NAT(网络地址转换)是如何工作的?(1)(3)
共有网络中的一台计算机要发送一个数据包到私有网络。数据包中的源地址是一个外部全局地址。目的地址是一个内部全局地址。
当数据包从外部网络到达路由器时,NAT 路由器查看地址转换表发现其器目的地址有对应的内部本地地址,NAT 路由器就将其映射到这个存根域 (网络) 的那台计算机上。
NAT路由器将这个数据包中的内部全局地址 (即其目的地址,译者) 转换成内部本地地址后再查看路由表。只要在地址转换表中没有发现相应条目,路由器就不会转换,更不会去查看路由表来验证目的地址,它仅仅是将其丢弃而已。
关于用路由器命令执行 NAT 转换的详细信息参见NAT Order of Operation
NAT 过载运用了 TCP/IP 协议栈的一个功能,多路复用技术,它允许一台计算机用不同的 TCP 或 UDP 端口维持许多当前来自远程计算机的连接。一个 IP 数据包的头部包含以下信息:
源地址——发出数据包的计算机的 IP 地址,例如,201.3.83.132
源端口号——源计算机为 TCP 或 UDP 分配的端口号,例如,1080.
目的地址——接收数据包的计算机的 IP 地址。例如,145.51.18.223.
目的端口号——源计算机请求接收计算机开放的 TCP 或 UDP 端口号,例如,3021.
地址用来标识一个连接两端的两台计算机,而端口号则确保两台计算机之间的连接都有一个唯一的标识符。这四个数字一起确定了一个唯一的 TCP/IP 连接。每一个端口号都是16位,这就是说一共有65536个 (2^16) 个端口可供选择。事实上,不同的厂商映射端口的方式略有不同,所以你可能只有大约4000个端口是可用的。
动态 NAT 和过载举例
Flash 动画:动态 NAT
这就是动态 NAT 是如何工作的:
点击链接 Dynamic NAT Flash animation ,点击任何一个绿色的按钮是成功发送一个出去或进入存根域 (网络)。点击任何一个红色按钮是发送一个带有非法地址而被路由器丢弃的数据包。
左边是一个公司的内部网络 (存根域) ,其中的 IP 地址并不是由 IANA (Internet Assigned Numbers Authority, 互联网编号分配机构,一个掌握所有 IP 地址的全球权威机构 ) 分配的。这些地址并不会被路由器转发,因为它们并不是唯一的 (其他内部网络也可能有相同的地址,译者)。这些就是所谓的内部本地地址。
这家公司将其路由器配置了 NAT。这个路由器有一段由 IANA 分配给这家公司的唯一 IP 地址。这些地址就是内部全局地址。
然后在这个存根域中的一台计算机试图连接一台处于外部网络的计算机,比如一台网络服务器。
这台路由器收到了来自存根域的这台计算机的数据包。
路由器在检查了路由表之后,转换规则的验证程序就会开始执行,若通过,则路由器会将这台计算机的不可路由的 IP 地址保存到一张地址转换表中。路由器用内部全局地址中第一个可用 IP 地址替换发送计算机的不可路由的 IP 地址。现在,地址转换表就拥有了这台计算的不可路由 IP 地址到一个唯一 IP 地址的匹配映射。
当一个数据包从目的计算机 (如网络服务器) 发送回来时,路由器检查数据包的目的地址。然后它查看地址转换表确定数据包是属于哪一台存根域中的计算机。路由器将其目的地址换成它保存在地址转换表中的那个,然后将数据包发送到那台计算机。如果它没有在表中找到一条匹配,它就会丢弃这个数据包。
这台计算机收到来自路由器的数据包。只要有计算机想要和外部网络通信,它们将重复这个过程。
这是 NAT 过载如何工作的:
假设一个公司的内部网络 (存根域) 已经被设置了未被 IANA 专门分配的不可路由的 IP 地址。
这家公司将路由器设置为 NAT 可用的。路由器拥有一个唯一由 IANA 分给这家公司的的 IP 地址。
在存根域中的一台计算机试图连接外部网络中的一台计算机,例如一台网络服务器。
路由器收到来自存根域的这台计算机发送的数据包。
在进行转换之前,路由器查找路由并验证数据包是否合乎规则,然后路由器保存这台计算机的不可路由的 IP 地址和其端口号到一张地址转换表中。路由器将发送计算机的不可路由的 IP 地址替换路由器的 IP 地址,将发送计算机源端口号替换成能够匹配地址转换表中所存的发送计算机地址信息位置的端口号。现在这张转换表就将这台计算机的不可路由的 IP 地址及其端口号与路由器的 IP 地址绑定起来了。
当一个数据包从目的计算机发送回来时,路由器检查其目的端口号 (不用检查其 IP 地址,因为全部内部网络都只用路由器的 IP 地址,路由器用端口号映射不同的计算机,译者)。然后路由器查看地址转换表,找到这个数据包所对应的存根域中的计算机。如果有,则路由器替换其目的地址和目的端口号,然后发送到那台计算机。
评论暂时关闭