NAT类型有哪些?对称型NAT是啥?

宁 邹 发布于 18 天前 最后更新于 1 天前 117 次阅读 计算机/IT技术类 2079 字

什么是NAT

NAT是“Network Address Translation”的缩写,中文学术名称为:网络地址转换。NAT是一种网络技术,目的是解决众多计算机因为公网IP地址不足造成的通信问题。其原理是通过私有地址与公网地址的互相转换实现,高级NAT不但能转换地址,还能转换端口,甚至通过应用层来实现端口复用。

NAT的类型有哪些

传统NAT工作在第三层,进行IP地址的转换工作,进行公网地址与私有地址的互相转换。转换方向为:私有地址——>公网地址;公网地址——>私有地址。当内部的计算机进行外部通信的时候,进行的是私有转化为公有。当外部计算机进行内部通信的时候,将公有地址转化为私有地址。其过程称为:基于源地址转换策略;基于目的地址转化策略

目前采用的多为NAPT技术,其工作在第四层,除了转换IP地址还会分配端口进行转换。传统NAT仍然面临IP资源不足的巨大压力,但是每个IP具有总共有 65535 个,除去“公认端口”外,可使用的端口任然有 60000 多个。可见,IP地址的端口也是一个巨大的资源。通常来说,普通用户上网发起的TCP连接大多在200个左右,家庭宽带一般会分配 2000 个左右恒定的端口使用。转化的方向为:私有地址(私网端口)——>公网地址(公网端口);公网地址(公网端口)——>私有地址(私网端口),其过程称为:基于源地址端口转换策略;基于目的地址端口转化策略。

NAPT,基于IP地址和端口转换。

DMZ技术,DMZ技术本身用于内部服务器通过NAT技术向外部进行服务通信。与上诉的NAT转化不同的是,NAT具有很高的开放性。当设置好DMZ主机并为DMZ主机分配好公网IP之后,来自外部的所有请求会无条件的发送给DMZ主机。前提是与原有的NAT表中已建立的连接不冲突,如果冲突,原有NAT表中的优先级最高。所以,开启DMZ与其他内部主机访问互联网是不冲突的。

DMZ主机

随着IPv6技术(IP协议第六版)的推进与普及,基于传统IPv4的网络架构需要升级。为了减少升级难度,NAT64可以在不改变原有架构的基础上实现IPv4与IPv6的通信。其原理是通过将IPv4地址与IPv6地址相互转换,实现IPv4的设备在IPv6网络上通信。转化的方向为:IPv4地址——>IPv6地址;IPv6——>IPv4地址。其过程称为:NAT64地址转化。

IPv4 over IPv6

NAT安全策略/ACL控制策略

内部计算机通过NAT实现与外部计算机的通信,相当于获得了类型于公网IP的体验。但是公网IP容易受到网络上的各种扫描攻击,如果对于流量不识别而是直接转换的话,会带来一定的安全风险。

NAT本身的转化策略可以抵御一定的网络攻击,例如:NAT策略为源地址转换,A主机向外部与8.8.8.8建立连接,建立的NAT表为 10.1.1.1 ——120.65.78.12,那么内部主机就建立了一条通向外部的连接,这时候内部主机与外部主机可以互相通信。如果内部主机没有向外部的8.8.8.8发起访问,这条连接不会存在,那么外部的主机无法通过路由器的公网IP地址访问其内部主机。但是,建立连接之后,内部主机相当于获得了一个公网IP,如果这条连接一直处于通信的情况,路由器不会清除建立的NAT表,这条连接一直存在,这时候外部的其他主机可以通过这条连接进入内部。

NAT转换的ACL访问控制策略

基于流量方向的检测。NAT的目的主要是实现内部与外部的通信,对于需要访问外部的主机,其流量方向是由内部发起流向外部。对于需要提供服务的主机,其流量方向由外部发起流向内部。基于流量方向,监测建立的NAT连接,如果流量发起方向与NAT策略不匹配,则阻止其通信。识别流量方向主要是识别源目的地址,如果源目的地址不匹配这不会通过。以刚刚为例,如果路由器加入流量方向的检测,A主机的访问目的对象是 8.8.8.8 ,是由内部向外部发起,源地址为 10.1.1.1 ,目的地址为 8.8.8.8 ,转为源地址为 120.65.78.12 。那么8.8.8.8地址的流量可以进入到内部,当有其他外部主机 114.114.114.114 通过这个NAT连接向内部发起连接的时候,源地址不是8.8.8.8,那么流量就会被拒绝。

NAT的ACL控制策略基于流量方向的检测

除了上述通过识别源目的的IP地址之外,某些路由器的NAT防火墙还可以通过识别端口来实现,但是过于严格的NAT流量识别策略会存在一定的问题,例如:FTP服务建立连接的时候会建立数据链接(20)与控制连接(21),如果使用主动连接,连接使用的端口不同而造成NAT转化失败或防火墙拒绝而造成的连接失败问题。对此可以在设备当中开启ALG功能来解决以下服务遇到的问题:FTP H323 PPTP RTSP SIP TFTP 。

NAT技术下诞生的ALG技术

NAT类型与P2P

与上诉讲解的NAT类型不同,从P2P应用穿透的难易程度的角度出发,可以分为容易、一般、困难。

容易——全锥型NAT(Full Cone NAT),特点:内网设备与公网IP:端口映射后,任何外部主机均可通过该映射地址访问内网设备,无需先前通信记录。P2P适用性:最宽松,穿透成功率最高,适合直接通信(如文件共享)。

一般——受限锥型NAT(Restricted Cone NAT),特点:仅允许与内网设备主动通信过的外部IP(不限端口)访问映射地址。P2P适用性:需预先交换IP信息,穿透难度中等(如VoIP通话)。

一般——端口受限锥型NAT(Port Restricted Cone NAT),特点:进一步限制外部主机的IP和端口必须与内网设备的历史通信记录完全匹配。P2P适用性:穿透较难,需精准的端口协商(如在线游戏)。

困难——对称型NAT(Symmetric NAT),特点:内网设备访问不同外部目标时,NAT分配不同的映射端口,且仅允许目标主机回连。P2P适用性:穿透最难,通常需中继服务器(如TURN),常见于企业网络。

虽然对称型NAT可以让内部网络更加安全,但是对于P2P类型的应用造成了很大的影响。在在线通话(VoIP)、网络游戏(非服务器总线)、文件共享等非中心化的网络场景下应用困难。对此,基于UPnP技术可以使得P2P应用通知路由器或防火墙自动建立NAT端口映射,而非手工建立,实现NAT穿透。基于流量识别,对常见服务端口,如20、21、80、443、8080等。或常用应用层程序,微信、qbit、BitTorrent、百度网盘等应用层方面的流量识别放通。与厂商进行合作,将特征码加入其流量内部,防火墙识别其特征,确定为正常P2P进行放通,例如:绿联云、飞牛、极空间等。

UPnP技术,网络设备自动打洞
本人专业云计算方向,对于云上各类服务有深入的了解。平时喜欢研究计算机技术,包括但不限于:计算机原理、网络、编程与各类软件。平时心血来潮的时候会发布点东西,发布到哪?就在这里。
最后更新于 2025-12-12