9.2 NAT的工作原理
NAT的基本工作原理是,当私有网主机和公共网主机通信的IP包经过NAT网关时,将IP包中的源IP或目的IP在私有IP和NAT的公共IP之间进行转换。如图9-1所示,NAT网关有2个网络端口,其中与互联网连接的接口IP地址是统一分配的合法IP,为202.204.65.254;私有网络接口的IP地址是保留地址,为192.168.1.254。私有网中的主机192.168.1.1向公共网中的主机166.111.80.200发送了1个IP包(Dst=166.111.80.200,Src=192.168.1.1)。当IP包经过NAT网关时,NAT会将IP包的源IP转换为NAT的合法IP并转发到公共网,此时IP包(Dst=166.111.80.200,Src=202.204.65.2)中已经不含任何私有网IP的信息。由于IP包的源IP已经被NAT设备转换成的合法IP,响应的IP包(Dst=202.204.65.2,Src=166.111.80.200)将被发送到NAT设备。这时,NAT设备会将IP包的目的IP转换成私有网中主机的IP,然后将IP包(Dst=192.168.1.1,Src=166.111.80.200)转发到私有网。对于通信双方而言,这种地址的转换过程是完全透明的。
图9-1
将内部私有IP地址一对一地翻译成外部合法的IP地址只是NAT的一种转换模式,也是最基本的方式。另外还可以将多个内部私有IP地址映射为一个外部合法IP地址,但以不同的协议端口号与不同的内部地址相对应。此时,不同内部主机的数据包到达NAT网关已有,源IP地址都转成同一个外部合法IP地址,但是NAT网关会建立内部IP地址与不同TCP/ UDP端口之间的映射,实现对一个合法IP地址的复用,在外部看来了,不同内部主机产生的数据包,源IP地址都是一样的。
在TCP负载均衡应用中,NAT映射是从外到内的方向。目的是将一台虚拟的主机映射到几台真实的主机上。其工作原理是:外部主机向内部虚拟主机进行访问,NAT网关根据NAT映射表将外部主机的数据包目的IP地址转为内部某一真实提供服务的主机IP地址;当有其他的访问时,NAT网关可以外部主机的数据包目的IP地址转为内部其他的某一真实提供服务的主机IP地址。以此类推。在外部看来,好像是访问到的都是一个服务器(虚拟主机),实际上NAT网关已经让这些访问有序的分配到了不同的真实主机上了,这就达到了负载均衡的目的,减轻了服务器的负担。
NAT用于处理重叠网络可以不用重新规划网络,保留两个网络的IP地址方案,这里两个网络的都是用相同IP地址网段,比如都是192.168.1.0,为了避免IP地址冲突,NAT网关将这两个网络分成内外部网络隔离开,将内部网络的地址转为10.10.1.0/24,也就是说,对于外部网络而言,内部网络的地址是10.10.1.0/24;将外部网络的地址转为10.10.2.0/24,也就是说,对于内部网络而言,外部真实192.168.1.0网络被认为是10.10.2.0/24网络。这样子转换后两个网络的主机IP就不会出现冲突的情况,但是,势必会造成连接速度的下降。
上面简要说明了NAT的基本工作原理和在不同应用中的工作模式,其本质都是一致的: NAT设备根据要求修改通过的IP数据包的源或目的IP地址。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
