淺談內(nèi)網(wǎng)穿透

時(shí)間：2023-08-04 23:24:02 | 來源：網(wǎng)站運(yùn)營

時(shí)間：2023-08-04 23:24:02 來源：網(wǎng)站運(yùn)營

淺談內(nèi)網(wǎng)穿透：內(nèi)網(wǎng)穿透，也叫NAT穿透，進(jìn)行NAT穿透是為了使具有某一個(gè)特定源ip地址和源端口號的數(shù)據(jù)包不被NAT設(shè)備屏蔽而正確路由到內(nèi)網(wǎng)主機(jī)。

什么是內(nèi)網(wǎng)穿透？

在當(dāng)前的互聯(lián)網(wǎng)環(huán)境中，由于IPv4的公網(wǎng)地址數(shù)量是有限的，無法給每一臺需要接入互聯(lián)網(wǎng)的設(shè)備分配一個(gè)公網(wǎng)ip。為了解決這一問題，大量接入網(wǎng)絡(luò)的設(shè)備都只能分配到一個(gè)私有ip地址。

在一個(gè)公司或家庭內(nèi)部，可以借助私有ip搭建一個(gè)網(wǎng)絡(luò)用于相互通訊，這個(gè)網(wǎng)絡(luò)被稱為內(nèi)網(wǎng)，位于同一個(gè)內(nèi)網(wǎng)中的設(shè)備可以通過私有ip直接相互訪問。而在互聯(lián)網(wǎng)中，可以被直接訪問的網(wǎng)站都需要擁有公網(wǎng)ip，當(dāng)內(nèi)網(wǎng)中的設(shè)備需要訪問這些網(wǎng)站時(shí)，例如登錄微信，百度查資料等等，需要借助網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）將私有ip轉(zhuǎn)換為公有ip。

如此一來，雖然解決了公網(wǎng)ip不足的問題，但是位于內(nèi)網(wǎng)中的設(shè)備無法被外網(wǎng)中的設(shè)備直接訪問，同樣，位于不同內(nèi)網(wǎng)中的設(shè)備也無法直接相互訪問。“內(nèi)網(wǎng)穿透”就是為了能讓兩個(gè)位于不同內(nèi)網(wǎng)中的設(shè)備可以直接通信的技術(shù)。

NAT簡介

“內(nèi)網(wǎng)穿透”又被稱為“NAT穿透”，想要了解內(nèi)網(wǎng)穿透，要先明白NAT的原理。目前使用最多的NAT方式為NAPT（網(wǎng)絡(luò)地址端口轉(zhuǎn)換）。下文中的NAT皆指“NAPT”。

用一個(gè)簡化的模型來說明NAPT的實(shí)現(xiàn)機(jī)制：

服務(wù)器Server1 ：3.3.3.3
服務(wù)器Server1 ：4.4.4.4
NAT網(wǎng)關(guān)：5.5.5.5、192.168.0.1
內(nèi)網(wǎng)設(shè)備PC1：192.168.0.5

“3.3.3.3”、“4.4.4.4”、“5.5.5.5”都是公網(wǎng)ip可以在互聯(lián)網(wǎng)中相互訪問。

當(dāng)PC1的10000端口訪問Server1的111端口時(shí)，PC1發(fā)出的數(shù)據(jù)包中ip和端口情況為192.168.0.5:10000 => 3.3.3.3:100；
當(dāng)數(shù)據(jù)包到達(dá)NAT網(wǎng)關(guān)后，NAT網(wǎng)關(guān)發(fā)出的數(shù)據(jù)包為5.5.5.5:20000 => 3.3.3.3:100；
Server1接收到NAT網(wǎng)關(guān)發(fā)來的數(shù)據(jù)包后，發(fā)出響應(yīng)包3.3.3.3:100 => 5.5.5.5:20000；
NAT網(wǎng)關(guān)接收到響應(yīng)包后，通過查詢NAT表，向PC1發(fā)出3.3.3.3:100 => 192.168.0.5:10000；

以上便是192.168.0.5:10000和3.3.3.3:100之間借助NAT通信的過程。

根據(jù)對ip和端口的限制機(jī)制，NAT可以分為四類，“全錐形NAT”、“地址受限錐形NAT”、“端口受限錐形NAT”和“對稱NAT”。

全錐形NAT

在以上的場景中，192.168.0.5:10000和5.5.5.5:20000建立了映射關(guān)系，當(dāng)公網(wǎng)上的其他設(shè)備訪問5.5.5.5:20000時(shí)，都會被NAT網(wǎng)關(guān)轉(zhuǎn)發(fā)到PC1中。

例如，Server2主動向NAT網(wǎng)關(guān)發(fā)出數(shù)據(jù)包4.4.4.4:101 => 5.5.5.5:20000，會被NAT網(wǎng)關(guān)轉(zhuǎn)換為4.4.4.4:101 => 192.168.0.5:10000發(fā)送給PC1。這種NAT被稱為“全錐形NAT”。

地址受限錐形NAT

如果在全錐形NAT的基礎(chǔ)上增加限制條件，可以實(shí)現(xiàn)地址受限錐形NAT。

在以上的場景中，由于192.168.0.5:10000和3.3.3.3:100之間的通信，192.168.0.5:10000和5.5.5.5:20000建立了映射關(guān)系，但是只允許Server1可以借助這條映射和192.168.0.5:10000通信，Server2發(fā)來的數(shù)據(jù)包4.4.4.4:101 => 5.5.5.5:20000會被丟棄。

端口受限錐形NAT

在地址受限錐形NAT的基礎(chǔ)上，再增加對端口的限制，就是端口受限錐形NAT。

例如，僅允許Server1的100端口可以借助192.168.0.5:10000和5.5.5.5:20000之間的映射關(guān)系和192.168.0.5:10000通信。Server1其他端口發(fā)出的數(shù)據(jù)包3.3.3.3:101 => 5.5.5.5:20000會被NAT網(wǎng)關(guān)丟棄。

注意：在受限錐形NAT中，禁止被限制對象主動和內(nèi)網(wǎng)通信。例如Server2無法主動發(fā)送數(shù)據(jù)包到PC1的10000端口，但是PC1向Server2主動發(fā)起通信請求不受影響。

對稱NAT

在受限錐形NAT中，內(nèi)網(wǎng)同一ip的同一端口和外部通信時(shí)，建立的映射關(guān)系是一對一的。

例如，192.168.0.5:10000和Server1、Server2的不同端口通信時(shí)，都會被轉(zhuǎn)換成3.3.3.3:20000。而在對稱NAT中，內(nèi)網(wǎng)同一ip的同一端口和外部通信時(shí)，建立的映射關(guān)系是一對多的。

例如，192.168.0.5:10000和3.3.3.3:100通信時(shí)，會被轉(zhuǎn)換為3.3.3.3:20000，和3.3.3.3:101通信時(shí)，會被轉(zhuǎn)換為3.3.3.3:20001。

內(nèi)網(wǎng)穿透技術(shù)

所謂“內(nèi)網(wǎng)穿透”就是讓兩個(gè)在不同內(nèi)網(wǎng)中的設(shè)備可以直接通信。

同樣用一個(gè)簡化的模型來說明：

服務(wù)器Server1 ：3.3.3.3
服務(wù)器Server1 ：4.4.4.4
NAT網(wǎng)關(guān)1：5.5.5.5、192.168.0.1
內(nèi)網(wǎng)設(shè)備PC1：192.168.0.5
NAT網(wǎng)關(guān)2：6.6.6.6、192.168.1.1
內(nèi)網(wǎng)設(shè)備PC2：192.168.1.7
輔助服務(wù)器Server3 : 7.7.7.7

需要借助內(nèi)網(wǎng)穿透技術(shù)實(shí)現(xiàn)PC1和PC2之間的通信。

方案一：

在全錐形網(wǎng)絡(luò)中，實(shí)現(xiàn)內(nèi)網(wǎng)穿透最容易。需要相互通信的內(nèi)網(wǎng)設(shè)備分別和輔助服務(wù)器建立連接，輔助服務(wù)器便可以獲取每個(gè)設(shè)備和各自NAT網(wǎng)關(guān)的映射關(guān)系。

輔助服務(wù)器將映射關(guān)系分發(fā)給每個(gè)內(nèi)網(wǎng)設(shè)備，內(nèi)網(wǎng)設(shè)備便可以直接利用這些映射關(guān)系和其他內(nèi)網(wǎng)的設(shè)備通信。

例如，PC2希望和PC1的10000端口通信，需經(jīng)歷以下步驟：

a. PC1使用10000端口和Server3建立連接；
b. Server3收到PC1的連接請求，獲得PC1和NAT網(wǎng)關(guān)1之間的映射關(guān)系為192.168.0.5:10000 <=> 5.5.5.5:20000；
c. PC2和Server3建立連接，接收Server3發(fā)來的映射信息；
d. PC2直接向5.5.5.5:20000發(fā)起連接請求；
e. PC1同意PC2發(fā)來的連接請求，連接建立完畢。

方案二：

方案一僅能在全錐形網(wǎng)絡(luò)中生效，如果NAT網(wǎng)關(guān)1為受限錐形NAT網(wǎng)關(guān)，PC2發(fā)來的連接請求會被直接丟棄。在這種情景下，需要采取額外的措施使PC1和PC2之間能夠通信。

假設(shè)PC2希望和PC1的10000端口通信，但是二者皆通過端口受限錐形NAT和互聯(lián)網(wǎng)通信：

a. PC1使用10000端口和Server3建立連接；
b. PC2使用10000端口和Server3建立連接；
c. Server3收到連接請求，獲得關(guān)系192.168.0.5:10000 <=> 5.5.5.5:20000、192.168.1.6:10000 <=> 6.6.6.6:20000；
d. PC1通過10000端口向6.6.6.6:20000發(fā)起連接請求。PC1的連接請求會被NAT網(wǎng)關(guān)2丟棄，但是在NAT網(wǎng)關(guān)1中，PC1和6.6.6.6:20000之間的通信已經(jīng)被允許。；
e. PC2直接向5.5.5.5:20000發(fā)起連接請求;
f. 請求順利到達(dá)PC1，PC1同意PC2發(fā)來的連接請求，連接建立完畢。

在對稱NAT中，由于和不同地址建立的映射端口不同，無法實(shí)現(xiàn)內(nèi)網(wǎng)穿透。