穿透数据中心网络的NAT大法

NAT(Network Address Translation)是一种网络地址转换技术,是一种将私有地址转化为合法IP地址的转换技术。它被广泛应用于各种数据中心网络中。NAT不仅完美地解决了IP地址不足的问题,还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的服务器。数据中心内部的服务器一般提供内网和外网两个网卡,内网访问主要采用的是私有地址,外网访问采用的是公有地址,由于公有地址的数量是有限的,所以内网中要使用大量的私有地址,通过NAT的方式实现私有地址与公有地址之间的转换,实现私有地址也可以访问外网的功能。这么有用的功能,怎能不赶快去了解一下,本文将详细介绍一下NAT技术。

NAT可以分为两大类技术: 基础NAT和NAPT两大部分。基础NAT,它仅将私有主机的私有IP地址转换成公有IP地址,但并不将TCP/UDP端口信息进行转换,有动态和静态之区分。NAPT是人们比较熟悉的一种转换方式。NAPT普遍应用于数据中心网络接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面,它将私有连接映射到公有网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。NAPT又分为对称型NAT和非对称型NAT。

对称型NAT

对称型NAT也叫圆锥型NAT,是指私有地址设备用同一个IP和端口去连接外面任何一台服务器,它在NAT服务器上映射的都是同一个IP地址和端口,也就是说同一个私有地址和端口在NAT上都只有一个出口,是个一对多的关系,这个就有点像圆锥,故此得名是圆锥型NAT。圆锥形NAT又可以分为三类:完全圆锥型NAT,这种NAT会将私有地址转换成公有地址并绑定,任何数据报文都可以通过公有地址送到私有主机地址上。从一个私有IP地址和端口来的所有请求,都映射到相同的公有IP地址和端口。并且,任何公有主机通过向映射的公有地址发送报文,都可以实现和私有主机进行通信。这是一种比较宽松的策略,只要建立了私有网络的IP地址和端口与公有IP地址和端口的映射关系,所有的Internet上的主机都可以访问该NAT之后的主机;地址限制圆锥型 NAT,这种NAT会将从相同的私有IP地址和端口来的所有请求映射到相同的公有IP地址和端口。但是与完全圆锥型NAT不同,当且仅当私有主机之前已经向公有主机发送过报文,此时公有主机才能向私有主机发送报文;端口限制圆锥型NAT,这种NAT与地址限制圆锥型NAT类似,但是更为严格,端口受限圆锥型NAT增加了端口号的限制。当前,仅当私有主机之前已经向公有主机发送了报文,公有主机才能和此私有主机通信。

圆锥NAT主要部署与用户对应用体验非常敏感的地方,如P2P下载,由于破坏了端到端的网络模型,如果应用不支持NAT穿越协议,由公网侧发起对NAT后私网的下载报文将被NAT设备丢弃,部署圆锥NAT将改善这种情况。目前各种UDP协议也考虑了NAT设备,一些基于UDP协议的应用自身就可以穿越NAT设备,如QQ等。地址限制圆锥型NAT及端口限制圆锥NAT,这两种NAT无非就是对外部设备的IP及端口进行进一步的限制,如限制圆锥 NAT就是对PC的IP地址进行限制,只有PC的所有端口才可以对这地址及端口进行访问,而端口限制圆锥NAT就是对端口进行限制,所有PC的端口只有一个,不像圆锥NAT对所有的IP及端口都没有限制。

非对称型NAT

圆锥型NAT也可以叫做非对称型NAT,与之对应的就是对称型NAT。对称型NAT是指把所有来自相同私有IP地址和端口号,到特定目的IP地址和端口号的请求映射到相同的公有IP地址和端口。如果同一主机使用不同的源地址和端口对,发送的目的地址不同,则使用不同的映射。只有收到了一个IP包的公有主机才能够向该私有主机发送回一个UDP包。对称的NAT不保证所有会话中的私有地址、私有端口和公有IP,公有端口之间绑定的一致性。相反,它为每个新的会话分配一个新的端口号。

根据以往的介绍,可以将NAT做一个大致的分类,如图1所示:


图1:NAT分类

当然,NAT技术还不止这些,比如还有花生壳NAT-DDNS技术,这是国内知名品牌花生壳推出的NAT技术。NAT-DDNS利用动态域名服务(DDNS)和网络地址转换(NAT)的服务器实现公私网动态映射方法。NAT-DDNS 实现难度比传统 DDNS 大,采用“域名+端口”的访问方式。新花生壳服务器会记录每个新花生壳客户端设置的映射,为不同内网服务器的映射分配不同的访问端口号,访问者通过域名+ 端口号,就可以访问到相应内网服务器的内容。还有NAT444、NAT64、NAT-PT等一系列NAT新功能,这里提一下NAT444,NAT444是日本NTT公司提出来的NAT新技术,是两层NAT44的简称,属于IPV6过渡技术的一种,它采用端口块分配方式,可以从根本上解决用户的溯源问题。

NAT是数据中心网络必备设备之一,除非数据中心获得的公有地址是充足的,或者数据中心完全作为内网使用,与外网隔离,只要不是这样的情况,就需要部署NAT设备。NAT设备往往会部署在数据中心的网络出口处,所有从数据中心内部访问外部,或者从外部访问数据中心内部的流量都要经过NAT设备,由NAT设备完整内外网地址的映射。显然,NAT设备的表项非常关键,一旦NAT出现问题,往往造成内外网之间的业务互通出现问题,相互地址的对应关系找不到,所以一般对于NAT设备数据中心都会做备份,将NAT数据在多台设备上做备份,万一其中的部分设备发生故障,还可以由其它设备接管,完成内外网的地址映射。

本文作者:harbor

来源:51CTO

时间: 2024-11-03 08:15:08

穿透数据中心网络的NAT大法的相关文章

数据中心网络协议端口技术一网打尽

对于有些网络技术基础的人来说,协议端口号并不陌生,这是TCP或UDP协议的主要组成部分,用来区分服务和在同一时间进行的多个会话,几乎每个人都可以脱口而出说出几个常用协议端口号,比如FTP的21号端口,SSH的22号端口,Telnet的23号端口等等,但很少有人去研究这些端口背后的故事,尤其如今网络兴起虚拟化.软件定义网络等新技术,更鲜有人提起这些传统技术.实际上,不仅在过去,即使在当下甚至是将来,这些端口技术都将发挥着极为关键的作用. 在以太网标准协议中规定端口号为两个字节的长度,共16个比特,

云数据中心网络架构是怎么融合的

  如果仅从字面上,数据中心融合网络架构还是不那么容易理解的,融合本身就是一个热词,很多场合都在使用,从三网融合.技术融合到存储融合,到处都在融合,那么,所谓的融合网络又是什么? 抛开对融合网络架构定义的追究,我们不妨看看数据中心发展,特别是云计算应用给数据中心网络带来的问题. 如今超大数据中心比比皆是,从Google到Facebook,数据中心规模之大令人瞠目.在国内,百度数据中心也有至少几万台服务器.几千台交换机,而数据中心管理人员只有几十人,管理如此规模设备,对网络部署自动化的要求比较高.

数据中心网络变革因云而起

云计算基础设施的关键技术包括服务器.网络.存储和数据中心的其他相关技术.近几年服务器.存储等部分都取得了很多的改进,比如服务器计算到虚拟计算,虚拟存储的演进等.反观数据中心网络的发展,却略显力不从心.但这样的力不从心正在得到本质上的改善.云抽象化的可以看做一个庞大的网络系统,在云内包含上千甚至是上万台服务器,而虚拟化技术的普遍应用使得实际网络节点的数量更加的巨大, 所以用于连接云数据中心内部和云数据中心间网络成为实现计算和存储能力的关键环节.因为企业在迈进云计算的过程中,选择服务器虚拟化以提升效

数据中心网络布线工程必备七大件

网络布线是数据中心的重要组成部分,只有通过线缆将所有设备互联起来,才能形成一个完整的运行系统.如今,网络布线技术已经延伸成为一门工程学科,不仅布线有各种各样的设计形式,布线所需的设备也五花八门,要想将所有设备都连接起来,可没有那么简单:接口类型.距离长度.电屏蔽性.美观.成本等都需要考虑.下面就来说一说数据中心网络布线工程主要需要的设备,即布线工程必备的七大件设备,通过对这些设备的了解,做好网络布线工程工作. 配线架 配线架是电缆或光缆进行连接的端接的装置,通常安装在机柜或墙上.通过安装附件,配

数据中心网络里的Underlay和Overlay

近几年,随着云计算.大数据.移动互联网等新技术的普及,部署大量虚拟机成为一种必然趋势.不过,虚拟机需要在网络中无限制地迁移到目的物理位置,在传统数据中心网络中几乎无法满足,这样虚拟机在迁移范围上要受到网络架构限制,在规模上要受网络规格限制,网络隔离和分离能力也制约着虚拟机的大批量部署,解决这些虚拟机迁移问题理想的方案是在传统单层网络(Underlay)基础上叠加(Overlay)一层逻辑网络,将网络分成两个组成部分.在 Underlay网络中,所有的转发行为都由控制器决定,控制器通过OpenFl

《数据中心虚拟化技术权威指南》一第2章 数据中心网络演进2.1 以太网协议:过去和现在

第2章 数据中心网络演进 数据中心虚拟化技术权威指南 本章节将讲述以太网协议的发展,设计数据中心以太网络的时候需要考虑的最重要因素,以及虚拟化如何在这些项目实施中克服常见的局限性.本章包含以下几个主题. 以太网协议的过去与现在: 数据中心网络拓扑: 网络虚拟化优势. 数据中心网络的主要目标是将服务器数据传输至客户端和其他服务器.很明显,数据中心是为提供数据服务而建设的,网络可以精确地定义设备的真实效率. 为了与今天数据中心环境的可靠性和成长性相配,数据库中心网络必须包含以下特征. 可用性:能够健

数据中心网络的那些二层技术谈

数据中心的传统网络设计都是三层架构,目的是为了进行业务隔离,形成一个扁平型的网络流量模型,南北和东西流量进行二八互分,这种网络架构流行了几十年,现在的数据中心依然也都正使用着这种架构.然而随着虚拟化技术的引入,需要网络支持虚拟机动态迁移技术,这就要求网络支持大范围的二层域,传统三层网络逐渐要退出历史舞台.当然,这是一个渐进发展的过程,而且二层区域越大,实际上网络越不安全,广播区域也会造成带宽的浪费,单点故障容易引发整网的故障.那么数据中心的二层网络规模需要多大,这取决于应用场景和技术选择,二层网

未来数据中心网络必需的三大件

短短几年间,很多人从不知道什么是SDN.Trill.VXlan,对这些技术不屑一顾,到现在几乎每个数据中心都在谋求转型,每个从事信息技术的人如果还不知道这些单词是什么就Out了,就像这年头还不用微信一样,跟不上主潮流了.当然这些新技术之所以被提出来,并得到很多人的响应和热捧,是因为随着应用的复杂化,人们信息需求不断增加,现有数据中心出现了不少自身无法解决的问题,必须要对现有数据中心进行优化或重建,尤其是数据中心网络要重建.在这样的背景下,催生了很多数据中心网络新技术,这里不乏有一些不切合实际的技

华为数据中心网络,让”深圳大脑”飞起来

深圳市为了提升自主创新能力,满足大量的基础研究,在2011年11月建成深圳超算中心,计算机运算速度1271万亿次/秒.排名世界第二,系统总内存容量232TB,存储17.2PB.这个运算速度全球领先的"超级大脑"已成为深圳建设国家创新型城市的一个重要引擎.现在各个部门和企业越来越多选择从超算中心租用资源,因此目前的资源已经不能满足井喷的需求,迫切需要搭建新的高性能高可靠平台,提升整体平台接入计算能力. 万兆骨干架构亟待升级 深圳市超算中心现有网络采用万兆骨干架构,随着越来越多的资源接入,