10. NAT,代理服务,内网穿透
4. NAT
背景:
NAT 技术当前解决 IP 地址不够用的主要手段, 是路由器的一个重要功能;
• NAT 能够将私有 IP 对外通信时转为全局 IP. 也就是就是一种将私有 IP 和全局 IP 相互转化的技术方法:
• 很多学校, 家庭, 公司内部采用每个终端设置私有 IP, 而在路由器或必要的服务器上设置全局 IP;
• 全局 IP 要求唯一, 但是私有 IP 不需要; 在不同的局域网中出现相同的私有 IP 是完全不影响的;
NAPT
那么问题来了, 如果局域网内, 有多个主机都访问同一个外网服务器, 那么对于服务器返回的数据中, 目的 IP 都是相同的. 那么 NAT 路由器如何判定将这个数据包转发给哪个局域网的主机?
这时候 NAPT 来解决这个问题了. 使用 IP+port 来建立这个关联关系
私有IP虽然可以重复,但是在内网里是唯一的!!!
私有IP+自己的port = 内网中唯一的一个进程!
这种关联关系也是由 NAT 路由器自动维护的. 例如在 TCP 的情况下, 建立连接时, 就会生成这个表项; 在断开连接后, 就会删除这个表项
NAT 技术的缺陷
由于 NAT 依赖这个转换表, 所以有诸多限制:
• 无法从 NAT 外部向内部服务器建立连接;
• 装换表的生成和销毁都需要额外开销;
• 通信过程中一旦 NAT 设备异常, 即使存在热备, 所有的 TCP 连接也都会断开;
5. 代理服务器
5.1 正向代理
正向代理(Forward Proxy)是一种常见的网络代理方式,它位于客户端和目标服务器之间,代表客户端向目标服务器发送请求。正向代理服务器接收客户端的请求,然后将请求转发给目标服务器,最后将目标服务器的响应返回给客户端。通过这种方式,正向代理可以实现多种功能,如提高访问速度、隐藏客户端身份、实施访问控制等。
工作原理:
• 客户端将请求发送给正向代理服务器。
• 正向代理服务器接收请求,并根据配置进行处理,如缓存查找、内容过滤等。
• 正向代理服务器将处理后的请求转发给目标服务器。
• 目标服务器处理请求,并将响应返回给正向代理服务器。
• 正向代理服务器将响应返回给客户端
功能特点
• 缓存功能:正向代理服务器可以缓存经常访问的资源,当客户端再次请求这些资源时,可以直接从缓存中获取,提高访问速度。
• 内容过滤:正向代理可以根据预设的规则对请求或响应进行过滤,如屏蔽广告、阻止恶意网站等。
• 访问控制:通过正向代理,可以实现对特定网站的访问控制,如限制员工在工作时间访问娱乐网站。
• 隐藏客户端身份:正向代理可以隐藏客户端的真实 IP 地址,保护客户端的隐私。
• 负载均衡:在多个目标服务器之间分配客户端请求,提高系统的可扩展性和可靠性。
应用场景:企业网络管理:企业可以通过正向代理实现对员工网络访问的管理和控制,确保员工
在工作时间内专注于工作,避免访问不良网站或泄露公司机密。公共网络环境:在公共场所如图书馆、学校等提供的网络环境中,通过正向代理可以
实现对网络资源的合理分配和管理,确保网络使用的公平性和安全性。内容过滤与保护:家长可以通过设置正向代理来过滤不良内容,保护孩子免受网络上
的不良信息影响。提高访问速度:对于经常访问的网站或资源,正向代理可以通过缓存机制提高访问速
度,减少网络延迟。跨境电商与海外访问:对于跨境电商或需要访问海外资源的企业和个人,正向代理可
以帮助他们突破网络限制,顺畅地访问海外网站和资源。科学上网是正向代理
5.2 反向代理
反向代理服务器是一种网络架构模式,其作为 Web 服务器的前置服务器,接收来自客户端的请求,并将这些请求转发给后端服务器,然后将后端服务器的响应返回给客户端。这种架构模式可以提升网站性能、安全性和可维护性等
基本原理
• 反向代理服务器位于客户端和 Web 服务器之间,当客户端发起请求时,它首先会到达反向代理服务器。反向代理服务器会根据配置的规则将请求转发给后端的 Web 服务器,并将 Web 服务器的响应返回给客户端。在这个过程中,客户端并不知道实际与哪个 Web 服务器进行了交互,它只知道与反向代理服务器进行了通信。
应用场景• 负载均衡:反向代理服务器可以根据配置的负载均衡策略,将客户端的请求分发
到多个后端服务器上,以实现负载均衡。这有助于提升网站的整体性能和响应速度,
特别是在高并发场景下。• 安全保护:反向代理服务器可以隐藏后端 Web 服务器的真实 IP 地址,降低其被
直接攻击的风险。同时,它还可以配置防火墙、访问控制列表(ACL)等安全策略,
对客户端的请求进行过滤和限制,以保护后端服务器的安全。• 缓存加速:反向代理服务器可以缓存后端 Web 服务器的响应内容,对于重复的
请求,它可以直接从缓存中返回响应,而无需再次向后端服务器发起请求。这可以大
大减少后端服务器的负载,提升网站的响应速度。• 内容过滤和重写:反向代理服务器可以根据配置的规则对客户端的请求进行过滤
和重写,例如添加或删除请求头、修改请求路径等。这有助于实现一些特定的业务需
求,如 URL 重写、用户认证等。• 动静分离:在大型网站中,通常需要将静态资源和动态资源分开处理。通过将静
态资源部署在反向代理服务器上,可以直接从反向代理服务器返回静态资源的响应,
而无需再次向后端服务器发起请求。这可以大大提升静态资源的访问速度。• CDN(Content Delivery Network,内容分发网络)就是采用了反向代理的原理5.3 NAT 和代理服务器
路由器往往都具备 NAT 设备的功能, 通过 NAT 设备进行中转, 完成子网设备和其他子网设备的通信过程.
代理服务器看起来和 NAT 设备有一点像. 客户端像代理服务器发送请求, 代理服务器将请求转发给真正要请求的服务器; 服务器返回结果后, 代理服务器又把结果回传给客户端.
那么 NAT 和代理服务器的区别有哪些呢?
• 从应用上讲, NAT 设备是网络基础设备之一, 解决的是 IP 不足的问题. 代理服
务器则是更贴近具体应用, 比如通过代理服务器进行翻墙, 另外像迅游这样的加速器,
也是使用代理服务器. • 从底层实现上讲, NAT 是工作在网络层, 直接对 IP 地址进行替换. 代理服务器
往往工作在应用层. • 从使用范围上讲, NAT 一般在局域网的出口部署, 代理服务器可以在局域网做,
也可以在广域网做, 也可以跨网.• 从部署位置上看, NAT 一般集成在防火墙, 路由器等硬件设备上, 代理服务器则
是一个软件程序, 需要部署在服务器上.代理服务器是一种应用比较广的技术.
• 翻墙: 广域网中的代理.
• 负载均衡: 局域网中的代理.
6. 内网穿透
内网穿透是一种网络技术,主要用于解决处于内网环境中的设备,与外部网络进行通信的问题
在网络环境中,通常存在内网(局域网)和外网(广域网)。处于内网的设备(如家庭、企业内部的电脑、服务器等),一般使用私有 IP 地址,这些私有 IP 地址在公网上无法被直接访问。内网穿透就是借助一些特殊技术手段, 让外部网络可以访问到处于内网中的设备。
把内网服务,暴露在公网上
内网打洞
在互联网中,很多设备处于内网环境,它们通过 NAT(网络地址转换)设备(如路由器)连接到公网。当内网中的设备要与其他内网设备通信时,由于 NAT 设备会对内部 IP 地址和端口进行转换,直接通信往往存在困难。内网打洞技术通过一些特殊的方法,让处于不同内网的设备能够绕过 NAT 设备的限制,直接建立点对点的通信连接。例如,两个处于不同家庭内网的用户,他们的设备都通过各自的路由器连接到公网,正常情况下无法直接通信,通过内网打洞技术,就可以在他们的设备之间建立直接的通信通道。
P2P 文件传输:在 P2P(点对点)文件共享网络中,用户之间可以直接传输文件,而不需要通过中央服务器中转,提高文件传输效率。
交换机
交换机是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路
工作原理
- 数据转发:交换机工作在数据链路层,根据 MAC 地址(介质访问控制地址)来转发数据帧。当交换机接收到一个数据帧时,它会读取数据帧中的目的 MAC 地址,然后在自己的 MAC 地址表中查找该地址对应的端口,将数据帧从对应的端口转发出去。
- MAC 地址学习:交换机通过学习数据帧中的源 MAC 地址来构建和维护 MAC 地址表。当交换机从某个端口接收到一个数据帧时,它会记录该数据帧的源 MAC 地址和对应的端口信息。如果 MAC 地址表中已经存在该 MAC 地址的记录,交换机将更新对应的端口信息;如果不存在,则添加新的记录。
- 广播处理:当交换机接收到一个广播数据帧(目的 MAC 地址为全 1)时,它会将该数据帧从所有除了接收端口之外的端口转发出去。
优点
- 增强网络安全性:交换机可以通过划分 VLAN(虚拟局域网)等方式,将网络划分为不同的逻辑区域,限制不同区域之间的通信,提高网络安全性。
- 便于网络管理:交换机支持多种网络管理协议,如 SNMP(简单网络管理协议),方便网络管理员对网络进行监控和管理。
缺点
- 成本较高:高性能的交换机价格相对较高,对于一些小型企业或家庭用户来说,可能会增加网络建设成本。
- 配置复杂:交换机的配置相对复杂,需要网络管理员具备一定的专业知识和技能。
- 依赖 MAC 地址表:交换机的转发依赖于 MAC 地址表,如果 MAC 地址表出现问题,可能会导致数据转发失败。
