NAT

简介

NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。因此我们可以认为，NAT在一定程度上，能够有效的解决公网地址不足的问题。

简单地说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共 IP地址紧缺的问题。通过这种方法，可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。这里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由转发。

NAT 功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。比如Cisco路由器中已经加入这一功能，网络管理员只需在路由器的IOS中设置NAT功能，就可以实现对内部网络的屏蔽。再比如防火墙将WEB Server的内部地址192.168.1.1映射为外部地址202.96.23.11，外部访问202.96.23.11地址实际上就是访问访问 192.168.1.1。此外，对于资金有限的小型企业来说，现在通过软件也可以实现这一功能。Windows 98 SE、Windows 2000 都包含了这一功能。

应用

NAT主要可以实现以下几个功能：数据包伪装、平衡负载、端口转发、失效终结和透明代理。

数据伪装: 可以将内网数据包中的地址信息更改成统一的对外地址信息，不让内网主机直接暴露在因特网上，保证内网主机的安全。同时，该功能也常用来实现共享上网。

端口转发: 当内网主机对外提供服务时，由于使用的是内部私有IP地址，外网无法直接访问。因此，需要在网关上进行端口转发，将特定服务的数据包转发给内网主机。

负载平衡: 目的地址转换NAT可以重定向一些服务器的连接到其他随机选定的服务器。

失效终结: 目的地址转换NAT可以用来提供高可靠性的服务。如果一个系统有一台通过路由器访问的关键服务器，一旦路由器检测到该服务器当机，它可以使用目的地址转换NAT透明的把连接转移到一个备份服务器上。

透明代理: NAT可以把连接到因特网的HTTP连接重定向到一个指定的HTTP代理服务器以缓存数据和过滤请求。一些因特网服务提供商就使用这种技术来减少带宽的使用而不用让他们的客户配置他们的浏览器支持代理连接。

原理

NAT的基本工作原理是：当私有网主机和公共网主机通信的IP包经过NAT网关时，将IP包中的源IP或目的IP在私有IP和NAT的公共IP之间进行转换。

在连接因特网的路由器上安装NAT软件，装有NAT软件的路由器叫NAT路由器，这个路由器至少拥有一个外部全球IP地址。

专用网内的主机想与因特网的主机进行通信，当本地主机的数据报发送到NAT路由器上时，就NAT路由器就会把本地主机的专用IP地址转换成NAT路由器上的外部全球IP地址。这样因特网上的路由器就会转发我们的数据报，完成与因特网主机的通信。

上面说到地址转换分两种：

目的地址转换-----本地主机想外发送数据

源地址转换-----因特网主机向本地主机发送数据

NAT技术与代理服务器调研

本质上，在NAT路由器中有一个NAT地址转换表，路由器根据此表来进行地址间的转换。

方向	字段	旧IP	新IP
出	src	192.168.0.3	172.38.1.5
入	dst	172.38.1.5	192.168.0.3

缺陷

NAT在最开始的时候是非常完美的，但随着网络的发展，各种新的应用层出不穷，此时NAT也暴露出了缺点。NAT的缺陷主要表现在以下几方面：

(1) 不能处理嵌入式IP地址或端口，NAT设备不能翻译那些嵌入到应用数据部分的IP地址或端口信息，它只能翻译那种正常位于IP首部中的地址信息和位于TCP/UDP首部中的端口信息

(2) 不能从公网访问内部网络服务，由于内网是私有IP，所以不能直接从公网访问内部网络服务，比如WEB服务，对于这个问题，我们可以采用建立静态映射的方法来解决。

(3) 有一些应用程序虽然是用A端口发送数据的，但却要用B端口进行接收，不过NAT设备翻译时却不知道这一点，它仍然建立一条针对A端口的映射，结果对方响应的数据要传给B端口时，NAT设备却找不到相关映射条目而会丢弃数据包。

(4) 一些P2P应用在NAT后无法进行

代理服务器

代理服务器（Proxy Server）是一种重要的服务器安全功能，它的工作主要在开放系统互联(OSI)模型的会话层，从而起到防火墙的作用。代理服务器大多被用来连接INTERNET（国际互联网）和Local Area Network（局域网）。

主要功能

代理服务器英文全称是（Proxy Server），其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。代理服务器就好象一个大的Cache，这样就能显著提高浏览速度和效率。更重要的是：Proxy Server（代理服务器）是Internet链路级网关所提供的一种重要的安全功能，主要的功能有：

①突破自身IP访问限制，访问国外站点。教育网、过去的169网等

②网络用户可以通过代理访问国外网站。

③访问一些单位或团体内部资源，如某大学FTP（前提是该代理地址在该资源的允许访问范围之内），使用教育网内地址段免费代理服务器，就可以用于对教育网开放的各类FTP下载上传，以及各类资料查询共享等服务。

④突破中国电信的IP封锁：中国电信用户有很多网站是被限制访问的，这种限制是人为的，不同Serve对地址的封锁是不同的。所以不能访问时可以换一个国外的代理服务器试试。

⑤提高访问速度：通常代理服务器都设置一个较大的硬盘缓冲区，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，以提高访问速度。

⑥隐藏真实IP：上网者也可以通过这种方法隐藏自己的IP，免受攻击。

代理分类

HTTP代理

www对于每一个上网的人都再熟悉不过了，www连接请求就是采用的http协议，所以我们在浏览网页，下载数据（也可采用ftp协议）时就是用http代理。它通常绑定在代理服务器的80、3128、8080等端口上。

socks代理

相应的，采用socks协议的代理服务器就是SOCKS服务器，是一种通用的代理服务器。Socks 不要求应用程序遵循特定的操作系统平台，Socks 代理与应用层代理、HTTP层代理不同，Socks 代理只是简单地传递数据包，而不必关心是何种应用协议（比如FTP、HTTP和NNTP请求）。所以，Socks代理比其他应用层代理要快得多。它通常绑定在代理服务器的1080端口上。如果您在企业网或校园网上，需要透过防火墙或通过代理服务器访问 Internet就可能需要使用SOCKS。

v*n代理

指在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个v*n网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路，而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络（Internet）中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输，从而真正实现网络数据的专有性。

反向代理

反向代理服务器架设在服务器端，通过缓冲经常被请求的页面来缓解服务器的工作量。

FTP代理

能够代理客户机上的FTP软件访问FTP服务器

RTSP代理

代理客户机上的Realplayer访问Real流媒体服务器

POP3代理

代理客户机上的邮件软件用POP3方式收发邮件

NAT技术与代理服务器调研

NAT

简介

分类

静态NAT

动态NAT

网络地址端口转换NAPT

应用

原理

缺陷

代理服务器

主要功能

代理分类

HTTP代理

socks代理

v*n代理

反向代理

FTP代理

RTSP代理

POP3代理

NAT技术与代理服务器调研

NAT

简介

分类

静态NAT

动态NAT

网络地址端口转换NAPT

应用

原理

缺陷

代理服务器

主要功能

代理分类

HTTP代理

socks代理

v*n代理

反向代理

FTP代理

RTSP代理

POP3代理

相关推荐