NAT & NAT PROXY代理上網(wǎng)的區(qū)別

torony 2015-10-16

展開全文

NAT有三種類型：靜態(tài)NAT(Static NAT)、動態(tài)地址NAT(Pooled NAT),、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port－Level NAT）,。

其中靜態(tài)NAT設(shè)置起來最為簡單和最容易實現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址,。而動態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址,，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上,。根據(jù)不同的需要,，三種NAT方案各有利弊。 

動態(tài)地址NAT只是轉(zhuǎn)換IP地址,，它為每一個內(nèi)部的IP地址分配一個臨時的外部IP地址,，主要應(yīng)用于撥號，對于頻繁的遠程聯(lián)接也可以采用動態(tài)NAT,。當(dāng)遠程用戶聯(lián)接上之后,，動態(tài)地址NAT就會分配給他一個IP地址，用戶斷開時,，這個IP地址就會被釋放而留待以后使用,。 

網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應(yīng)用于接入設(shè)備中,，它可以將中小型的網(wǎng)絡(luò)隱藏在一個合法的IP地址后面,。NAPT與動態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個單獨的IP地址上,，同時在該地址上加上一個由NAT設(shè)備選定的TCP端口號

常用的局域網(wǎng)接入Internet的技術(shù)有三種：
1.直接路由,；
2.網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)；
3.代理服務(wù)器(proxy),。

第一種方法比較簡單直接,，不過要求客戶機都有真實IP,，僅這一點，大多數(shù)的環(huán)境就無法滿足--IP地址可是緊缺資源哦,。而且一臺硬件路由器的價格不斐,，真實IP掛在網(wǎng)上安全上也讓人不放心。所以這種方案應(yīng)用得不多,，我就不多講了,。

再來看第二種方法--NAT。上文提到,，ip地址常常是不夠用的,，那么NAT技術(shù)的出現(xiàn)就可以解決這一問題。其原理就是在局域網(wǎng)使用保留的私有地址,，在ip數(shù)據(jù)包離開局域網(wǎng)網(wǎng)關(guān)(即NAT網(wǎng)關(guān))發(fā)往Internet時改變其源地址為一個Internet可路由地址(通常就是網(wǎng)關(guān)的外部網(wǎng)卡地址)，當(dāng)回應(yīng)的數(shù)據(jù)包返回網(wǎng)關(guān)時再將回應(yīng)包的目的地址改為原先發(fā)出請求的客戶機的IP地址,，這通常是一個保留的私有地址,。NAT網(wǎng)關(guān)自動跟蹤客戶機和外網(wǎng)的連線，保證數(shù)據(jù)包轉(zhuǎn)發(fā)給正確的客戶機,。這樣許許多多的局域網(wǎng)都可以使用保留地址而不用擔(dān)心會相互沖突,，就可以節(jié)約大量的IP地址資源。linux下的iptables,，ipchains, FreeBSD下的ipfw都可以實現(xiàn)某種形式的NAT,，從而充當(dāng)局域網(wǎng)的Internet網(wǎng)關(guān)。還有M$的ICS(Internet Connection Sharing,，大致如此吧:-) )也是使用NAT技術(shù),。至于sygate，據(jù)我所知也是采用NAT技術(shù),，所以它并不是真正意義上的代理服務(wù)器,。

再有就是第三種方法--Proxy，也就是代理服務(wù)器,。顧名思義它是一種客戶機和服務(wù)器之間的代理人,，它接受客戶機的連接請求，然后自己“代替”客戶機向服務(wù)器發(fā)起連接,，接收到回應(yīng)后,，再將同樣的回應(yīng)發(fā)回客戶機。注意這里建立了兩個鏈接,，客戶機<==>Proxy,，Proxy<==>服務(wù)器，要點是客戶機服務(wù)器之間并沒有直接建立連接,，它們之間的對話是經(jīng)過代理服務(wù)器“代理的”,。這一點很重要,，正是由于這一特點，Proxy通?？梢杂米饕粋€不錯的防火墻,，因為它隔斷了客戶機與外部服務(wù)器之間的直接數(shù)據(jù)連接。還是由于這一特點,，客戶機不需要具有Internet可路由的IP地址,，因為它與Internet根本沒有發(fā)生直接連接。
至于透明代理,，主要應(yīng)從兩個層面上來理解,，首先它是一個代理服務(wù)器，第二由于作了特別的配置,，對于客戶的應(yīng)用來講它是“透明”的,，就是說客戶根本無需知道它的存在，也就不需要特別的設(shè)置,。這可以簡化客戶端的配置工作,，通常你只要指定客戶機的IP地址、確省網(wǎng)關(guān),、和DNS地址就行了,。如果網(wǎng)絡(luò)上運行著DHCP服務(wù)器，那就更簡單了,，你只需要告訴客戶機動態(tài)取得IP地址一件事就可以了,，這是DHCP的功勞，不要也記到透明代里頭上哦,。:-)
再澄清一點,，傳統(tǒng)代理情況下，域名解析由Proxy完成,，所以客戶端DNS設(shè)得不對也能瀏覽,；在透明代理環(huán)境下，域名解析是客戶機自己的事,，所以DNS一定要設(shè)對,！

了解了NAT和Proxy的大致概念，現(xiàn)在我們來談?wù)勊鼈兊闹饕獏^(qū)別,。
1.它們工作的協(xié)議層不同,，NAT需要對ip幀進行拆包重組，所以它工作在ISO七層模型的第三層,，網(wǎng)絡(luò)層,；Proxy需要了解具體的應(yīng)用層的協(xié)議，它通常工作在應(yīng)用層,，所以又稱為應(yīng)用網(wǎng)關(guān),。
2.速度不同,，NAT工作在較低層，通常比工作在高層的Proxy速度要快些,。如果Proxy作了cache緩沖的話就不一定了,。
3.支持的協(xié)議不同，一般NAT支持很多上層的應(yīng)用層協(xié)議,，不被支持的協(xié)議反倒很少,；而Proxy通常支持的協(xié)議較少，如squid支持HTTP和基于瀏覽器的FTP,。所以有時會有多個Proxy協(xié)同工作,，HTTP代理+FTP代理+SMTP代理+POP代理等等。當(dāng)然也有的代理服務(wù)器集成了多協(xié)議的代理,，如M$ Proxy,，另外delegate支持的協(xié)議也比squid多。不過一般來說Proxy支持的協(xié)議較少且靈活性相對較差,。
4.管理控制功能不同,。NAT的控制功能相對較少；相比之下Proxy這方面的功能就比較強大了,。用戶認證，精細的訪問控制,，cache緩沖與管理等等,。不過NAT常常可以與包過濾技術(shù)相結(jié)合以彌補其控制功能的不足,。

如上所述,，兩種技術(shù)都可以帶動局域網(wǎng)上Interent，節(jié)約IP地址資源,。但又各有特點,，各有所長，在實際環(huán)境中我們可以根據(jù)自己的需求和條件加以選用,，實際上很多情況下兩者可以很好的共存在同一個網(wǎng)絡(luò)環(huán)境下,，取長補短，為我們提供更好的服務(wù),。