|
假定服务器A 的IP =10.1.1.2/24 服务器B的IP = 10.1.1.3/24,对内提供的服务 10.1.1.3:80 对Internet提供的服务 1.1.1.1:80 NAT设备LAN = 10.1.1.1/24, WAN = 1.1.1.1,NAT设备兼任局域网的网关 
内网IP访问 服务器A访问服务器B内网IP=10.1.1.3:80,直接通信,流量不经过NAT设备,实在没有什么值得可以写的。 Internet用户访问服务器B公网IP 服务器B提供的服务在Internet的呈现形式是 1.1.1.1:80。 当Internet上的用户访问1.1.1.1:80的流量到达NAT设备时,NAT设备需要提前将NAT静态(static)映射表准备好,应该相这个样子的: Static Entry1.1.1.1:80 ------- 10.1.1.3:80 既然有了这个静态表项,那么NAT设备就可以将目的IP 从1.1.1.1改写为10.1.1.3,然后依据 Destination IP = 10.1.1.3来查找路由表,转发Destination IP = 10.1.1.3的IP报文,这个是小菜一碟,服务器B收到该IP报文。 然后B正常回复消息,当回复消息到达NAT设备时,NAT再依据静态映射表将SourceIP从10.1.1.3改写为1.1.1.1,并对改写完的IP报文查询路由表,将IP报文转发到Internet上去。这是标准流程,相信大多数读者可以理解。 写了这这长长的一段,是为了更好地问答接下来的问题。 服务器A访问服务器B公网IP Source IP =10.1.1.2 Destination IP=1.1.1.1 1.A要访问1.1.1.1:80,查询路由表发现要发给网关10.1.1.1 2.网关10.1.1.1发现A发给自己的IP报文需要NAT,源IP =10.1.1.2需要做动态NAT映射,A使用随机端口56012,于是就动态生成了一个NAT表项: Dynamic Entry1.1.1.1:56012 --------- 10.1.1.2:56012 3.NAT设备将IP报文的Source IP做了以上的修改,Source IP =1.1.1.1 Source IP =1.1.1.1 Destination IP=1.1.1.1 4.NAT发现目的IP =1.1.1.1 竟然和上文的静态表项相匹配,毫不犹豫地将目的IP 做了替换,替换后的IP报文: Source IP =1.1.1.1 Destination IP=10.1.1.3 5.查询路由表继续将IP报文转发给服务器B 6.返程的流量处理方法和1-4类似,也是经过两次NAT地址变换(源IP、目的IP),最终达到服务器A Hairpin技术 上文的两次NAT转换使用了Hairpin技术。 一般情况下,从LAN接口收到的流量,只会转发到WAN接口上去,而不能再转发到LAN接口,这种限制是为了避免流量的环路可能。 但是服务器A与服务器B都处于LAN接口上,A使用公网IP访问服务器B,必然先将流量通过LAN接口发给NAT设备,NAT设备做了两次NAT变化之后,必然要把流量从LAN接口发回来,为了实现这种访问,这里打破了上文的限制,称这种技术为Hairpin,分叉技术。 写完这个答案,留给读者一个问题,如果服务器B主动访问Internet上的一台服务器2.2.2.2:443,NAT设备上只有静态NAT表项:StaticEntry 1.1.1.1:80 ------- 10.1.1.3:80 NAT设备上没有配置动态NAT,请问服务器B可以访问Internet吗? 服务器无法访问Internet,静态映射表只用于服务器B被动提供服务。 服务器B可以使用端口80作为源端口吗? 80端口作为知名(well-known)端口,用于被动响应端口,操作系统会禁止应用程序使用80端口作为源端口,而是让应用程序使用49152-65535(private port)端口范围内的随机端口。 而应用程序如果使用49152-65535端口内的任意端口作为源端口,自然不会匹配到静态NAT表项,加上NAT设备没有配置动态NAT,所以服务器B访问Internet的报文将以SourceIP = 10.1.1.3被转发到Internet上去,但由于10.1.1.3是私有IP,即使到达Internet上的服务器,最终也无法返回。 美国服务器https://www.idcbest.com/ 天下数据电话:400-6388-808
| 
窥视卡
雷达卡
发表于 2019-1-18 14:09:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡