NAT网络地址转换作为救世主是对IPv4地址枯竭的缓解,实践证明NAT的诸多优点得到了迅速广泛的应用,但在实际运用中出现了一些问题。 NAT关注5组信息,进行转换的5组也仅限于IP报头中,但FTP、H323等多通道协议和流媒体RTSP、MMS、DNS、SMTP、若干IM和P2P等的一部分APP包为了弥补NAT的这些缺陷,出现了APP应用层网关(ALG )。
ALG主要完成了APP应用层消息的处理。 通常,NAT仅转换报头中的IP、PORT信息,并不分析APP应用层中的数据有效载荷的字段。 如果可能ALG,识别相应消息后,分析IP报头以外的有效载荷信息,进行地址转换,重新计算校验和。
根据具体的APP情况,将ALG和NAT的组合APP功能分为3类。
a .网络地址转换:普通NAT
b .数据信道检测:用于多信道协议如FTP、H323的处理
c.APP应用层状态检查:处理负载APP应用层协议,包括IP、port
具体而言,ALG能够处理的协议包括DNS、FTP、H323、SIP、HTTP、ILS、MSN/QQ、NBT、RTSP、PPTP、TFTP等。
例如,FTP APP应用是通过控制连接和数据连接共同完成的,数据连接的建立是动态由控制连接的负载信息所决定的。 这需要ALG完成负载字段信息的处理以保证包的建立。
如上所述,上面的照片是属于内部网服务器模式的NAT,在外部网用户开始连接并建立了控制连接通道之后? 当尝试启动数据通道连接时,您还发现FTP的数据通道有两种:主动模式PORT和被动模式PASV。 FTP客户端通过控制通道发起被动连接请求,当FTP服务器收到请求时,它会响应被动模式。 此数据包加载包含地址信息[IP1,PORT1,在这种情况下,消息通过NAT设备进行ALG处理,解析加载字段并进行地址转换(IP2,PORT2),然后发送到客户端。 客户端收到后会考虑转换后的地址。 从端口发送连接建立消息。 然后在NAT设备上进行一些转换,就可以建立数据通道,并在数据通道上传输数据。
转载于:https://blog.51cto.com/simonsec/197090