【Linux篇】NTA机制与网络地址转换原理详解

📌 个人主页： 孙同学_

🔧 文章专栏： Liunx

💡 关注我，分享经验，助你少走弯路！

文章目录

• • NAT技术背景
  • [NAT IP转化的过程](#NAT IP转化的过程)
  • NAPT
  • NAT技术的缺陷
  • 代理服务器
  • • 正向代理
    • 反向代理
  • NAT和代理服务器
  • 内网穿透
  • 内网打洞

NAT技术背景

NAT技术是解决当前IP地址不足的主要手段，是路由器的一个重要的功能。

• NAT能够将私有IP对外通信时转化为全局IP，也就是一种将私有IP和全局IP相互转换的方法。
• 全局IP要求唯一，但是私有IP不需要，在不同的局域网内可以出现相同的IP。

NAT IP转化的过程

• NAT 路由器将源地址从 10.0.0.10 替换成全局的 IP 202.244.174.37;
• NAT 路由器收到外部的数据时, 又会把目标 IP 从 202.244.174.37 替换回10.0.0.10;
• 在 NAT 路由器内部, 有一张自动生成的, 用于地址转换的表;
• 当 10.0.0.10 第一次向 163.221.120.9 发送数据时就会生成表中的映射关系;

NAPT

那么问题来了, 如果局域网内, 有多个主机都访问同一个外网服务器, 那么对于服务器返回的数据中, 目的 IP 都是相同的. 那么 NAT 路由器如何判定将这个数据包转发给哪个局域网的主机?

这时候 NAPT 来解决这个问题了. 使用 IP+port 来建立这个关联关系

这种关联关系也是由 NAT 路由器自动维护的. 例如在 TCP 的情况下, 建立连接时, 就会生成这个表项; 在断开连接后, 就会删除这个表项.

NAT技术的缺陷

由于NAT技术太依赖这张转换表，所以会有诸多的限制

• 无法从NAT外部向内部建立连接
• 转换表的生成和销毁都需要额外的开销
• 通信过程中一旦 NAT 设备异常, 即使存在热备, 所有的 TCP 连接也都会断开
  、

代理服务器

正向代理

概述

• 正向代理是一种常见的网络代理方式，它位于客户端和目标服务器之间，代表客户端向目标服务器发送请求，正向代理服务器接收到客户端的请求后，将请求转发给目标服务器，最后将目标服务器的响应转发给客户端，通过这种方式正向代理服务器可以实现多种功能，比如提高访问速度、隐藏客户端身份、实施访问控制等。
  
  工作原理
• 客户端将请求发送给正向代理服务器
• 正向代理服务器接收到请求，并根据配置进行处理，如缓存查找，内容过滤等
• 正向代理服务器将处理后的请求，转发给目标服务器
• 目标服务器处理请求后，并将响应返回给正向代理服务器
• 正向代理服务器将响应返回给客户端

功能特点

• 缓存功能：正向代理服务器可以缓存经常访问的资源，当客户端再次访问这些资源时，可以直接从缓存中获取，提高访问速度。
• 内容过滤：正向代理服务器可以根据预设的规则，可以对请求或者响应进行内容过滤，如屏蔽广告，阻止恶意网站等。
• 访问控制：通过正向代理，可以实现对特定网站访问的控制，如限制员工在工作时访问娱乐网站等。
• 隐藏客户端身份：正向代理可以隐藏客户端的真实IP地址，保护客户端的隐私。
• 负载均衡：在多个目标服务器之间，分配客户端请求，提高系统的可扩展性和可靠性。

应用场景

• 企业网络管理：企业可以通过正向代理实现对员工网络访问的管理和控制，确保员工在工作时间内专注于工作，避免访问不良网站或泄露公司机密。
• 公共网络环境：在公共场所如图书馆、学校等提供的网络环境中，通过正向代理可以实现对网络资源的合理分配和管理，确保网络使用的公平性和安全性。
• 内容过滤与保护：家长可以通过设置正向代理来过滤不良内容，保护孩子免受网络上的不良信息影响。
• 提高访问速度：对于经常访问的网站或资源，正向代理可以通过缓存机制提高访问速度，减少网络延迟。
• 跨境电商与海外访问：对于跨境电商或需要访问海外资源的企业和个人，正向代理可以帮助他们突破网络限制，顺畅地访问海外网站和资源。

反向代理

概述

• 反向代理服务器是一中网络架构模式，其作为Web服务器的前置服务器，接收来自客户端的请求，并将这些请求转发给后端服务器，然后将后端服务器的响应转回给客户端。这种架构模式可以提升网站性能、安全性、可维护性等。

基本原理

• 反向代理服务器位于客户端和Web服务器之间，当客户端发起请求时，它首先会到达反向代理服务器，反向代理服务器会根据配置规则将请求转发给后端的Web服务器，并将Web服务器的响应返回给客户端。在这个过程中，客户端并不知道实际中与哪个Web服务器进行了交互，它只知道与反向代理服务器进行了通信。

应用场景

• 负载均衡： 反向代理服务器可以根据配置的负载均衡策略，将客户端的请求分发到多个后端服务器上，以实现负载均衡。这有助于提升网站的整体性能和响应速度，特别是在高并发场景下。
• 安全保护：反向代理服务器可以隐藏后端 Web 服务器的真实 IP 地址，降低其被直接攻击的风险。同时，它还可以配置防火墙、访问控制列表（ACL）等安全策略，对客户端的请求进行过滤和限制，以保护后端服务器的安全。
• 缓存加速：反向代理服务器可以缓存后端 Web 服务器的响应内容，对于重复的请求，它可以直接从缓存中返回响应，而无需再次向后端服务器发起请求。这可以大大减少后端服务器的负载，提升网站的响应速度。
• 内容过滤与重写：反向代理服务器可以根据配置的规则对客户端的请求进行过滤和重写，例如添加或删除请求头、修改请求路径等。这有助于实现一些特定的业务需求，如 URL 重写、用户认证等。
• 动静分离： 在大型网站中，通常需要将静态资源和动态资源分开处理。通过将静态资源部署在反向代理服务器上，可以直接从反向代理服务器返回静态资源的响应，而无需再次向后端服务器发起请求。这可以大大提升静态资源的访问速度。
• CDN（Content Delivery Network，内容分发网络）就是采用了反向代理的原理

NAT和代理服务器

路由器往往都具备 NAT 设备的功能, 通过 NAT 设备进行中转, 完成子网设备和其他子网设备的通信过程.

代理服务器看起来和 NAT 设备有一点像. 客户端像代理服务器发送请求, 代理服务器将请求转发给真正要请求的服务器; 服务器返回结果后, 代理服务器又把结果回传给客户端。

那么 NAT 和代理服务器的区别有哪些呢?

• 从应用上讲, NAT 设备是网络基础设备之一, 解决的是 IP 不足的问题. 代理服务器则是更贴近具体应用, 比如通过代理服务器进行翻墙, 另外像迅游这样的加速器, 也是使用代理服务器.
• 从底层实现上讲, NAT 是工作在网络层, 直接对 IP 地址进行替换. 代理服务器往往工作在应用层。
• 从使用范围上讲, NAT 一般在局域网的出口部署, 代理服务器可以在局域网做, 也可以在广域网做, 也可以跨网。
• 从部署位置上看, NAT 一般集成在防火墙, 路由器等硬件设备上, 代理服务器则是一个软件程序, 需要部署在服务器上。

代理服务器是一种应用比较广的技术。

• 翻墙: 广域网中的代理
• 负载均衡: 局域网中的代理

内网穿透

• 内网穿透（NAT Traversal）是一种网络技术，允许外部网络（如互联网）中的设备访问位于内部局域网（如家庭或企业内网）中的服务，即使这些服务没有直接暴露在公网上。这项技术对于远程办公、私有服务器访问、物联网设备监控等多种应用场景非常重要。
  
  内网穿透技术的目标就是解决这种"外部访问内网服务"的问题。

内网打洞

• 内网打洞是NAT 穿透技术中的核心方法之一，常用于实现P2P（点对点）通信，例如在线游戏、语音/视频通话（如Skype、Zoom）、即时通讯、区块链节点通信等场景。

• 内网打洞的目标是：在两个都位于 NAT 后面的设备之间，建立直接的通信通道，而无需通过中继服务器（TURN 服务器），从而节省带宽资源、降低延迟、提升安全性和性能。

内网打洞的原理

内网打洞的核心思想：巧妙地借助一个双方都能访问的公网服务器（如 STUN 服务器）来打通 NAT 规则，实现双方直接通信。

步骤：

1. 设备 A 和设备 B 分别连接到一个公共服务器 S（如 STUN/TURN 服务器）。
2. S 记录 A 和 B 的公网 IP 和端口（由 NAT 重新分配）。
3. 服务器 S 分别告诉 A 和 B 对方的公网地址和端口。
4. A 和 B 同时尝试向对方的公网地址和端口发送数据包。
5. 双方的数据包在"打洞"后，NAT 会建立临时映射规则，允许对方数据进来。
6. 最终建立直连的双向通信。

应用场景

• P2P 即时通讯
• 在线视频会议
• 游戏联机
• 区块链节点通信
• 远程桌面

---

👍 如果对你有帮助，欢迎：

• 点赞 ⭐️
• 收藏 📌
• 关注 🔔