NAT网关在阿里云的应用

news2024/12/23 4:52:51

NAT网关(Network Address Translation Gateway)是一种网络地址转换服务,提供NAT代理(SNAT和DNAT)能力。NAT是用于在本地网络中使用私有地址,在连接互联网时转而使用全局 IP 地址的技术。NAT实际上是为解决IPv4地址短缺而开发的技术。

1.功能

NAT不仅能解决IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。

  • 1.宽带分享:这是 NAT 主机的最大功能。
  • 2.安全防护:NAT 之内的 PC 联机到 Internet 上面时,其所显示的 IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行 portscan(端口扫描) 的时候,就侦测不到源Client 端的 PC 。

2.实现方式

NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad

2.1 静态转换

是指内部本地地址一对一转换成内部全局地址,相当内部本地的每一台PC都绑定了一个全局地址。一般用于在内网中对外提供服务的服务器

2.2 动态转换

是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

2.3 端口多路复用(Port address Translation,PAT)

是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,网络中应用最多的就是端口多路复用方式。

2.4 ALG(Application Level Gateway)

即应用程序级网关技术:传统的NAT技术只对IP层和传输层头部进行转换处理,但是一些应用层协议,在协议数据报文中包含了地址信息。为了使得这些应用也能透明地完成NAT转换,NAT使用一种称作ALG的技术,它能对这些应用程序在通信时所包含的地址信息也进行相应的NAT转换。例如:对于FTP协议的PORT/PASV命令、DNS协议的 “A” 和 “PTR” queries命令和部分ICMP消息类型等都需要相应的ALG来支持。

3.阿里云的NAT网关

阿里云NAT网关分为公网NAT网关和VPC NAT网关,公网NAT网关提供公网地址转换服务,而VPC NAT网关提供私网地址转换服务,您可以根据业务需求灵活选择

3.1公网NAT网关

公网NAT网关是一款针对公网访问的企业级安全网关产品,提供NAT代理功能(SNAT和DNAT),具有100 Gbps的转发能力及跨可用区的容灾能力。公网NAT网关具有高性能、自动弹性、灵活计费、精细化运维等特性,可以帮助您更好地管理公网访问流量。
公网NAT网关的网络拓扑如下图所示
公网NAT

  • 如果您的云上网络只希望主动访问公网上的业务,而不希望云上的业务直接暴露在公网上从而有被攻击的风险,您可以选用公网NAT网关为业务提供安全防护能力。
  • 如果您的业务具有突增的访问公网的流量需求,您可以选用公网NAT网关为您提供灵活和弹性的扩容能力,并且只需要按使用量付费,节省企业成本。
  • 如果您有大量访问公网的机器,您可以通过公网NAT网关统一公网出口,并通过公网NAT网关准确和精细化的运维监控能力管理企业访问公网的流量。

3.1.1 SNAT(Source NAT)

SNAT是源地址转换的缩写,是一种 NAT 技术,用于在网络内部的主机访问 Internet 时,修改源 IP 地址。当内部主机发送数据包时,会将数据包的源 IP 地址替换为路由器的外部 IP 地址。这样做的目的是为了让 Internet 上的服务器能够正确地回应数据包。
使用 SNAT 技术的主要目的是隐藏内部网络的真实 IP 地址,以增加网络的安全性。它还可以用于节省外部 IP 地址资源,因为多台内部主机可以共享一个外部 IP 地址。

SNAT一般应用于一下场景

  • 发往 Internet 的流量的源地址与路由器出口端口的地址不同。
  • 发往 Internet 的流量的源地址与路由器的地址私有。
  • SNAT通常用于NAT的网关路由器上,以便发往 Internet 的流量可以被回应。

场景示例:
某公司在阿里云创建了专有网络VPC(Virtual Private Cloud)和交换机,交换机中创建了多个ECS实例。ECS实例均未分配固定公网IP,也未绑定弹性公网IP(Elastic IP Address,简称EIP)。因公司业务发展,每台ECS实例都需要访问互联网
SNAT示例
您可以通过公网NAT网关的SNAT功能,配置SNAT条目,使得VPC内无公网IP的ECS实例可以通过公网NAT网关绑定的EIP访问互联网

阿里云SNAT配置步骤如下
SNAT配置步骤

更多SNAT配置细节请参考阿里云

3.1.2 DNAT(Destination NAT)

DNAT是目标地址转换的缩写,是用于改变报文目标地址的一种 NAT 方式。它通常用于将外网主机的报文转发到内网主机上

场景示例
本文以下图场景为例。某公司在阿里云创建了ECS实例,并在ECS实例上部署了应用服务,但未给ECS实例分配固定公网IP,也未绑定弹性公网IP(Elastic IP Address,简称EIP)。因公司业务发展,公司计划通过公网NAT网关DNAT功能的IP映射或者端口映射方式,实现ECS实例面向互联网提供服务。
DNAT示例

阿里云DNAT配置步骤如下
DNAT配置步骤

更多DNAT配置细节请参考阿里云

3.2 私网NAT网关(也即VPC NAT网关)

VPC NAT网关能够为VPC内的ECS实例提供私网地址转换服务,使多个ECS实例可以通过中转私网地址(即NAT IP地址)访问您的本地数据中心IDC或其他VPC。ECS实例也可以通过使用VPC NAT网关的中转私网地址对外提供私网访问服务。
VPC NAT网关也支持SNAT和DNAT功能

功能说明相关文档
SNAT功能通过NAT IP地址为VPC内的ECS实例提供访问外部私有网络代理服务。创建和管理VPC NAT网关的SNAT条目
DNAT功能通过将NAT IP地址和端口映射转换为VPC内ECS实例的IP和端口,使ECS实例对外提供私网访问服务。创建和管理VPC NAT网关的DNAT条目
应用场景

1.混合云使用指定地址互访场景
随着金融证券行业云上业务规模的扩大,多网络间进行私网互通时,会遇到被监控机构要求使用固定私网地址访问的场景。您可以使用VPC NAT网关的SNAT功能和DNAT功能实现固定私网地址访问的场景
混合云使用VPC NAT

2.VPC互访地址冲突
由于早期网络规划单一或后期的业务合并,云上可能存在需要互通的两个业务VPC地址冲突的情况。您可以为两个业务VPC各配置一个VPC NAT网关并配置两个不冲突的中转私网地址。主动访问的业务VPC使用SNAT功能将源地址转换为VPC NAT网关的中转地址,被访问的业务VPC通过DNAT功能使用VPC NAT网关的中转私网地址对外提供私网服务,从而实现地址冲突的两个业务VPC互访。
VPC互访地址冲突

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1098927.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

408计算机组成原理需要背的部分

1.第一章 1.1计算机发展历程 1.发展历程:电子管-》晶体管-》中小规模集成电路-》超大规模集成电路 2.系统组成:控制器,运算器,存储器,输入设备,输出设备 3.性能指标(常考部分): 机器字长&#x…

橙河网络:怎么学习python?

大家好,我是橙河网络,今天聊一聊怎么学习python? 学习Python编程可以采取以下步骤: 1.理解Python基础知识:了解Python的基本语法、数据类型、控制流语句、函数、模块和包等基础知识,这些是Python编程的基…

【LeetCode刷题(数据结构与算法面试题)】:最小高度树

给定一个有序整数数组 元素各不相同且按升序排列 编写一个算法 创建一棵高度最小的二叉搜索树 示例: 给定有序数组: [-10,-3,0,5,9] 一个可能的答案是:[0,-3,9,-10,null,5],它可以表示下面这个高度平衡二叉搜索树 0 / \ -3 9 / / -10 5 确定最小高…

股票价格预测 | Python基于RNN股票预测实战

循环神经网络(RNN)是基于序列数据(如语言、语音、时间序列)的递归性质而设计的,是一种反馈类型的神经网络,其结构包含环和自重复,因此被称为“循环”。它专门用于处理序列数据,如逐字生成文本或预测时间序列数据(例如股票价格)。 (1)one to one:其实和全连接神经网络…

网页版微信客户管理系统,常见疑问解答

1.系统怎么登陆? 请使用谷歌浏览器打开和使用系统,避免出现浏览器不兼容的问题,不建议使用其他浏览器。打开后输入登陆账号和密码即可登陆。 2.怎么登陆微信号? 登陆系统后,点击左上角这个 “” ,选择 “…

性能测试-redis常见问题

缓存击穿、缓存穿透、缓存雪崩 缓存雪崩 解决办法 1.设置缓存失效时间,不要在同一时间 2.redis集群部署 3.不设置缓存设置时间 4.定时刷缓存的时间 缓存穿透 请求不管返回什么数据都返回给redis对参数合法器进行验证,不合法的时候直接过滤掉使用布…

Raiden Network(二)—— Mediated transfers(多跳支付里的中介传输)

什么是Mediated transfers 在雷电网络中,节点可以通过中间节点进行Mediated transfers向其他节点进行支付。Mediated transfers的步骤: Allocation(分配): 使用锁定的转移消息(locked transfer message&am…

建陶行业标杆『诺贝尔瓷砖』企企通供应链协同系统一期项目上线,数字采购领航企业高质量发展

企企通与全球领先的高端装饰材料系统服务商【杭州诺贝尔陶瓷有限公司】(以下简称“诺贝尔瓷砖”)联合开发的供应链协同系统一期项目正式上线,这意味着诺贝尔瓷砖供应链变革管理迈上新的台阶,数字化采购进入新高速时代。 01、高端装…

EM@圆和圆锥曲线的参数方程

文章目录 abstract圆的参数方程匀速圆周运动的轨迹从普通方程直接转化为参数方程 任意位置圆心的方程参数方程一般方程例 交点问题的参数方程法 圆锥曲线的参数方程椭圆参数方程例椭圆内接矩形的最大面积问题 抛物线参数方程一般位置的抛物线例 双曲线的参数方程点到双曲线的最…

一文理解登录鉴权(Cookie、Session、Jwt、CAS、SSO)

1 前言 登录鉴权是任何一个网站都无法绕开的部分,当系统要正式上线前都会要求接入统一登陆系统,一方面能够让网站只允许合法的用户访问,另一方面,当用户在网站上进行操作时也需要识别操作的用户,用作后期的操作审计。…

如何优雅地读取网络的中间特征?

0.前言 在调试深度神经网络工程时,常会在前向计算过程中将网络的中间层信息返回,便于打印或者可视化网络中间结果。实现该功能的一个常用方法是在构建model类时,在forward返回要保留的中间信息。 这里跟大家分享一个更优雅、便捷的方法&…

《软件方法》2023版第1章(10)应用UML的建模工作流-大图

DDD领域驱动设计批评文集 做强化自测题获得“软件方法建模师”称号 《软件方法》各章合集 1.4 应用UML的建模工作流 1.4.1 概念 我用类图表示建模工作流相关概念如图1-16。 图1-16 建模工作流相关概念 图1-16左侧灰色部分定义了“游戏规则”,右侧则是在“游戏规…

假如你有一台服务器,你最想做哪些事

假如你有一台服务器,你最想做哪些事 在这个数字化的时代,服务器已经成为了我们生活中不可或缺的一部分。它们为我们提供了无数的便利,让我们的生活变得更加丰富多彩。那么,假如我有一台服务器,我会如何使用它呢&#…

WebDAV之π-Disk派盘 + Xplore

手机文件太多、太乱,本地目录中找不想要的文件,怎么办?推荐使用Xplore将手机中的文件以不同的文件方式罗列出来,并展示给用户。文件管理器以图片、音乐、视频、文档、压缩包及安装包等类型进行分类,使手机中的文件一目了然的分列开。也可以对每个分类下的文件进行不同的操…

视频剪辑软件Corel VideoStudio 会声会影2023新功能介绍及安装激活教程

我很喜欢视频剪辑软件Corel VideoStudio 会声会影2023,因为它使用起来很有趣。它很容易使用,但仍然给你很多功能和力量。视频剪辑软件Corel VideoStudio 会声会影2023让我与世界分享我的想法!“这个产品的功能非常多,我几乎没有触…

二叉树题目:从前序与中序遍历序列构造二叉树

文章目录 题目标题和出处难度题目描述要求示例数据范围 解法一思路和算法代码复杂度分析 解法二思路和算法代码复杂度分析 题目 标题和出处 标题:从前序与中序遍历序列构造二叉树 出处:105. 从前序与中序遍历序列构造二叉树 难度 5 级 题目描述 要…

Linux高性能服务器编程 学习笔记 第十四章 进程池和线程池

动态创建子进程或子线程的缺点: 1.动态创建进程或线程比较耗时,这将导致较慢的客户响应。 2.动态创建的子进程或子线程通常只用来为一个客户服务(除非我们做特殊处理),这将导致系统上产生大量的进程或线程&#xff0c…

基于yolov2深度学习网络的猫脸检测识别matlab仿真

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 5.算法完整程序工程 1.算法运行效果图预览 2.算法运行软件版本 matlab2022a 3.部分核心程序 load yolov2.mat% 加载训练好的目标检测器 img_size [224,224]; imgPath test/; % 图…

哈佛教授因果推断力作:《Causal Inference: What If 》pdf下载

因果推断是一项复杂的科学任务,它依赖于多个来源的三角互证和各种方法论方法的应用,是用于解释分析的强大建模工具,同时也是机器学习领域的热门研究方向之一。 今天我要给大家推荐的这本书,正是因果推断领域必读的入门秘籍&#…

《WebGIS快速开发教程第四版》重磅更新

随着笔者夜以继日的不断忙碌,丰富和完善心血之作《WebGIS快速开发教程》,第四版也终于发布了,第四版相比于前三个版本可以用四个字概括那就是“重磅更新”,重磅两个字该如何理解呢? 首先我们来看看更新了哪些内容&…