你所不知道的端口耗尽（二）

问题背景

在你所不知道的端口耗尽(一)中，介绍了经典的客户端端口耗尽问题，在本篇文章中会介绍另外一种端口耗尽问题，即SNAT端口耗尽

什么是SNAT

SNAT是源网络地址转换（Source Network Address Translation）的缩写，它是网络地址转换（NAT）的一种形式。SNAT主要用于将内部网络的私有IP地址转换为外部网络可见的公共IP地址。在互联网通信中，源IP地址通常是内部设备的私有IP地址，它不会被互联网上的其他设备识别。通过使用SNAT，网关设备可以将这些私有地址转换为一个或多个已注册的公共IP地址，使得内部设备能够与外部网络进行通信而无需直接暴露它们的私有IP地址。

端口是有限的

因为IPv4地址的不足，NAT技术非常普遍，它也加剧了端口号的需求。每个IPv4地址最多可以拥有65535个端口（0-65535，但0-1023通常保留给特定用途，所以实际可用端口更少）。因为每个NAT映射都需要一个独立的端口，所以在有大量内部设备和外部通信时，可能会发生端口耗尽事件。当所有端口号都被占用时，新的网络连接将无法建立，这会导致网络服务不可用或性能下降。

拓展阅读 1 - Azure的出站连接方法

• 使用Load Balancer的前端IP地址建立出站连接，每个IP地址可提供64K的端口
  

• 将 NAT 网关关联到子网，NAT 网关具有高度的可扩展性和可靠性，没有 SNAT 端口耗尽的问题。
  

• 将公共 IP 分配到虚拟机，未使用 SNAT
  

拓展阅读 2 - SNAT port可以同时用于TCP和UDP

SNAT（源地址转换，或称为源NAT）通常工作在网络层上，因此它是独立于传输层协议的。这意味着SNAT既可以用于TCP（传输控制协议）也可以用于UDP（用户数据报协议），甚至其他传输层协议。

拓展阅读 3 - 如果目标端口不同，则可以将一个 TCP SNAT 端口用于到同一目标 IP 的多个连接

在TCP连接中，一个连接由四个元组来唯一确定：源IP地址、源端口号、目标IP地址和目标端口号。只要这四个元素中的任意一个不同，就可以创建一个新的唯一连接。因此，如果内部设备都使用同一个外部IP地址（SNAT后的地址）连接到同一个目标IP的不同目标端口，它们可以共享同一个源端口号。

如何解决

• 新增IP
• 考虑用NAT Gateway
• 修改应用程序以重复使用连接
• 修改应用程序以使用连接池

👇欢迎扫码关注我的公众号👇