代理_端口转发_端口映射_NAT_概念释疑2.3.pdf

代理_端口转发_端口映射_NAT_概念释疑2

网络地址转换：这个概念最早用于路由器和防火墙等实体网络设备上，表示路由器防

NAT/

火墙设备将收到的某数据包的地址传输层端口号进行修改，再走路由转发到目标主机。

ip/

最初只是指的转换，即地址，后来也可以修改传输层的端口号，涉

NATnetworkaddressip

及到端口号的修改的操作也叫作（转换），但我们仍习惯于把这二者的修改

PATportaddress

统称为。是分个方向的，对源的修改叫作（源地址转换），对目标

NATNAT2ip:portsNAT

ip:port的修改叫作dNAT（目的地址转换）

①sNAT（源NAT）

是指客户端发来的数据报文是给的，但在路由上经过了设备，

*sNATBA

然后对这个流量的源做了修改，改成了的，并且记录了这个转换的映

*Aip:portAip:portA

射关系，

收到数据后，响应的报文是发回给，因为从那里看，数据的源是

*BABipA

收到发回的响应报文后，再根据之前保存的映射关系，把响应报文的目的改

*ABip:port

为Client

*最后响应报文走路由层发到Client

②dNAT（目的NAT、端口映射）

*dNAT如果强调对端口的修改，也可叫作端口映射

是指客户端发来的数据报文是给的，但把目的改为了的，并记录这个

*dNATAAip:portB

转换的映射关系

收到数据后，响应的报文是发给的，因为之前并没有修改报文的源，所

*BClientAip:port

以从那里看，报文就是从发来的。

BClient

发回的响应报文经路由层转发，如果再经过时，再根据之前保存的映射关系，把响

*BAA

应报文的源改回自己的

ip:portA

*响应报文再走路由层发到Client

注意，如果发回的响应报文经路由转发后，不经过设备，则源得不到修改，

***BAip:port

这样即使收到了响应报文，也不认这个报文，因为在连接里，要求源

ClientClienttcpip:port

和目的ip:p