解决网络通信中外网和内网之间的通信问题(NAT转换)

本文原址 http://www.cnblogs.com/lidabo/p/3828846.html

在网络编码中会发现程序在局域网中是可以适用的,但是在外网与内网之间和内网与内网之间就不可行。
问题就在于NAT。首先介绍下NAT。 
NAT的作用NAT(Network Address Translator),网络地址转换。顾名思义,它是一种把内部私有网络IP地址翻译成公有网络IP地址的技术,如图5-1所示。NAT是在IP地址日益缺乏的情况下产生的,它的主要目的是使地址能够重用[9]。 
 
图5-1 NAT模型 
IP地址分为五类:A类,B类,C类,D类,E类(这里不考虑保留的IP地址)。A、B、C类可被计算机作为IP地址,D类为组播地址,E类为特殊用途的地址。A、B、C类中,又可分为公有地址和私有地址,私有地址用于内网,不同的内网,私有地址可重用,从而节省了公网地址,它不可在公网中被路由,所以内网的主机要访问公网的服务器,便要经过NAT。公有地址是全球唯一的,能在公网上被路由。 
 
内网主机用私有地址在内网能与其它的内网主机无误地通信,但它不能直接用私有地址访问外网的主机,因为私有地址不能被路由。它要与外网通信,必须经过NAT设备(如网关,路由器),如图5-2所示。主机A与服务器S通信,它须先通过网关,此时网关改变它的数据包地址及端口,把私有地址(10.0.0.2)改为公有地址(155.99.25.11),使数据包能在公网上被路由,送至服务器端。服务器端返回的数据包到达网关后,网关把公网地址改为相应的私有地址,然后转发到主机A。通过这种方法,一个内网只需一个公有IP地址,就把整个内网的计算机接入Internet,从而解决IP地址缺乏的问题。 
NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。也可通过软件实现这一功能,Windows 98 SE、Windows 2000 都包含了这一功能。 
NAT的分类及工作原理 

基本NAT与NAPT如图5-3所示,NAT分为两大类,基本的NAT和NAPT(Network Address/Port Translator)[10][11]。 
基本的NAT,它仅将内网主机的私有IP地址转换成公网IP地址,但并不将TCP/UDP端口信息进行转换,有动态与静态之区分。由于现在大部分都属于另一种类型,即NAPT,故这里不详细讨论基础NAT。 
另外一种NAT叫做NAPT(Network Address/Port Translator),从名称上我们也可以看得出,NAPT不但会改变经过这个NAT设备的IP数据报的IP地址,还会改变IP数据报的TCP/UDP端口。NAPT的地址及端口的转换过程,请看图5-4: 
 
私有网络中某一主机Client A(10.0.0.2),它的某个进程通过1234端口,想访问外网服务器18.181.0.31的1235端口。那么当数据包通过NAT时,这个NAT的外网地址是155.99.25.11,首先NAT会改变这个数据包的原IP地址,改为155.99.25.11。并分配一个端口(如62000)给Client A,把数据包的原端口号改为62000。所以本来是(10.0.0.2:1234->18.181.0.31:1235)的数据包到了互联网上变为了(155.99.25.11:62000->18.181.0.31:1235),如图5-4左图所示。NAT会记住62000端口对应的是10.0.0.2的1234端口,以后从外网服务器18.181.0.31发送到62000端口的数据会被NAT自动的改变目的IP和端口号,然后转发到10.0.0.2上(如图5-4右图所示) 
锥型NAT与对称型NAT 

NAPT又分为锥型(Cone)和对称型(Symmetric),如图5-5所示,它们的区别在于,在NAT已分配端口号给Client A的情况下,如果Client A继续用1235端口与另一外网服务器通讯,锥型NAT还会继续用原来62000端口,即所分配的端口号不变。而对于对等型NAT,NAT将会分配另一端口号(如62001)给Client A的1235端口。也就是说,同一内网主机同一端口号,对于锥型NAT,无论与哪一外网主机通讯,都不改变所分配的端口号;而对于对等型NAT,同一内网主机同一端口号,每一次与不同的外网主机通讯,就重新分配另一个端口号。 
完全锥型NAT、受限制锥型NAT与端口受限制型NAT 
锥型NAT可另外分类为完全锥形(Full Cone)NAT,受限制锥形(Restricted Cone)NAT,端口受限制锥形(Port Restricted Cone)NAT。 
①完全锥形(Full Cone)NAT 
这种NAT内部的主机A连接过外网主机C后,NAT会打开一个端口。然后外网的任何发到这个打开的端口的UDP数据报都可以到达A,不管是不是C发过来的[12]。 
例如 A: 192.168.8.100  NAT: 202.100.100.100  C: 292.88.88.88 
A(192.168.8.100:5000) -> NAT(202.100.100.100:8000) -> C(292.88.88.88:2000) 
任何发送到NAT(202.100.100.100:8000)的数据都可以到达A(192.168.8.100:5000)。 
②受限制锥形(Restricted Cone)NAT 
这种NAT内部的主机A连接过外网的主机C后,NAT打开一个端口。然后C可以用任何端口和A通信,但其他的外网主机不可以。 
例如 A: 192.168.8.100  NAT: 202.100.100.100  C: 292.88.88.88 
A(192.168.8.100:5000) -> NAT(202.100.100.100:8000) -> C(292.88.88.88:2000) 
任何从C发送到NAT(202.100.100.100:8000)的数据都可以到达A(192.168.8.100:5000)。 
③端口受限制锥形(Port Restricted Cone)NAT 
这种NAT内部的主机A连接过外网的主机C后,NAT打开一个端口。然后C只能用原来的端口和A通信,其他的外网主机不可以。 
例如 A: 192.168.8.100  NAT: 202.100.100.100  C: 292.88.88.88 
A(192.168.8.100:5000) -> NAT(202.100.100.100:8000) -> C(292.88.88.88:2000) 
只有C(202.88.88.88:2000)发送到 NAT(202.100.100.100:8000)的数据都可以到达A(192.168.8.100:5000)。 
NAT产生的问题 
NAT很好地解决了地址紧缺的问题,屏蔽了内部网络,但也带来一些问题。内网的主机向外连接是很容易的(NAT相当于透明的,内网的和外网的主机均不用知道NAT的情况)。但如果外部的计算机想访问子网内的计算机就比较困难了,这可以使内网主机先发起连接从而解决问题。但是如果两台主机都分别位于两不同NAT后面时,两台主机无法通信。当分别位于两不同NAT(NAT A,NAT B)后面的两台主机A和B欲进行通讯时,若主机B主动发起连接,它该连哪个地址呢?第一种情况:试图直接连到主机A的内网私有地址(10.0.0.2:1234)肯定会失败,因为10.0.0.2根本就不是一个可以在公网上路由的IP地址;第二种情况,试图直接连到B的NAT公有地址(155.99.25.11:62000),NAT A会拒绝这个数据包,因为这个端口并无绑定内网主机的某个端口,或即使有所绑定,但这个端口所绑定的外网地址和端口并不是B的地址和端口。若A主动连接B,结果一样。 
有两种方法解决这个问题。方法一:通过服务器,服务器作为中间人,转发主机间的数据。但若用户数量到达一定数目时,这方法浪费带宽且给服务器带来很大压力,所以方法不可行。方法二,还是通过服务器,但服务器只充当“介绍人”,不转发主机间的数据,具体请看下面的“UDP打孔技术” (UDP hole punching) 
穿透NAT——UDP打孔技术 
所谓的“打孔技术”,就是在内网的NAT设备上打上一个“孔”(也就是在NAT上建立一个会话,绑定地址和端口号),这个孔不能由外部来打,只能由内网内的主机来打。而且这个孔可能是有方向的,比如从内部某台主机(比如:192.168.0.10)向外部的某个IP(比如:219.237.60.1)发送一个UDP包,那么就在这个内网的NAT设备上打了一个方向为219.237.60.1的“孔”,以后219.237.60.1就可以通过这个孔与内网的192.168.0.10联系了[13]。 
下面就根据NAT的各种类型详细解析如何“打孔”,如何穿透NAT。 
1.完全锥形(Full Cone)NAT 
处于不同内网的主机A和主机B,各自先连接服务器,从而在各自NAT设备上打开了一个“孔”,服务器收到主机A和主机B的连接后,知道A与B的公网地址和NAT分配给它们的端口号,然后把这些NAT地址与端口号告诉A与B,由于在完全锥形NAT的特点,A和B给服务器所打开的“孔”,能给别的任何的主机使用。故A与B可连接对方的公网地址和端口直接进行通信。服务器在这里充当“介绍人”,告诉A与B对方的地址和端口号。 
2.受限制锥形(Restricted Cone)NAT 
A和B还是要先连接服务器,服务器发送A和B的地址和端口信息给A和B,但由于受限制锥形NAT的特点,他们所打开的“孔”,只能与服务器通信。要使他们可以直接通信,解决办法如下: 
假如主机A开始发送一个UDP信息到主机B的公网地址上,与此同时,它又通过服务器中转发送了一个邀请信息给主机B,请求主机B也给主机A发送一个UDP信息到主机A的公网地址上。这时主机A向主机B的公网IP发送的信息导致NAT A打开一个处于主机A的和主机B之间的会话,与此同时,NAT B也打开了一个处于主机B和主机A的会话。一旦这个新的UDP会话各自向对方打开了,主机A和主机B之间就可以直接通信了[14]。 
3.端口受限制锥形(Port Restricted Cone)NAT 
对于该类型的NAT,解决办法跟上面的方法一样。 
4.对称型(Symmetric)NAT 
对称型NAT,对于不同的外网主机地址,它都会分配不同的端口号,所以进行UDP打孔比较困难,但也可以进行端口预测打孔,不过不能保证成功。 
以上的穿透NAT,是对NAPT来进行穿透,主要是针对UDP协议。TCP协议也有可能,但是可行性非常小,要求更高。并且,语音视频通信是用UDP传输的,故针对TCP的NAT穿透在这里不作讨论。基础NAT不修改经过的数据包的端口号,它们可以看作是完全锥形NAT的精简版本,即基础NAT也可以被穿透。NAT设备将在一定时间后关闭UDP的一个映射,所以为了保持与服务器能够一直通信,服务器或客户端必须要周期性地发送UDP包,保持映射不被关闭。 
目前比较常用的NAT类型是完全锥型NAT 
  
如图6-7所示,步骤如下: 
①客户端A发UDP数据报经NAT A,把数据发送到服务器。NAT A分配端口给客户端A。服务器接收到信息后,把客户端A经NAT A后的地址及端口信息记录下来。 
②客户端B发UDP数据报经NAT B,把数据发送到服务器。NAT B分配端口给客户端B。服务器接收到信息后,把客户端B经NAT B后的地址及端口信息记录下来。 
③ 服务器把客户端B的地址及端口信息发送给客户端A,把客户端A的地址及端口信息发送给客户端B,客户端A、B就可以通过所获得的对方的地址及端口号进行通信了。

时间: 2024-11-05 02:28:45

解决网络通信中外网和内网之间的通信问题(NAT转换)的相关文章

网络 解决外网与内网或内网之间的通信,NAT穿透

在网络编码中会发现程序在局域网中是可以适用的,但是在外网与内网之间和内网与内网之间就不可行.问题就在于NAT.首先介绍下NAT. NAT的作用NAT(Network Address Translator),网络地址转换.顾名思义,它是一种把内部私有网络IP地址翻译成公有网络IP地址的技术,如图5-1所示.NAT是在IP地址日益缺乏的情况下产生的,它的主要目的是使地址能够重用[9].  图5-1 NAT模型  IP地址分为五类:A类,B类,C类,D类,E类(这里不考虑保留的IP地址).A.B.C类

Cisco ASA防火墙之Easy虚拟专用网(解决出差员工访问公司内网的问题)

前言:上一篇博文写了Cisco路由器之Easy虚拟专用网(解决出差员工访问公司内网的问题),是基于公司网关设备是路由器的情况下,那么,如果是ASA防火墙的话,又该怎么配置呢?关于理论部分,在前面提到的博文链接中已经写的挺详细了,可以参考那篇博文的理论部分,这里就直接上配置了. 该博文关于虚拟专用网的理论知识点比较少,因为我之前写过好几篇虚拟专用网的博文了,所以关于原理方面不会重复写,若想了解原理,可以参考以下博文(路由器和防火墙的虚拟专用网原理类似,可参考): Cisco路由器之Easy虚拟专用

使用ssh从外网访问内网

一.场景如下: 各个角色的对应关系如下: 角色 描述 APP 个人笔记本,属于内网IP sshd server 公网 VPS ( 映射端口: port 2222 ),拥有公网IP ssh client 内网机器,属于另一个内网IP APPSRV 与 内网 ssh client 是同一台机器 ( 目的端口: hostport 22 ) 两个帐号:admin/password为"内网机器"ssh的登录帐号密码,VPS-user/password为"公网VPS"ssh的登

外网访问内网工具ngrok tunnel 使用方法

在软件开发测试过程中,我们会经常遇到需要网站部署测试或者给客户演示这样的需求.通常的做法是申请一个域名和空间,将网站放到外网上给客户演示. 这种方法确实可行不过会有两点不好,第一是增加了开支,二是出现问题需要现在自己电脑上改好bug重新上传到外网. 那么问题来了,有没有一种简单的方法,让客户之间访问开发者的电脑上的网站?答案就是下面我将要为大家介绍的外网访问内网工具ngrok tunnel 的使用方法. tunnel可以让公网访问内网部署的站点,对于软件开发测试很有帮助. 由于国外官网经常被墙(

利用ssh反向代理以及autossh实现从外网连接内网服务器

1. 描述一下目前的机器状况,梳理梳理: 机器 IP 用户名 备注 A 10.21.32.106 gdut728 目标服务器,处于内网 B 123.123.123.123 root 外网服务器,相当于桥梁的作用 PS:123.123.123.123只是我随意起的,大家请别攻击别人的服务器啊啊啊 2. 解决方法: 通俗地说:就是在机器A上做到B机器的反向代理:然后在B机器上做正向的代理实现本地端口的转发 2.1 实现前的准备 每台都要安装ssh的客户端. 在这里我使用的是centos7,都自带ss

Forefront TMG 2010 篇(三)--内网互访&内网访问 Internet

Forefront TMG 2010 篇(二)--安装 上一篇我们已经安装好了 TMG2010,那下面我们就要对它进行投入使用: 使用环境 : 下面我们就按着上面的图来进行操作: 如有兴趣的,可以直接到微软的网站上面查看相关 Forefront TMG 内容: http://technet.microsoft.com/zh-cn/forefront/default.aspx Forefront TMG 2010 篇(三)--内网互访&内网访问 Internet

简单物联网:外网访问内网路由器下树莓派Flask服务器

最近做一个小东西,大概过程就是想在教室,宿舍控制实验室的一些设备. 已经在树莓上搭了一个轻量的flask服务器(在树莓派下搭flask在其他随笔有说明),在实验室的路由器下,任何设备都是可以访问的:但是有一些限制条件,比如我想在宿舍控制我种花的光照然后就不行了: 所以这是一个外网访问内网的梗,解决方案如下: 1.先在本地term命令下查看ifconfig(windows为ifconfig):找到自己的本机ip,我的树莓派被分配ip为192.168.1.103 2.tplink路由器的管理地址是1

SVN外网访问内网的操作步骤

外网访问内网SVN 需要将路由映射到VisualSVN server 的443端口 将外网的端口从路由器上进行映射到内网端口,例如将外网的6000端口映射为内网的443端口,443为svn服务器默认端口. SVN客户端访问为https://ip:6000/svn/code

外网访问内网SVN服务器 IOS开发

在已经建好SVN服务器的情况 可 通过 打开Cornerstone .app 在Server Location  界面 输入server:域名 Port:443 端口  必须要填 Repository path: 路径填完填  不然也不能访问 备注:外网访问内网服务器 地址填详细. 和端口