迷彩 潜伏 隐蔽 伪装
分类: 网络与安全
2014-09-09 09:37:50
原文地址:华为Basic NAT和NAPT实现原理 作者:茶乡浪子
在这种转换方式下,在内网用户向公网发起连起请求时,请求报文中的私网IP地址就会通过事先准备好的公网IP地址池动态地建立私网IP地址与公网IP地址的NAT映射表项,并利用所映射的公网IP地址将报文中的源IP地址(也就是内网用户主机的私网IP地址)进行替换(但只转换IP地址,而不处理TCP/UDP协议的端口号,且一个公网IP地址不能同时被多个私网IP地址映射),然后再送达给外网的目的主机。而当外网主机收到请求报文后进行响应时,响应报文到达NAT设备后,又将依据前面请求报文所建立的私网IP地址与公网IP地址的映射关系反向将报文中的目的IP地址(为内部主机私网IP地址映射后的公网IP地址)替换成对应的私网IP地址,然后再送达给内部源主机。
图6-1描述了Basic NAT的基本原理,实现过程如下(需先要在Router上创建公网地址池):
(1)当内网侧Host主机要访问公网侧Server服务器时,向Router发送请求报文(即Outbound方向),此时报文中的源IP地址为Host自己的10.1.1.100,目的IP地址为Server的IP地址211.100.7.34。
(2)Router在收到来自Host主机的请求报文后,会从事先配置好的公网地址池中选取一个空闲的公网IP地址,建立与内网侧报文源IP地址间的NAT转换映射表项,包括正(Outbound)、反(Inbound)两个方向,然后依据查找正向NAT表项的结果将报文中的源IP地址转换成对应的公网IP地址后向公网侧发送。此时发送的报文的源IP地址已是转换后的公网IP地址162.105.178.65(不再是原来的Host主机IP地址10.1.1.100),目的IP地址不变,仍为Server服务器的IP地址211.100.7.34。
(3)当Server服务器收到请求报文后,需要向Router发送响应报文(即Inbound方向),此时只需要将收到的请求报文中的源IP地址和目的IP地址对调即可,即报文的源IP地址就是Server服务器自己的IP地址211.100.7.34,目的IP地址是Host主机私网IP地址转换后的公网IP地址162.105.178.65。
(4)当Router收到来自公网侧Server服务器发送的响应报文后,会根据报文中的目的IP地址查找反向NAT映射表项,并根据查找结果将报文中的目的IP地址转换成Host主机对应的私网IP地址(源地址不变)后向私网侧发送,即此时报文中的源IP地址仍是Server服务器的IP地址211.100.7.34,目的IP地址已转换成了Host主机的私网IP地址10.1.1.100。
【经验之谈】从以上Basic NAT实现原理分析可以看出,Basic NAT中的请求报文转换的仅是其中的源IP地址(目的IP地址不变),即仅需关心源IP地址;而响应报文转换的仅是其中的目的IP地址(源IP地址不变),即仅需关心目的IP地址。两个方向所转换的IP地址是相反的。由于Basic NAT这种一对一的转换方式并未实现公网地址的复用,不能有效解决IP地址短缺的问题,因此在实际应用中并不常用。而这里要介绍的NAPT可以实现并发的地址转换,允许多个内部地址映射到同一个公有地址上,因此也可以称为“多对一地址转换”或地址复用。
NAPT使用“IP地址+端口号”的形式进行转换,相当于增加了一个变量,最终可以实现使多个私网用户可共用一个公网IP地址访问外网。图6-2描述了NAPT的实现原理,具体过程如下(需先在Router上创建好公网地址池):
(1)假设先是私网侧HostA主机要访问公网侧Server服务器,向Router发送请求报文(即Outbound方向),此时报文中的源地址是HostA主机的IP地址10.1.1.100,源端口号1025。
(2)Router在收到来自HostA发来的请求报文后,从事先配置好的公网地址池中选取一对空闲的“公网IP地址:端口号”,建立与内网侧HostA主机发送的请求报文中的“源IP地址:源端口号”间的NAPT转换表项(同样包括正、反两个方向),然后依据正向NAPT表项查找结果将请求报文中的“源IP地址:源端口号”(10.1.1.100:1025)转换成对应的“公网IP地址:端口号”(162.105.178.65:16384)后向公网侧发送。即此时经过Router的NAPT转换后,发送的请求报文中的源IP地址为162.105.178.65,源端口号16384,目的IP地址和目的端口号不变。
(3)公网侧Server服务器在收到由Router转发的请求报文后,此时需要向Router发送响应报文(即Inbound方向),只需要将收到的请求报文中的源IP地址、源端口和目的IP地址、目的端口对调即可,即此时报文中的目的IP地址和目的端口号就是收到的请求报文中的源IP地址和源端口(162.105.178.65:16384)。
(4)当Router收到来自Server服务器的响应报文后,根据其中的“目的IP地址:目的端口号”查找反向NAPT表项,并依据查找结果将报文转换后向私网侧发送。此时报文中的目的IP地址和目的端口又将转换成请求报文在到达Router前的源IP地址和源端口,即(10.1.1.100:1025)。
此时,如果HostB主机也要访问公网中的Server服务器,当请求报文到达Router时,报文中的源IP地址和源端口号也将进行转换,且它仍然可以使用HostA主机原来使用过的公网IP地址,但所用的端口号一定要不同,假设由原来的(10.1.1.200:1028)转换为(162.105.178.65:16400)。Server服务器发给HostB的响应报文在Router上目的IP地址和目的端口也要经过转换,利用前面形成的NATP转换映射表进行逆向转换,即由原来的(162.105.178.65:16400)转换为(10.1.1.200:1028)。
【经验之谈】从以上NAPT实现原理分析可以看出,请求报文中转换的仅是源IP地址和源端口号(目的IP地址和目的端口号不变),即仅需关心源IP地址和源端口号;而响应报文中转换的是目的IP地址和目的端口号(源IP地址和源端口号不变),即仅需关心目的IP地址和目的端口号。不同私网主机可以转换成同一个公网IP地址,但转换后的端口号必须不一样。