NAT只能作为过渡方案,暂时缓解IPV4地址不够用的问题,在IPv6广泛应用之前,采用一些过渡技术(CIDR、私网地址等)
私网地址10.0.0.0/8、172.16.0.0-172.31.255.255、192.168.0.0/16
工作原理:
当访问互联网的报文会经过NAT网关,NAT网关会用一个合法的公网地址替换原报文中的源IP地址,并对这种转换进行记录(出方向),之后,当报文从internet侧返回时,NAT网关会查找原有的记录(反方向),将报文的目的地址再替换回原来的私网地址,并送回发出请求的主机
ACL对IP地址的控制
在实际应用中、NAT设备会查看IP数据报文的头部,对照ACL、如果源IP动作拒绝,它将不进行地址转换
基础NAT方式:属于一对一的地址转换,在这种方式下只转换IP地址,而对TCP/UDP协议端口号不做处理,目前实际中不常用
NAT端口复用:属于多对一的地址转换,使用“IP地址+端口号”形式转换(NAT选取空闲的端口号)
NAT Server方式:出于安全考虑,大部分用户主机不希望被公网用户访问,但某些服务希望被公网访问,“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系
应用级网关
NAT只改变IP头部地址信息,不对报文过载进行分析,然而有些应用层协议,其报文携带有地址或端口信息,这些信息不能有效的转换
使用应用级网关(ALG)机制来解决
ALG是特定应用协议的转换代理,它对IP报文的进行分析,改变封装在其中的地址和端口信息,并完成应用协议穿越NAT
NAT日志:在NAT转换时生成的一种系统信息(源IP地址、目的IP地址、源端口、目的端口等)只记录内网访问外网的情况,不记录外网访问内网
NAT会话状态表占用CPU和内存资源
NAT网关必做的事情、因为IP和端口资源有限,通信需求无限、如果应用需要维持连接的时间大于NAT网关的设置,通信会中断
NAT优点:
1、节约IPv4地址
2、隐藏公网地址、网络安全
3、方便管理
NAT缺点:
1、对于一些数据报文进行IP地址的转换,报头不能被加密
2、如果遭受到内网攻击,很难准确定位,因为主机IP地址被屏蔽了