT,这两种NAT无非就是对外部设备的IP及端口进行进一步的限制,如限制圆锥NAT就是对PC的IP地址进行限制,只有PC的所有端口才可以对这地址及端口进行访问,而端口限制圆锥NAT就是对端口进行限制,所有PC的端口只有一个,不像圆锥NAT对所有的IP及端口都没有限制。

 

非对称型NAT

 

圆锥型NAT也可以叫做非对称型NAT,与之对应的就是对称型NAT。对称型NAT是指把所有来自相同私有IP地址和端口号,到特定目的IP地址和端口号的请求映射到相同的公有IP地址和端口。如果同一主机使用不同的源地址和端口对,发送的目的地址不同,则使用不同的映射。只有收到了一个IP包的公有主机才能够向该私有主机发送回一个UDP包。对称的NAT不保证所有会话中的私有地址、私有端口和公有IP,公有端口之间绑定的一致性。相反,它为每个新的会话分配一个新的端口号。

 

根据以往的介绍,可以将NAT做一个大致的分类,如图1所示:

 



 

图1:NAT分类

 

当然,NAT技术还不止这些,比如还有花生壳NAT-DDNS技术,这是国内知名品牌花生壳推出的NAT技术。NAT-DDNS利用动态域名服务(DDNS)和网络地址转换(NAT)的服务器实现公私网动态映射方法。NAT-DDNS 实现难度比传统 DDNS 大,采用“域名+端口”的访问方式。新花生壳服务器会记录每个新花生壳客户端设置的映射,为不同内网服务器的映射分配不同的访问端口号,访问者通过域名+端口号,就可以访问到相应内网服务器的内容。还有NAT444、NAT64、NAT-PT等一系列NAT新功能,这里提一下NAT444,NAT444是日本NTT公司提出来的NAT新技术,是两层NAT44的简称,属于IPV6过渡技术的一种,它采用端口块分配方式,可以从根本上解决用户的溯源问题。

 

NAT是数据中心网络必备设备之一,除非数据中心获得的公有地址是充足的,或者数据中心完全作为内网使用,与外网隔离,只要不是这样的情况,就需要部署NAT设备。NAT设备往往会部署在数据中心的网络出口处,所有从数据中心内部访问外部,或者从外部访问数据中心内部的流量都要经过NAT设备,由NAT设备完整内外网地址的映射。显然,NAT设备的表项非常关键,一旦NAT出现问题,往往造成内外网之间的业务互通出现问题,相互地址的对应关系找不到,所以一般对于NAT设备数据中心都会做备份,将NAT数据在多台设备上做备份,万一其中的部分设备发生故障,还可以由其它设备接管,完成内外网的地址映射。




====================================分割线================================

本文转自d1net(转载)
相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
目录
相关文章
|
安全 网络安全 数据安全/隐私保护
|
安全 网络安全 数据安全/隐私保护
|
4月前
|
存储 传感器 监控
探索现代数据中心的冷却技术革新
【4月更文挑战第23天】 在信息技术迅猛发展的今天,数据中心作为计算和存储的核心枢纽,其稳定性和效率至关重要。然而,随着处理能力的增强,设备发热量急剧上升,有效的冷却方案成为确保数据中心持续运行的关键因素。本文将深入分析当前数据中心面临的热管理挑战,并探讨几种前沿的冷却技术,包括液冷系统、热管技术和环境自适应控制策略。通过比较不同技术的优缺点,我们旨在为数据中心管理者提供实用的冷却解决方案参考。
|
26天前
|
机器学习/深度学习 存储 监控
利用机器学习技术优化数据中心能效
【7月更文挑战第36天】在数据中心管理和运营中,能源效率已成为关键性能指标之一。随着能源成本的不断上升以及环境保护意识的增强,开发智能化、自动化的解决方案以降低能耗和提高能源利用率变得尤为重要。本文探讨了如何应用机器学习技术对数据中心的能源消耗进行建模、预测和优化,提出了一个基于机器学习的框架来动态调整资源分配和工作负载管理,以达到节能的目的。通过实验验证,该框架能够有效减少数据中心的能耗,同时保持服务质量。
|
4月前
|
存储 大数据 数据处理
探索现代数据中心的冷却技术
【5月更文挑战第25天】 在信息技术迅猛发展的今天,数据中心作为其核心基础设施之一,承载了巨大的数据处理需求。随着服务器密度的增加和计算能力的提升,数据中心的能耗问题尤其是冷却系统的能效问题日益凸显。本文将深入探讨现代数据中心所采用的高效冷却技术,包括液冷解决方案、热管技术和环境自适应控制等,旨在为数据中心的绿色节能提供参考和启示。
|
4月前
|
机器学习/深度学习 资源调度 监控
利用机器学习技术优化数据中心能效
【5月更文挑战第30天】在数据中心管理和运营中,能源效率的优化是降低运营成本和减少环境影响的关键。本文旨在探讨如何应用机器学习技术来提升数据中心的能源效率。通过对现有数据中心运行数据的深入分析,开发预测性维护模型,以及实施智能资源调度策略,我们可以显著提高数据中心的能效。本研究提出了一种集成机器学习算法的框架,该框架能够实时监控并调整数据中心的能源消耗,确保以最佳性能运行。
|
4月前
|
人工智能 监控 物联网
探索现代数据中心的冷却技术
【5月更文挑战第27天】 在信息技术迅猛发展的今天,数据中心作为信息处理的核心设施,其稳定性和效率至关重要。而随着计算能力的提升,数据中心面临的一个重大挑战便是散热问题。本文将深入探讨现代数据中心冷却技术的进展,包括传统的空气冷却系统、水冷系统,以及新兴的相变材料和热管技术。通过对不同冷却方式的效率、成本及实施难度的分析,旨在为读者提供一份关于数据中心散热优化的参考指南。
|
4月前
|
存储 大数据 数据中心
提升数据中心能效的先进冷却技术
【5月更文挑战第27天】 在信息技术不断进步的今天,数据中心作为计算和存储的核心枢纽,其能源效率已成为评价其可持续性的关键指标。本文将探讨当前数据中心面临的热管理挑战,并展示一系列创新的冷却技术解决方案,旨在提高数据中心的能效,同时确保系统的稳定性和可靠性。通过对比传统冷却方法和新兴技术,我们将分析各种方案的优势、局限性以及实施难度,为数据中心运营者提供科学的决策参考。
下一篇
云函数