硬件工程师核心能力演进:从焊接技能到系统设计思维的转变
2026/6/6 22:14:15
目录
NAT 技术背景
NAT IP 转换过程
NAPT
NAT 技术的缺陷
代理服务器
正向代理
工作原理
功能特点
应用场景
反向代理
基本原理
应用场景
NAT 和代理服务器
那么 NAT 和代理服务器的区别有哪些呢
内网穿透
什么是内网穿透?
为什么需要内网穿透?
常见实现方式
frp 的内网穿透流程
整体架构角色
步骤 1:本地端口映射配置
步骤 2:直接访问云服务器端口即可穿透
“NAT 映射建立”与“TCP 连接”
frp 内网穿透的本质
内网打洞
典型例子:UDP 打洞
实际应用中的技术
局限性(不能 100% 成功)
与 frp 的关系
总结
数据链路层
网络层
传输层
应用层
NAT 技术背景
之前我们讨论了, IPv4 协议中, IP 地址数量不充足的问题
NAT 技术当前解决 IP 地址不够用的主要手段, 是路由器的一个重要功能;
• NAT 能够将私有 IP 对外通信时转为全局 IP. 也就是就是一种将私有 IP 和全局 IP 相互转化的技术方法:
• 很多学校, 家庭, 公司内部采用每个终端设置私有 IP, 而在路由器或必要的服务 器上设置全局 IP;
• 全局 IP 要求唯一, 但是私有 IP 不需要; 在不同的局域网中出现相同的私有 IP 是完全不影响的;
NAT IP 转换过程
• NAT 路由器将源地址从 10.0.0.10 替换成全局的 IP 202.244.174.37;
• NAT 路由器收到外部的数据时, 又会把目标 IP 从 202.244.174.37 替换回 10.0.0.10;
• 在 NAT 路由器内部, 有一张自动生成的, 用于地址转换的表;
• 当 10.0.0.10 第一次向 163.221.120.9 发送数据时就会生成表中的映射关系;
NAPT
那么问题来了, 如果局域网内, 有多个主机都访问同一个外网服务器, 那么对于服务器返 回的数据中, 目的 IP 都是相同的. 那么 NAT 路由器如何判定将这个数据包转发给哪个 局域网的主机?
这时候 NAPT 来解决这个问题了. 使用 IP+port 来建立这个关联关系
这种关联关系也是由 NAT 路由器自动维护的. 例如在 TCP 的情况下, 建立连接时, 就会 生成这个表项; 在断开连接后, 就会删除这个表项
NAT 技术的缺陷
由于 NAT 依赖这个转换表, 所以有诸多限制:
• 无法从 NAT 外部向内部服务器建立连接;
• 装换表的生成和销毁都需要额外开销;
• 通信过程中一旦 NAT 设备异常, 即使存在热备, 所有的 TCP 连接也都会断开;
代理服务器
代理服务器是一种应用比较广的技术.
• 翻墙: 广域网中的代理.
• 负载均衡: 局域网中的代理
代理服务器又分为正向代理和反向代理.
正向代理
• 正向代理(Forward Proxy)是一种常见的网络代理方式,它位于客户端和目标 服务器之间,代表客户端向目标服务器发送请求。正向代理服务器接收客户端的请 求,然后将请求转发给目标服务器,最后将目标服务器的响应返回给客户端。通过这 种方式,正向代理可以实现多种功能,如提高访问速度、隐藏客户端身份、实施访问 控制等。
工作原理
• 客户端将请求发送给正向代理服务器。
• 正向代理服务器接收请求,并根据配置进行处理,如缓存查找、内容过滤等。
• 正向代理服务器将处理后的请求转发给目标服务器。
• 目标服务器处理请求,并将响应返回给正向代理服务器。
• 正向代理服务器将响应返回给客户端。
功能特点
• 缓存功能:正向代理服务器可以缓存经常访问的资源,当客户端再次请求这些资 源时,可以直接从缓存中获取,提高访问速度。
• 内容过滤:正向代理可以根据预设的规则对请求或响应进行过滤,如屏蔽广告、 阻止恶意网站等。
• 访问控制:通过正向代理,可以实现对特定网站的访问控制,如限制员工在工作 时间访问娱乐网站。
• 隐藏客户端身份:正向代理可以隐藏客户端的真实 IP 地址,保护客户端的隐私。
• 负载均衡:在多个目标服务器之间分配客户端请求,提高系统的可扩展性和可靠 性。
应用场景
企业网络管理:企业可以通过正向代理实现对员工网络访问的管理和控制,确保员工 在工作时间内专注于工作,避免访问不良网站或泄露公司机密。
公共网络环境:在公共场所如图书馆、学校等提供的网络环境中,通过正向代理可以 实现对网络资源的合理分配和管理,确保网络使用的公平性和安全性。
内容过滤与保护:家长可以通过设置正向代理来过滤不良内容,保护孩子免受网络上 的不良信息影响。
提高访问速度:对于经常访问的网站或资源,正向代理可以通过缓存机制提高访问速 度,减少网络延迟。
跨境电商与海外访问:对于跨境电商或需要访问海外资源的企业和个人,正向代理可 以帮助他们突破网络限制,顺畅地访问海外网站和资源。
反向代理
• 反向代理服务器是一种网络架构模式,其作为 Web 服务器的前置服务器,接收 来自客户端的请求,并将这些请求转发给后端服务器,然后将后端服务器的响应返回 给客户端。这种架构模式可以提升网站性能、安全性和可维护性等
基本原理
• 反向代理服务器位于客户端和 Web 服务器之间,当客户端发起请求时,它首先 会到达反向代理服务器。反向代理服务器会根据配置的规则将请求转发给后端的 Web 服务器,并将 Web 服务器的响应返回给客户端。在这个过程中,客户端并不知道实际 与哪个 Web 服务器进行了交互,它只知道与反向代理服务器进行了通信。
应用场景
• 负载均衡:反向代理服务器可以根据配置的负载均衡策略,将客户端的请求分发 到多个后端服务器上,以实现负载均衡。这有助于提升网站的整体性能和响应速度, 特别是在高并发场景下。
• 安全保护:反向代理服务器可以隐藏后端 Web 服务器的真实 IP 地址,降低其被直接攻击的风险。同时,它还可以配置防火墙、访问控制列表(ACL)等安全策略, 对客户端的请求进行过滤和限制,以保护后端服务器的安全。
• 缓存加速:反向代理服务器可以缓存后端 Web 服务器的响应内容,对于重复的 请求,它可以直接从缓存中返回响应,而无需再次向后端服务器发起请求。这可以大 大减少后端服务器的负载,提升网站的响应速度。
• 内容过滤和重写:反向代理服务器可以根据配置的规则对客户端的请求进行过滤 和重写,例如添加或删除请求头、修改请求路径等。这有助于实现一些特定的业务需 求,如 URL 重写、用户认证等。
• 动静分离:在大型网站中,通常需要将静态资源和动态资源分开处理。通过将静 态资源部署在反向代理服务器上,可以直接从反向代理服务器返回静态资源的响应, 而无需再次向后端服务器发起请求。这可以大大提升静态资源的访问速度。
• CDN(Content Delivery Network,内容分发网络)就是采用了反向代理的原理
NAT 和代理服务器
路由器往往都具备 NAT 设备的功能, 通过 NAT 设备进行中转, 完成子网设备和其他子 网设备的通信过程.
代理服务器看起来和 NAT 设备有一点像. 客户端像代理服务器发送请求, 代理服务器将 请求转发给真正要请求的服务器; 服务器返回结果后, 代理服务器又把结果回传给客户 端.
那么 NAT 和代理服务器的区别有哪些呢
• 从应用上讲, NAT 设备是网络基础设备之一, 解决的是 IP 不足的问题. 代理服 务器则是更贴近具体应用, 比如通过代理服务器进行翻墙, 另外像迅游这样的加速器, 也是使用代理服务器.
• 从底层实现上讲, NAT 是工作在网络层, 直接对 IP 地址进行替换. 代理服务器 往往工作在应用层. • 从使用范围上讲, NAT 一般在局域网的出口部署, 代理服务器可以在局域网做, 也可以在广域网做, 也可以跨网.
• 从部署位置上看, NAT 一般集成在防火墙, 路由器等硬件设备上, 代理服务器则 是一个软件程序, 需要部署在服务器上
简单区分:
| 类型 | 代表谁 | 谁被隐藏 | 客户端是否知情 |
|---|---|---|---|
| 正向代理 | 客户端 | 客户端(真实 IP) | 是(需配置) |
| 反向代理 | 服务器 | 服务器(真实集群) | 否(无感知) |
正向代理:替客户出门办事,外人不知道客户是谁。
反向代理:替商家接客,客人不知道背后是哪个店员服务。
内网穿透
什么是内网穿透?
内网穿透(NAT Traversal / Intranet Penetration)是一种技术,用于让外网(公网)的设备能够访问位于内网(如家庭、公司局域网)中的设备。
为什么需要内网穿透?
家庭、公司的设备通常位于NAT(网络地址转换)后面,它们拥有私有 IP(如
192.168.x.x)。外网无法直接主动连接这些私有 IP,因为 NAT 只允许内网设备主动向外建立连接,但禁止外网主动向内发起连接。
内网穿透就是为了“打穿”这个限制,让外网可以访问内网的服务(例如 SSH、Web 服务器、远程桌面)。
常见实现方式
端口映射(UPnP / 手动配置路由器):在路由器上做端口转发,但需要公网IP且配置复杂。
第三方穿透工具:如 frp、ngrok、ZeroTier、花生壳等。其中frp是目前最流行的开源内网穿透工具。
frp 的内网穿透流程
图中描述了一个典型的frp使用场景:
在家的 Linux 机器(内网)上运行 SSH 服务(22 端口),希望能在公司或学校(外网)直接访问家里的 SSH。
整体架构角色
frps(服务端):部署在一台有公网 IP的云服务器上。
frpc(客户端):部署在家里的 Linux 机器上(内网)。
步骤 1:本地端口映射配置
配置:把本地某个端口映射到 frps 的某个端口(例如:将家里 Linux 的 SSH 22 号端口,映射到 frps 的 8888 端口)
在家里 Linux 机器上配置
frpc.ini(frp 客户端配置),内容类似:[ssh] type = tcp local_ip = 127.0.0.1 local_port = 22 # 家里机器的 SSH 端口 remote_port = 8888 # 云服务器上 frps 开放的端口同时,在云服务器上运行
frps,并配置好frps.ini允许端口 8888 被使用。
含义:
frpc 会主动与 frps 建立一条TCP 长连接,并告诉 frps:“凡是发到你 8888 端口的流量,都通过这条连接转发给我,我再转发给本地的 22 端口(SSH)”。
步骤 2:直接访问云服务器端口即可穿透
直接访问云服务器的 8888 端口,就能直接访问到家里的 Linux 机器的 22 号端口
在公司或学校的电脑上,执行:
ssh 你的云服务器公网IP -p 8888流量到达云服务器(frps)的 8888 端口 → frps 通过已经建立的 TCP 通道发给家里的 frpc → frpc 转发到本地的
127.0.0.1:22→ SSH 服务响应 → 数据原路返回。
结果:
外网用户感觉自己在直接连接云服务器的 8888 端口,但实际上最终连接的是家里的 Linux SSH。
“NAT 映射建立”与“TCP 连接”
TCP 连接:图中的“TCP 连接”指的是frpc 主动向 frps 发起的控制/数据连接。由于是内网主动发起,NAT 会允许这个连接以及后续的复用通道,从而“打洞”成功。
NAT 映射建立:当 frpc 连接到 frps 时,NAT 路由器会在内部建立一条临时映射(内网端口 → 外网端口),frps 可以通过这条映射反向给 frpc 发数据。这就是穿透的核心
frp 内网穿透的本质
没有真正“打穿” NAT,而是利用了一条由内网主动发起的双向隧道。
内网设备需要主动连接公网服务器(frps)。
公网服务器作为中继,接收外网用户的请求,并通过已有隧道转发给内网设备。
外网用户只需访问公网服务器的某个端口,就能间接访问内网服务。
这种模式可以用于访问 SSH、远程桌面、Web 服务(HTTP/HTTPS)、游戏联机等任何基于 TCP/UDP 的服务。
内网打洞
“内网打洞”通常指P2P(点对点)NAT 穿透技术,它能让两个都在内网(NAT 后面)的设备直接建立连接,不需要公网服务器一直中转数据。之前的frp属于中继模式(数据必须经过公网服务器)。
为什么叫“打洞”?
每个 NAT 就像一堵墙。
墙上有临时的“洞”(NAT 映射表项),只有内网主动访问外网时才会开一个洞(允许外部响应回来)。
打洞就是让双方同时主动访问对方,在各自的墙上开出允许对方数据进入的临时洞。
| 方式 | 数据路径 | 优点 | 缺点 |
|---|---|---|---|
| 中继(如 frp) | 设备A → 公网服务器 → 设备B | 稳定,穿透成功率高 | 服务器带宽压力大,延迟增加 |
| 打洞(P2P 穿透) | 设备A ←→ 设备B 直接连接 | 不消耗服务器带宽,延迟低 | 成功率受 NAT 类型限制 |
典型例子:UDP 打洞
假设:
设备 A(公司内网,IP 1.1.1.1:30000 NAT 映射后对外端口 50000)
设备 B(家里内网,IP 2.2.2.2:40000 NAT 映射后对外端口 60000)
有一个信令服务器(公网,只帮忙交换地址,不中转数据)。
步骤:
A 和 B 分别连接信令服务器,服务器记录它们各自的公网 IP + 端口(NAT 分配的临时映射)。
A 想联系 B 时,从服务器拿到 B 的公网地址
(2.2.2.2:60000)。A 向 B 的公网地址发送一个UDP 数据包(这个包很可能被 B 的 NAT 丢弃,因为 NAT 没见过来自 A 的流量)。
关键:A 发送的同时,通过信令服务器告诉 B:“请你向我的公网地址
(1.1.1.1:50000)也发送一个 UDP 包”。B 向 A 的公网地址发送 UDP 包。这时,A 的 NAT 看到来自 B 的包,由于 A 之前主动向 B 发过包,NAT 会认为这是“响应”,于是放行。B 的 NAT 同理。
打洞成功,A 和 B 可以直接通信。
更通俗说法:双方都先往对方的洞里扔一个石子,让对方 NAT 记住自己,然后就可以互相收发数据了。
实际应用中的技术
UDP 打洞:最常用,因为 UDP 无状态,NAT 映射容易保持。
TCP 打洞:更复杂,因为 TCP 有状态,需要同时使用端口预测或 SO_REUSEADDR 等技巧。
ICE(Interactive Connectivity Establishment):综合使用 STUN(获取公网地址)、TURN(中继兜底)、打洞等,用于 WebRTC。
局限性(不能 100% 成功)
NAT 类型影响打洞成功率:
全锥形 NAT:打洞容易
地址限制锥形 NAT:可以打洞
端口限制锥形 NAT:勉强可打
对称 NAT:几乎无法打洞,因为 NAT 会为每个目标分配不同端口,导致双方不知道对方的准确端口。
此时只能退回到中继模式(TURN 服务器)。
与 frp 的关系
frp 默认是中继模式,但它的
xtcp插件实现了P2P 打洞(基于 UDP)。如果打洞成功,frp 会切换为直连;如果失败,自动回落到中继。
内网打洞= 借助公网信令服务器交换地址,让两台 NAT 设备互相主动发起连接,直接在 NAT 墙上“开洞”,实现 P2P 直连。
总结
数据链路层
• 数据链路层的作用: 两个设备(同一种数据链路节点)之间进行传递数据
• 以太网是一种技术标准; 既包含了数据链路层的内容, 也包含了一些物理层的内 容. 例如: 规定了网络拓扑结构, 访问控制方式, 传输速率等;
• 以太网帧格式
• 理解 mac 地址
• 理解 arp 协议
• 理解 MTU
网络层
• 网络层的作用: 在复杂的网络环境中确定一个合适的路径.
• 理解 IP 地址, 理解 IP 地址和 MAC 地址的区别.
• 理解 IP 协议格式.
• 了解网段划分方法
• 理解如何解决 IP 数目不足的问题, 掌握网段划分的两种方案. 理解私有 IP 和公 网 IP
• 理解网络层的 IP 地址路由过程. 理解一个数据包如何跨越网段到达最终目的地
• 理解 IP 数据包分包的原因.
• 了解 ICMP 协议.
• 了解 NAT
传输层
• 传输层的作用: 负责数据能够从发送端传输接收端.
• 理解端口号的概念.
• 认识 UDP 协议, 了解 UDP 协议的特点.
• 认识 TCP 协议, 理解 TCP 协议的可靠性. 理解 TCP 协议的状态转化.
• 掌握 TCP 的连接管理, 确认应答, 超时重传, 滑动窗口, 流量控制, 拥塞控制, 延 迟应答, 捎带应答特性.
• 理解 TCP 面向字节流, 理解粘包问题和解决方案.
• 能够基于 UDP 实现可靠传输. • 理解 MTU 对 UDP/TCP 的影响
应用层
• 应用层的作用: 满足我们日常需求的网络程序, 都是在应用层
• 能够根据自己的需求, 设计应用层协议.
• 了解 HTTP 协议.
• 理解 DNS 的原理和工作流程