渗透数据中心网络的 NAT - 非对称 NAT
圆锥型NAT也可以叫做非对称型NAT,与之对应的就是对称型NAT。对称型NAT是指把所有来自相同私有IP地址和端口号,到特定目的IP地址和端口号的请求映射到相同的公有IP地址和端口。如果同一主机使用不同的源地址和端口对,发送的目的地址不同,则使用不同的映射。只有收到了一个IP包的公有主机才能够向该私有主机发送回一个UDP包。对称的NAT不保证所有会话中的私有地址、私有端口和公有IP,公有端口之间绑定的一致性。相反,它为每个新的会话分配一个新的端口号。
根据以往的介绍,可以将NAT做一个大致的分类,如图1所示:
图1:NAT分类
当然,NAT技术还不止这些,比如还有花生壳NAT-DDNS技术,这是国内知名品牌花生壳推出的NAT技术。NAT-DDNS利用动态域名服务(DDNS)和网络地址转换(NAT)的服务器实现公私网动态映射方法。NAT-DDNS 实现难度比传统 DDNS 大,采用“域名+端口”的访问方式。新花生壳服务器会记录每个新花生壳客户端设置的映射,为不同内网服务器的映射分配不同的访问端口号,访问者通过域名+ 端口号,就可以访问到相应内网服务器的内容。还有NAT444、NAT64、NAT-PT等一系列NAT新功能,这里提一下NAT444,NAT444是日本NTT公司提出来的NAT新技术,是两层NAT44的简称,属于IPV6过渡技术的一种,它采用端口块分配方式,可以从根本上解决用户的溯源问题。
NAT是数据中心网络必备设备之一,除非数据中心获得的公有地址是充足的,或者数据中心完全作为内网使用,与外网隔离,只要不是这样的情况,就需要部署NAT设备。NAT设备往往会部署在数据中心的网络出口处,所有从数据中心内部访问外部,或者从外部访问数据中心内部的流量都要经过NAT设备,由NAT设备完整内外网地址的映射。显然,NAT设备的表项非常关键,一旦NAT出现问题,往往造成内外网之间的业务互通出现问题,相互地址的对应关系找不到,所以一般对于NAT设备数据中心都会做备份,将NAT数据在多台设备上做备份,万一其中的部分设备发生故障,还可以由其它设备接管,完成内外网的地址映射。
本文作者:harbor
来源:51CTO
推荐阅读
-
用ipvsadm工具实现NAT模式的网络路由
-
新研发scGNN:一款专为单细胞RNA测序分析设计的图形神经网络架构 - Nat. Commun. 报道
-
网络地址转换(NAT)的原理和配置
-
NAT(网络地址转换)的实施和工作流程配置 - II.静态 NAT
-
NAT 地址转换(又称网络地址转换,用于实现专用网络和共享网络之间的相互访问)
-
如何在虚拟机中配置静态 IP 以解决 NAT 模式下的网络连接问题?
-
创建虚拟机网络并配置固定 IP 的 VMware NAT 方法
-
Windows 和 Linux 虚拟机之间的网络连接,用于 SSH 远程连接和 VMware 的 3 种网络模式 [NAT、桥接和仅主机]。
-
NAT 穿透是如何工作的?技术原理与企业实践》(Tailscale,2020 年) 取自 https://arthurchiao.art/blog/how-nat-traversal-works-zh/ NAT 如何渗透:技术原理和企业级实践》(Tailscale,2020 年)
-
网络协议的 NAT 渗透