NAT与内网穿透

NAT是什么

网络地址转换,就是替换IP报文头部的地址信息.因为IPv4地址有限,不可能为每个上网设备分配一个ip,而NAT就是来解决这个问题的.咱们在上网时颇有可能处在一个NAT设备以后, NAT设备会在ip包经过时会修改其 源/目标IP地址,有时还会修改TCP/UDP协议的端口号,从而实现多台设备使用同一外网IP进行互联网通信

如上,三台设备都使用120.131.92.21这一公网IP. 而对于这三台设备分别从各自端口发出的TCP/UDP请求,则映射至NAT设备不一样的端口上,记录在NAT表上.这样就区分了某个请求试试来自哪一个设备的哪一个端口上.

NAT特色

1,网络被分为私网,公网两部分,NAT网关设置私网到公网的路由出口. 2,网络只能由私网侧发起,公网没法主动访问私网主机(是这样设计的,可是能够经过打洞) 3,NAT网关在两个访问方向上完成两次地址的转换,出口替换源地址,入口替换目的地址 4,NAT网关的存在对通讯双方保持透明 5,NAT网关为了实现双向翻译,须要维持一张关联表,将会话信息保存

NAT的反作用

1,NAT表的淘汰

当NAT表对应的记录在一段时间内没有通信时,网络运营商就会将其淘汰掉,若此时外网还经过原来记录的外网IP地址和内网设备进行通信则会不通.

2,NAT墙

当外界对内网的请求到达NAT设备时,若不符合NAT设备和NAT表的要求, 则会被丢弃,这样若想实现ip地址不固定客户端间通信则须要额外的打洞操做 (须要心跳包刷新NAT表重置时间)

3,端对端通讯模型的破坏

NAT实现了将多个内部主机发出的连接被复用到一个ip上,这样没法基于ip对主机进行追踪,这样服务器不能简单的将同一ip与主机挂钩.这样再统计信息和防止DDOS攻击时都会变得复杂, 有时,若-个NAT设备拥有多个IP地址时,一组关联的会话可能会被分配到不一样公网ip里,总之NAT隐蔽了通信的另外一端.

NAT类型

1, Full Cone NAT(彻底雏形NAT)

设备比较少,一旦内部主机端口在NAT网关完成端口映射,则后续外网任一主机均可以经过这映射好的端口进行访问

2, Restricted Cone NAT (限制雏形NAT)

相较与全雏形NAT,在完成端口映射后,对IP地址有限制,只有内网对外访问过的ip地址才能够对该端口进行链接

3, Port Restricted Cone NAT(端口限制雏形NAT)

相较于限制雏形NAT,在端口上也加以限制, 只有内网向该ip与端口发送过信息才能对其访问

4, Symmetric NAT (对称NAT)

也就是说,虽然是同一个内网主机,对不一样的外网ip+端口访问时,在NAT表上会映射成不一样的端口号

注意:

事实上，这些术语的引入是不少混淆的起源。现实中的不少NAT设备是将这些转换方式混合在一块儿工做的，而不仅仅使用一种，因此这些术语只适合描述一种工做方式，而不是一个设备。好比，不少NAT设备对内部发出的链接使用对称型NAT方式，而同时支持静态的端口映射，后者能够被看做是全锥型NAT方式。而有些状况下，NAT设备的一个公网地址和端口能够同时映射到内部几个服务器上以实现负载分担，好比一个对外提供WEB服务器的站点多是有成百上千个服务器在提供HTTP服务，可是对外却表现为一个或少数几个IP地址。

内网穿透

应用层网管(ALG)

普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能，但对应用层数据载荷中的字段无能为力，在许多应用层协议中，好比多媒体协议（H.32三、SIP等）、FTP、SQLNET等，TCP/UDP载荷中带有地址或者端口信息，这些内容不能被NAT进行有效的转换，就可能致使问题。而NAT ALG（Application Level Gateway，应用层网关）技术能对多通道协议进行应用层报文信息的解析和地址转换，将载荷中须要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理，从而保证应用层通讯的正确性。

例如，FTP应用就由数据链接和控制链接共同完成，并且数据链接的创建动态地由控制链接中的载荷字段信息决定，这就须要ALG来完成载荷字段信息的转换，以保证后续数据链接的正确创建。

图中私网侧的主机要访问公网的FTP服务器。NAT设备上配置了私网地址192.168.1.2到公网地址8.8.8.11的映射，实现地址的NAT转换，以支持私网主机对公网的访问。组网中，若没有ALG对报文载荷的处理，私网主机发送的PORT报文到达服务器端后，服务器没法根据私网地址进行寻址，也就没法创建正确的数据链接。整个通讯过程包括以下四个阶段：

(1) 私网主机和公网FTP服务器之间经过TCP三次握手成功创建控制链接。

(2) 控制链接创建后，私网主机向FTP服务器发送PORT报文，报文中携带私网主机指定的数据链接的目的地址和端口，用于通知服务器使用该地址和端口和本身进行数据链接。

(3) PORT报文在通过支持ALG特性的NAT设备时，报文载荷中的私网地址和端口会被转换成对应的公网地址和端口。即设备将收到的PORT报文载荷中的私网地址192.168.1.2转换成公网地址8.8.8.11，端口1084转换成12487。

(4) 公网的FTP服务器收到PORT报文后，解析其内容，并向私网主机发起数据链接，该数据链接的目的地址为8.8.8.11，目的端口为12487（注意：通常状况下，该报文源端口为20，但因为FTP协议没有严格规定，有的服务器发出的数据链接源端口为大于1024的随机端口，如本例采用的是wftpd服务器，采用的源端口为3004）。因为该目的地址是一个公网地址，所以后续的数据链接就可以成功创建，从而实现私网主机对公网服务器的访问。

总而言之,在ALG中配置的支持的协议,能够实现逆向访问

中间件技术

这也是一种经过开发通用方法解决NAT穿越问题的努力。与前者不一样之处是，NAT网关是这一解决方案的参与者。与ALG的不一样在于，客户端会参与网关公网映射信息的维护，此时NAT网关只要理解客户端的请求并按照要求去分配转换表，不须要本身去分析客户端的应用层数据。其中UPnP就是这样一种方法。UPnP中文全称为通用即插即用，是一个通用的网络终端与网关的通讯协议，具有信息发布和管理控制的能力。其中，网关映射请求能够为客户动态添加映射表项。此时，NAT再也不须要理解应用层携带的信息，只转换IP地址和端口信息。而客户端经过控制消息或信令发到公网侧的信息中，直接携带公网映射的IP地址和端口，接收端能够按照此信息创建数据链接。NAT网关在收到数据或链接请求时，按照UPnP创建的表项只转换地址和端口信息，不关心内容，再将数据转发到内网。这种方案须要网关、内部主机和应用程序都支持UPnP技术，且组网容许内部主机和NAT网关之间能够直接交换UPnP信令才能实施。

中继代理技术

准确说它不是NAT穿越技术，而是NAT旁路技术。简单说，就是在NAT网关所在的位置旁边放置一个应用服务器，这个服务器在内部网络和外部公网分别有本身的网络链接。客户端特定的应用产生网络请求时，将定向发送到应用代理服务器。应用代理服务器根据代理协议解析客户端的请求，再从服务器的公网侧发起一个新的请求，把客户端请求的内容中继到外部网络上，返回的相应反方向中继。这项技术和ALG有很大的类似性，它要求为每一个应用类型部署中继代理业务，中间服务器要理解这些请求。

特定协议的自穿越技术

在全部方法中最复杂也最可靠的就是本身解决本身的问题。好比IKE和IPsec技术，在设计时就考虑了到如何穿越NAT的问题。由于这个协议是一个自加密的协议而且具备报文防修改的鉴别能力，其余通用方法心有余而力不足。由于实际应用的NAT网关基本都是NAPT方式，全部经过传输层协议承载的报文能够顺利经过NAT。IKE和IPsec采用的方案就是用UDP在报文外面再加一层封装，而内部的报文就再也不受到影响。IKE中还专门增长了NAT网关是否存在的检查能力以及绕开NAT网关检测IKE协议的方法。

探针技术STUN和TURN

所谓探针技术，是经过在全部参与通讯的实体上安装探测插件，以检测网络中是否存在NAT网关，并对不一样NAT模型实施不一样穿越方法的一种技术。STUN服务器被部署在公网上，用于接收来自通讯实体的探测请求，服务器会记录收到请求的报文地址和端口，并填写到回送的响应报文中。客户端根据接收到的响应消息中记录的地址和端口与本地选择的地址和端口进行比较，就能识别出是否存在NAT网关。若是存在NAT网关，客户端会使用以前的地址和端口向服务器的另一个IP发起请求，重复前面的探测。而后再比较两次响应返回的结果判断出NAT工做的模式。由前述的一对多转换模型得知，除对称型NAT之外的模型，NAT网关对内部主机地址端口的映射都是相对固定的，因此比较容易实现NAT穿越。而对称型NAT为每一个链接提供一个映射，使得转换后的公网地址和端口对不可预测。此时TURN能够与STUN绑定提供穿越NAT的服务，即在公网服务器上提供一个“地址端口对”，全部此“地址端口对”接收到的数据会经由探测创建的链接转发到内网主机上。TURN分配的这个映射“地址端口对”会经过STUN响应发给内部主机，后者将此信息放入创建链接的信令中通知通讯的对端。这种探针技术是一种通用方法，不用在NAT设备上为每种应用协议开发功能，相对于ALG方式有必定广泛性。可是TURN中继服务会成为通讯瓶颈。并且在客户端中增长探针功能要求每一个应用都要增长代码才能支持。