积极推进网站建设,奇迹建站模板,怎么备案网站空间,北京seo管理NAT网关#xff08;Network Address Translation Gateway#xff09;是一种网络地址转换服务#xff0c;提供NAT代理#xff08;SNAT和DNAT#xff09;能力。NAT是用于在本地网络中使用私有地址#xff0c;在连接互联网时转而使用全局 IP 地址的技术。NAT实际上是为解决I…NAT网关Network Address Translation Gateway是一种网络地址转换服务提供NAT代理SNAT和DNAT能力。NAT是用于在本地网络中使用私有地址在连接互联网时转而使用全局 IP 地址的技术。NAT实际上是为解决IPv4地址短缺而开发的技术。
1.功能
NAT不仅能解决IP地址不足的问题而且还能够有效地避免来自网络外部的攻击隐藏并保护网络内部的计算机。
1.宽带分享这是 NAT 主机的最大功能。2.安全防护NAT 之内的 PC 联机到 Internet 上面时其所显示的 IP 是 NAT 主机的公共 IP所以 Client 端的 PC 当然就具有一定程度的安全了外界在进行 portscan端口扫描 的时候就侦测不到源Client 端的 PC 。
2.实现方式
NAT的实现方式有三种即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad
2.1 静态转换
是指内部本地地址一对一转换成内部全局地址相当内部本地的每一台PC都绑定了一个全局地址。一般用于在内网中对外提供服务的服务器
2.2 动态转换
是指将内部网络的私有IP地址转换为公用IP地址时IP地址是不确定的是随机的所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说只要指定哪些内部地址可以进行转换以及用哪些合法地址作为外部地址时就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
2.3 端口多路复用Port address Translation,PAT
是指改变外出数据包的源端口并进行端口转换即端口地址转换PATPort Address Translation.采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问从而可以最大限度地节约IP地址资源。同时又可隐藏网络内部的所有主机有效避免来自internet的攻击。因此网络中应用最多的就是端口多路复用方式。
2.4 ALGApplication Level Gateway
即应用程序级网关技术传统的NAT技术只对IP层和传输层头部进行转换处理但是一些应用层协议在协议数据报文中包含了地址信息。为了使得这些应用也能透明地完成NAT转换NAT使用一种称作ALG的技术它能对这些应用程序在通信时所包含的地址信息也进行相应的NAT转换。例如对于FTP协议的PORT/PASV命令、DNS协议的 “A” 和 “PTR” queries命令和部分ICMP消息类型等都需要相应的ALG来支持。
3.阿里云的NAT网关
阿里云NAT网关分为公网NAT网关和VPC NAT网关公网NAT网关提供公网地址转换服务而VPC NAT网关提供私网地址转换服务您可以根据业务需求灵活选择
3.1公网NAT网关
公网NAT网关是一款针对公网访问的企业级安全网关产品提供NAT代理功能SNAT和DNAT具有100 Gbps的转发能力及跨可用区的容灾能力。公网NAT网关具有高性能、自动弹性、灵活计费、精细化运维等特性可以帮助您更好地管理公网访问流量。 公网NAT网关的网络拓扑如下图所示
如果您的云上网络只希望主动访问公网上的业务而不希望云上的业务直接暴露在公网上从而有被攻击的风险您可以选用公网NAT网关为业务提供安全防护能力。如果您的业务具有突增的访问公网的流量需求您可以选用公网NAT网关为您提供灵活和弹性的扩容能力并且只需要按使用量付费节省企业成本。如果您有大量访问公网的机器您可以通过公网NAT网关统一公网出口并通过公网NAT网关准确和精细化的运维监控能力管理企业访问公网的流量。
3.1.1 SNATSource NAT
SNAT是源地址转换的缩写是一种 NAT 技术用于在网络内部的主机访问 Internet 时修改源 IP 地址。当内部主机发送数据包时会将数据包的源 IP 地址替换为路由器的外部 IP 地址。这样做的目的是为了让 Internet 上的服务器能够正确地回应数据包。 使用 SNAT 技术的主要目的是隐藏内部网络的真实 IP 地址以增加网络的安全性。它还可以用于节省外部 IP 地址资源因为多台内部主机可以共享一个外部 IP 地址。
SNAT一般应用于一下场景
发往 Internet 的流量的源地址与路由器出口端口的地址不同。发往 Internet 的流量的源地址与路由器的地址私有。SNAT通常用于NAT的网关路由器上以便发往 Internet 的流量可以被回应。 场景示例: 某公司在阿里云创建了专有网络VPCVirtual Private Cloud和交换机交换机中创建了多个ECS实例。ECS实例均未分配固定公网IP也未绑定弹性公网IPElastic IP Address简称EIP。因公司业务发展每台ECS实例都需要访问互联网 您可以通过公网NAT网关的SNAT功能配置SNAT条目使得VPC内无公网IP的ECS实例可以通过公网NAT网关绑定的EIP访问互联网 阿里云SNAT配置步骤如下
更多SNAT配置细节请参考阿里云
3.1.2 DNATDestination NAT
DNAT是目标地址转换的缩写是用于改变报文目标地址的一种 NAT 方式。它通常用于将外网主机的报文转发到内网主机上 场景示例 本文以下图场景为例。某公司在阿里云创建了ECS实例并在ECS实例上部署了应用服务但未给ECS实例分配固定公网IP也未绑定弹性公网IPElastic IP Address简称EIP。因公司业务发展公司计划通过公网NAT网关DNAT功能的IP映射或者端口映射方式实现ECS实例面向互联网提供服务。 阿里云DNAT配置步骤如下
更多DNAT配置细节请参考阿里云
3.2 私网NAT网关(也即VPC NAT网关)
VPC NAT网关能够为VPC内的ECS实例提供私网地址转换服务使多个ECS实例可以通过中转私网地址即NAT IP地址访问您的本地数据中心IDC或其他VPC。ECS实例也可以通过使用VPC NAT网关的中转私网地址对外提供私网访问服务。 VPC NAT网关也支持SNAT和DNAT功能
功能说明相关文档SNAT功能通过NAT IP地址为VPC内的ECS实例提供访问外部私有网络代理服务。创建和管理VPC NAT网关的SNAT条目DNAT功能通过将NAT IP地址和端口映射转换为VPC内ECS实例的IP和端口使ECS实例对外提供私网访问服务。创建和管理VPC NAT网关的DNAT条目应用场景 1.混合云使用指定地址互访场景 随着金融证券行业云上业务规模的扩大多网络间进行私网互通时会遇到被监控机构要求使用固定私网地址访问的场景。您可以使用VPC NAT网关的SNAT功能和DNAT功能实现固定私网地址访问的场景 2.VPC互访地址冲突 由于早期网络规划单一或后期的业务合并云上可能存在需要互通的两个业务VPC地址冲突的情况。您可以为两个业务VPC各配置一个VPC NAT网关并配置两个不冲突的中转私网地址。主动访问的业务VPC使用SNAT功能将源地址转换为VPC NAT网关的中转地址被访问的业务VPC通过DNAT功能使用VPC NAT网关的中转私网地址对外提供私网服务从而实现地址冲突的两个业务VPC互访。
