最新消息:阿里云双12优惠,史上最低折扣。

详尽分析nat原理,更好帮助企业管理员合理的使用NAT技术

服务器租用 aliyun 313浏览

带您深度分析,企业防火墙为何无法有效抵御DDoS的三大根本原因!

对于DDoS攻击并不是什么样的防御都能挡住的,目前来说遇到DDoS攻击使用新睿云的高防IP或者高防服务器是最有效的办法!其余WEB防火墙,亦或是内容交付网络(CDN)还是最传统意义上的防火墙,都不能有效抵御DDoS攻击。

如果您正在阅读本文,您肯定身处在互联网中,并在访问到了本网站而且您也有可能正在使用网络地址转换技术,也技术术语中的NAT

互联网是一个神奇而无所不能的世界,虽然包括“暗网”、“深网”具体到底有多少消息我们暂不可知。但目前互联网上的网民数量已经超越了好几个美国人口数量!实际上,互联网的网民增长数量为每两年翻一番。不过这个趋势也有放缓,毕竟人口有限,网民的最高数量也无法超过现有人口的数量!

那么互联网的网民数量与NAT到底有什么关系呢?

要知道现在使用互联网与服务器进行通信,就比如访问百度,我们电脑要访问百度的服务器必须要有一个IP地址!这个IP地址也是我们在互联网的唯一标识符,基本上知道IP地址就像知道您家的住址一样,以此来为您提供服务!

当IPV4首次出现的时候,当时的人都认为能满足其需求,从理论上讲,你可以拥有4,294,967,296个唯一地址(232)。由于地址被分成类的方式,并且因为一些地址被留出用于多播,测试或其他特殊用途,因此可用地址的实际数量较小(大约在32到33亿之间)。

随着互联网行业的飞速发展和家庭网络、商业网络疯狂增加,可见IP地址的数量已经有不足的趋势了。最好的解决办法当然是有新的IP能替代现在的IPV4,这个正在研发匹配中简称为(IPV6),但需要几年时间,目前最快最便捷的办法还是NAT。

这就是NAT(RFC 1631)拯救的地方。网络地址转换允许单个设备(例如路由器)充当因特网(或“公共网络”)与本地(或“私有”)网络之间的代理。这意味着只需要一个唯一的IP地址来表示整个计算机组。

NAT就像一个大办公室的接待员。假设您已向接待员发出指示,除非您提出要求,否则不要将任何电话转发给您。稍后,您呼叫潜在客户并留下该客户的消息给您回电。你告诉接待员你正在等待这个客户打来电话并让她通过。

客户端将主号码呼叫到您的办公室,这是客户端知道的唯一号码。当客户告诉接待员她正在寻找您时,接待员会检查一个与您的分机名称相匹配的查找表。接待员知道您已请求此呼叫,因此将呼叫者转接到您的分机。

由思科开发的网络地址转换由设备(位于内部网络和世界其他地方之间的防火墙,路由器或计算机)使用.NAT有多种形式,可以通过多种方式工作:

在静态NAT中,IP地址为192.168.32.10的计算机将始终转换为213.18.123.110。

静态NAT– 将未注册的IP地址一对一地映射到已注册的IP地址。当需要从网络外部访问设备时特别有用。

在动态NAT中,IP地址为192.168.32.10的计算机将转换为213.18.123.100到213.18.123.150范围内的第一个可用地址。

动态NAT– 将未注册的IP地址映射到一组已注册的IP地址中的已注册IP地址。

重载– 一种动态NAT形式,通过使用不同的端口将多个未注册的IP地址映射到单个注册的IP地址。这也称为PAT(端口地址转换),单地址NAT或端口级多路复用NAT。

在重载时,专用网络上的每台计算机都转换为相同的IP地址(213.18.123.100),但具有不同的端口号分配。

重叠– 当内部网络上使用的IP地址是在另一个网络上使用的已注册IP地址时,路由器必须维护这些地址的查找表,以便它可以拦截它们并用注册的唯一IP地址替换它们。值得注意的是,NAT路由器必须将“内部”地址转换为已注册的唯一地址,并将“外部”注册地址转换为专用网络唯一的地址。这可以通过静态NAT或使用DNS并实现动态NAT来完成。

内部IP范围(237.16.32.xx)也是另一个网络使用的注册范围。因此,路由器正在转换地址以避免与另一个网络的潜在冲突。当信息发送到内部网络时,它还会将注册的全局IP地址转换回未注册的本地IP地址。

内部网络通常是LAN(局域网),通常称为存根域。存根域是在内部使用IP地址的LAN。存根域中的大多数网络流量都是本地的,因此它不会传播到内部网络之外。存根域可以包括已注册和未注册的IP地址。当然,任何使用未注册IP地址的计算机都必须使用网络地址转换与世界其他地方进行通信。

NAT路由器配置为将驻留在专用(内部)网络上的未注册(内部,本地)IP地址转换为已注册的IP地址。只要内部具有未注册地址的设备需要与公共(外部)网络通信,就会发生这种情况。

ISP为您的公司分配一系列IP地址。分配的地址块是已注册的唯一IP地址,并在全局地址内调用。未注册的私有IP地址分为两组。一个是NAT路由器将使用的小组(本地地址之外)。另一个更大的组(称为内部本地地址)将用于存根域。外部本地地址用于转换公共网络上的设备的唯一IP地址(称为外部全局地址)

存根域上的大多数计算机使用内部本地地址相互通信。

存根域中的某些计算机在网络外进行了大量通信。这些计算机具有内部全局地址,这意味着它们不需要转换。

当存根域中具有内部本地地址的计算机想要在网络外进行通信时,该数据包将转到其中一个NAT路由器。

NAT路由器检查路由表以查看它是否具有目标地址的条目。如果是,则NAT路由器然后转换该分组并在地址转换表中为其创建条目。如果目标地址不在路由表中,则丢弃该数据包。

路由器使用内部全局地址将数据包发送到其目的地。

公共网络上的计算机将数据包发送到专用网络。数据包上的源地址是外部全局地址。目标地址是内部全局地址。

NAT路由器查看地址转换表并确定目标地址在那里,映射到存根域上的计算机。

NAT路由器将数据包的内部全局地址转换为内部本地地址,并将其发送到目标计算机。

NAT超载利用的特征TCP / IP协议栈,复用,其允许计算机以维持与远程计算机(或计算机)几个并发连接使用不同的TCP或UDP端口。IP数据包的标头包含以下信息:

源地址– 原始计算机的IP地址,例如201.3.83.132

源端口– 原始计算机为此数据包分配的TCP或UDP端口号,例如端口1080

目标地址– 接收计算机的IP地址,例如145.51.18.223

目标端口– 原始计算机要求接收计算机打开的TCP或UDP端口号,例如端口3021

地址指定每端的两台计算机,而端口号确保两台计算机之间的连接具有唯一标识符。这四个数字的组合定义了单个TCP / IP连接。每个端口号使用16位,这意味着可能有65,536(216)个值。实际上,由于不同的制造商以略微不同的方式映射端口,您可以预期有大约4,000个端口可用。

云这里日后会分享更多更全的优秀文章给大家,也希望大家关注云。相关更多知识请看《只需4步,云教您配置NAT服务器》

转载请注明:小猪云服务器租用推荐 » 详尽分析nat原理,更好帮助企业管理员合理的使用NAT技术