1.6 相关技术简介 |
1.6.1 NAT技术
NAT是一个国际互联网工程任务组(InternetEngineeringTaskForce,IETF)标准,允许一个整体机构以一个公用 IP(InternetProtocol)地址出现在互联网上。顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络 IP地址的技术,如图 1-7所示。因此我们可以认为,NAT在一定程度上,能够有效地解决公网地址不足的问题。
图1-7 NAT功能示意
NAT的基本工作原理是,当私有网络主机和公共网络主机通信的 IP包经过NAT网关时,将 IP包中的源 IP或目的 IP在私有 IP和 NAT的公共 IP之间进行转换。大家对于 NAT技术并不陌生,随着智能终端、平板电脑、智能家居等联网终端的普及,家庭中需要配置 IP 地址的设备越来越多,运营商为每个用户分配了一个公共 IP,用户的家庭网关就是通过 NAT技术给家里的各类上网终端分配私网地址。如图1-8所示,NAT网关有两个网络端口,其中公共网络端口的 IP地址是统一
分配的公共IP,为202.20.65.5;私有网络端口的IP地址是保留地址为192.168.1.1。 私有网络中的主机 192.168.1.2向公共网络中的主机 202.20.65.4发送了 1个 IP(Dst=202.20.65.4,Src=192.168.1.2)。
图1-8 NAT工作原理
NAT就是在局域网内部网络中使用内部地址,而当内部节点要与外部网络进行通信时,就在网关(可以理解为出口,打个比方就像院子的门一样)处将内部地址 替换成公用地址,从而在外部公网上正常使用,NAT可以使多台计算机共享互联网连接。通过这种方法,局域网可以只申请一个合法IP地址,就把整个局域网中的计算机接入互联网中。这时,NAT屏蔽了内部网络,所有内部网络计算机对于公共网络来说是不可见的,而内部网络计算机用户通常不会意识到 NAT 的存在。这里提到的内部地址,是指在内部网络中分配给节点的私有 IP地址,这个地址只能在内部 网络中使用,不能被路由转发。NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的 NAT设备中。如 Cisco路由器中已经加入这一功能,网络管理员只需在路由器的 iOS中设置 NAT功能,就可以实现对内部网络的屏蔽。再比如防火墙将WebServer的内部地址 192.168.1.1映射为外部地址 202.96.23.11,外部访问202.96.23.11地址实际上就是访问 192.168.1.1。此外,对于资金有限的小型企业来说,
现在通过软件也可以实现这一功能。Windows98SE、Windows2000都包含了这一功能。NAT有3种类型:静态NAT(StaticNAT)、动态NAT(PooledNAT)、网络地址端口转换(NetworkAddressPortTranslation,NAPT)。
静态 NAT:通过手动设置,使互联网用户进行的通信能够映射到某个特定的私有网络地址和端口。如果想让连接在互联网上的计算机能够使用某个私有网络上的服务器(如网站服务器)以及应用程序(如游戏),那么静态映射是必需的。静态映射不会从 NAT转换表中删除。在 NAT转换表中存在某个映射,那么NAT只是单向地从互联网向私有网络传送数据。这样,NAT就为连接到私有网络部分的计算机提供了某种程度的保护。但是,如果考虑到互联网的安全性,NAT就要配合全功能的防火墙一起使用。
动态NAT:动态 NAT只是转换 IP地址,它为每一个内部的IP地址分配一个临时的外部 IP地址,主要应用于拨号,对于频繁的远程连接也可以采用动态 NAT。当远程用户连接上之后,动态 NAT就会给它分配一个 IP地址,用户断开时,这个IP地址就会被释放而留待以后使用。动态 NAT方式适用于当机构申请到的全局IP地址较少,而内部网络主机较多的情况。内网主机IP与全局IP地址是多对一的关系。当数据包进出内网时,具有 NAT功能的设备对 IP数据包的处理与静态NAT一样, 只是NAT表中的记录是动态的,若内网主机在一定时间内没有和外部网络通信,有关它的IP地址映射关系将会被删除,并且会把该全局IP地址分配给新的 IP数据包使用,形成新的 NAT表映射记录。
NAPT:NAPT则是把内部地址映射到外部网络的一个 IP地址的不同端口上。它可以将中小型的网络隐藏在一个合法的 IP地址中。NAPT与动态 NAT不同,它将内部连接映射到外部网络中的一个单独的 IP地址上,同时在该地址上加上一个由NAT设备选定的端口号。
正因为 NAT技术可以从一定程度上解决地址不足的问题,所以中国在IPv4地址资源逐渐枯竭的相当长一段时间内,选择采用NAT技术将私有 IP地址转换来应对IPv4地址不足的问题,从而落入了对私有 IP地址依赖的陷阱,延缓了中国 IPv6规模部署及应用的进程。当然,NAT技术也有缺陷,末端用户无法直接点对点连接, 但常规的网络使用都没有问题,而且现在也有很多 NAT穿透的方法。
打个简单的比方,如图1-9所示,在互联网上设备之间的通信好比快递员送邮件,全球互联网是道路,最初设计的时候门牌号只有 4位数,最多只有 10000个,用来标识每一幢房子(IPv4协议),快递员拿到包裹后根据包裹上面的目的地址信息(用户 IP 地址)将货物(数据包)送达。但是,这条路越造越复杂,门牌号很快就不够用了。这时候大家想了个办法,把一些房子围成一个小区,一个小区可以有 10幢房子,用楼号在小区内部区分房子,这几幢房子在这条路上共用同一个门牌号(NAT技术),快递员把货物送到小区后,小区的物业(网关)再把具体房子地址告诉快递人员。但是这只是暂时缓解了门牌号不够用的问题,所以就有人提出来把门牌号位数增加到40位数(IPv6),这样就能彻底解决门牌号不够用的问题了。但是,由于 IPv4和 IPv6两个协议差别过大,全面换用 IPv6需要从骨干网到终端的所有设备及相应的网络支撑系统都进行升级,成本非常高,而借助NAT技术的IPv4协议还能满足绝大部分用户的使用。所以在推行IPv6技术的初期,投入过大,带来的收益又不高,因此无论是硬件厂商还是ISP都没有足够的动力换用 IPv6协议,IPv6的推广进度也就理所当然得缓慢。还是用上文中的比方,从4位数门牌号换成 40 位数门牌号不仅需要把每幢房子上标号的铁牌换掉,还需要告诉自来水公司、电力公司、天然气公司、快递公司、外卖公司等怎么通过新的门牌号找到 用户。
图1-9 NAT技术的出现暂时缓解了IP地址不足的问题
