渗透数据中心网络的 NAT - 非对称 NAT

圆锥型NAT也可以叫做非对称型NAT，与之对应的就是对称型NAT。对称型NAT是指把所有来自相同私有IP地址和端口号，到特定目的IP地址和端口号的请求映射到相同的公有IP地址和端口。如果同一主机使用不同的源地址和端口对，发送的目的地址不同，则使用不同的映射。只有收到了一个IP包的公有主机才能够向该私有主机发送回一个UDP包。对称的NAT不保证所有会话中的私有地址、私有端口和公有IP，公有端口之间绑定的一致性。相反，它为每个新的会话分配一个新的端口号。

根据以往的介绍，可以将NAT做一个大致的分类，如图1所示：

图1：NAT分类

当然，NAT技术还不止这些，比如还有花生壳NAT-DDNS技术，这是国内知名品牌花生壳推出的NAT技术。NAT-DDNS利用动态域名服务(DDNS)和网络地址转换(NAT)的服务器实现公私网动态映射方法。NAT-DDNS 实现难度比传统 DDNS 大，采用“域名+端口”的访问方式。新花生壳服务器会记录每个新花生壳客户端设置的映射，为不同内网服务器的映射分配不同的访问端口号，访问者通过域名+ 端口号，就可以访问到相应内网服务器的内容。还有NAT444、NAT64、NAT-PT等一系列NAT新功能，这里提一下NAT444，NAT444是日本NTT公司提出来的NAT新技术，是两层NAT44的简称，属于IPV6过渡技术的一种，它采用端口块分配方式，可以从根本上解决用户的溯源问题。

NAT是数据中心网络必备设备之一，除非数据中心获得的公有地址是充足的，或者数据中心完全作为内网使用，与外网隔离，只要不是这样的情况，就需要部署NAT设备。NAT设备往往会部署在数据中心的网络出口处，所有从数据中心内部访问外部，或者从外部访问数据中心内部的流量都要经过NAT设备，由NAT设备完整内外网地址的映射。显然，NAT设备的表项非常关键，一旦NAT出现问题，往往造成内外网之间的业务互通出现问题，相互地址的对应关系找不到，所以一般对于NAT设备数据中心都会做备份，将NAT数据在多台设备上做备份，万一其中的部分设备发生故障，还可以由其它设备接管，完成内外网的地址映射。

本文作者：harbor

来源：51CTO