NAT技術

———-——————————

1.簡介

Network address translation (NAT)網路地址轉換是一種將一組IP地址空間對映到另一組IP地址空間的技術,通過修改IP協議資料報報頭中的地址資訊來實現，並且通過流量路由裝置進行傳輸。

2. 為什麼需要轉換

由於保密原因或 IP 在外網不合法，網路的內部 IP 地址無法在外部網路使用，就產生了 IP 地址轉換的需求。區域網絡以外的網路的拓撲結構能以多種方式改變：公司更換供應商；重組公司主幹網路或者供應商合併或散夥。一旦外部拓撲結構改變，本地網路的地址分配也必須改變以反映外部變化。通過將這些變化集中在單個地址轉換路由器中，區域網使用者並不需知道這些改變。基本地址轉換允許主機從內部網路中透明地訪問外部網路，並容許從外部訪問選定的本地主機。對於一個機構其網路主要用於內部服務而僅有時用於外部訪問， 這種配置是很適用的。

因此也可以說NAT技術是一種將私有（保留）地址轉化為合法IP地址的轉換技術。

3. 分類

NAT的實現方式有三種，即靜態轉換(Static Nat)、動態轉換(Dynamic Nat)和埠多路複用(OverLoad)

1）靜態轉換是指將內部網路的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。藉助於靜態轉換，可以實現外部網路對內部網路中某些特定裝置(如伺服器)的訪問。

2）動態轉換是指將內部網路的私有IP地址轉換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。

3）埠多路複用(Port address Translation,PAT)是指改變外出資料包的源埠並進行埠轉換，即埠地址轉換(PAT，Port Address Translation).採用埠多路複用方式。內部網路的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，從而可以最大限度地節約IP地址資源。同時，又可隱藏網路內部的所有主機，有效避免來自internet的攻擊。因此，目前網路中應用最多的就是埠多路複用方式。

4. 轉換過程

例：內網機器（192.168.0.5） 訪問 目標主機（220.181.28.42）
　　
　　1）客戶機發送資料包
　　目的主機 220.181.28.42
　　目的埠 80
　　源主機 192.168.0.5 (內網的私有IP）
　　源埠 1025 （隨機開啟）
　　
　　2）進行地址轉換
　　目的主機 220.181.28.42
　　目的埠 80
　　源主機 218.22.192.21 （NAT伺服器的公網IP）
　　源埠 5000 （隨機開啟）
　　
　　3）記錄映像
　　192.168.0.5 tcp 1025 —– 218.22.192.21 tcp 5000
　　
　　4）外部網路主機向NAT主機發送響應資訊
　　目的主機 218.22.192.21
　　目的埠 5000
　　源主機 220.181.28.42
　　源埠 80
　　
　　5）查詢映像關係將資料包發給客戶機
　　目的主機 192.168.0.5
　　目的埠 1025
　　源主機 220.181.28.42
　　源埠 80

5. 應用

NAT主要可以實現以下幾個功能：資料包偽裝、平衡負載、埠轉發和透明代理。

資料偽裝: 可以將內網資料包中的地址資訊更改成統一的對外地址資訊，不讓內網主機直接暴露在因特網上，保證內網主機的安全。同時，該功能也常用來實現共享上網。例如，內網主機訪問外網時，為了隱藏內網拓撲結構，使用全域性地址替換私有地址。

埠轉發: 當內網主機對外提供服務時，由於使用的是內部私有IP地址，外網無法直接訪問。因此，需要在閘道器上進行埠轉發，將特定服務的資料包轉發給內網主機。例如公司小王在自己的伺服器上架設了一個Web網站，他的IP地址為192.168.0.5，使用預設埠80，現在他想讓區域網外的使用者也能直接訪問他的Web站點。利用NAT即可很輕鬆的解決這個問題，伺服器的IP地址為210.59.120.89，那麼為小王分配一個埠，例如81，即所有訪問210.59.120.89:81的請求都自動轉向192.168.0.5:80，而且這個過程對使用者來說是透明的。

負載平衡:目的地址轉換NAT可以重定向一些伺服器的連線到其他隨機選定的伺服器。例如1.2.3所講的目的NAT的例子。

失效終結:目的地址轉換NAT可以用來提供高可靠性的服務。如果一個系統有一臺通過路由器訪問的關鍵伺服器，一旦路由器檢測到該伺服器當機，它可以使用目的地址轉換NAT透明的把連線轉移到一個備份伺服器上，提高系統的可靠性。

透明代理:例如自己架設的伺服器空間不足，需要將某些連結指向存在另外一臺伺服器的空間；或者某臺計算機上沒有安裝IIS服務，但是卻想讓網友訪問該臺計算機上的內容，這個時候利用IIS的Web站點重定向即可輕鬆的幫助我們搞定。

代理伺服器

———-——————————

1.簡介

在計算機網路中，代理伺服器（Proxy Server）是一個伺服器（一個計算機系統或一個應用程式），用作來自尋求其他伺服器資源的客戶的請求的中介。 客戶端連線到代理伺服器，請求一些服務，例如檔案，連線，網頁或其他來自不同伺服器的資源，代理伺服器將該請求作為簡化和控制其複雜性的方式進行評估。 代理的發明是為了增加分散式系統的結構和封裝。

2.分類

代理伺服器可以駐留在使用者的本地計算機上，或者駐留在因特網上的使用者的計算機和目的地伺服器之間的各個點處。傳遞請求和響應未經修改的代理伺服器通常稱為閘道器或有時是隧道代理。

• 1.HTTP代理：能夠代理客戶機的HTTP訪問，主要是代理瀏覽器訪問網頁。

• 2.SOCKS代理：SOCKS代理與其他型別的代理不同，它只是簡單地傳遞資料包，而並不關心是何種應用協議，既可以是HTTP請求，所以SOCKS代理伺服器比其他型別的代理伺服器速度要快得多。

• 3.轉發代理是一種面向Internet的代理，用於從廣泛的源（大多數情況下在網際網路上的任何地方）檢索。

• 4.反向代理通常是一個面向內部的代理，用作前端來控制和保護對私有網路上的伺服器的訪問。反向代理通常還執行負載平衡，身份驗證，解密或快取等任務。

• 5.VPN代理：指在共用網路上建立專用網路的技術。之所以稱為虛擬網主要是因為整個VPN網路的任意兩個結點之間的連線並沒有傳統專網建設所需的點到點的物理鏈路，而是架構在公用網路服務商ISP所提供的網路平臺之上的邏輯網路。使用者的資料是通過ISP在公共網路（Internet）中建立的邏輯隧道（Tunnel），即點到點的虛擬專線進行傳輸的。通過相應的加密和認證技術來保證使用者內部網路資料在公網上安全傳輸，從而真正實現網路資料的專有性。

• 6.FTP代理：能夠代理客戶機上的FTP軟體訪問FTP伺服器。

• 7.RTSP代理：代理客戶機上的Realplayer訪問Real流媒體伺服器。

• 8.POP3代理：代理客戶機上的郵件軟體用POP3方式收發郵件。

3.流程

代理伺服器與NAT技術的區別

———-——————————

在內部區域網絡使用私有 IP 的客戶端，不論透過 Proxy 或者 NAT 均可以直接取得 WWW 的服務，那麼 NAT 與 Proxy 的區別在哪？

NAT 伺服器的功能： Linux 的 NAT 功能主要透過封包過濾的方式， 並使用 iptables 的 nat 表格進行 IP 偽裝 (SNAT) ，讓客戶端自行前往因特網上的任何地方的一種方式。主要的運作行為是在 OSI 七層協議的二、三、四層。由於是透過封包過濾與偽裝，因此客戶端可以使用的埠口號碼 (第四層) 較彈性；

Proxy 伺服器的功能：主要透過 Proxy 的服務程式 (daemon) 提供網路代理的任務，因此 Proxy 能不能進行某些工作，與該服務的程式功能有關。 舉例來說，如果你的 Proxy 並沒有提供郵件或 FTP 代理，那麼你的客戶端就是無法透過 Proxy 去取得這些網路資源。 主要運作的行為在 OSI 七層協議的應用層部分（所謂的比較“高階”之意）。

NAT 伺服器是由較底層的網路去進行分析的工作，至於通過 NAT 的封包是幹嘛用的， NAT 不去管他！至於 proxy 則主要是由一個daemon 的功能達成的，所以必需要符合該 daemon 的需求，才能達到某些功能。