NAT下网络流量监控解决方案

什么是NAT？

NAT（Network Address Translation，网络地址转换）。最初是为了解决IPv4地址不足而是1994年提出的。IPv4为32为地址，最大的设备为2^32=4294967296 ，随着互联网的高速发展，地址已经完全不能满足需要，那么要如何实现全球如此多的用户能够上网呢。NAT技术简单来说就是将一个局域网内部的网址统一转换为一个的统一的地址与外部网络进行通信。

以家用路由器为例，如下图所示，家用路由器集成路由+NAT+无线AP为一体，当我们的设备连接路由器时会DHCP被自动分配一个IP地址，如192.168.0.100，但是该地址本地局域网地址是不能直接上网的，在内网设备要上网时路由器的NAT功能会将局域网内部设备源IP地址转换为192.168.1.3这个地址再与外界进行通信。在该局域网内的所有设备对外都被隐藏为192.168.1.3(wan口地址)。最后在总的网关会再进行一次NAT，这里192.168.1.3依旧不能直接与外界进行通信，经过总NAT网关进行地址转换为222.209.35.6这时，所有内网设备的IP都被隐藏为222.209.35.6，这样可能内网的上千个设备都使用一个IP就可以与外界进行通信，解决了IP不足的问题。

在这里插入图片描述

通过查看本地的网络属性就可以查询自己局域网的IP地址，如下

在这里插入图片描述

可以通过浏览器输入“IP地址查询”进行查询对外的IP

在这里插入图片描述

NAT优点

NAT最大的优点就是NAT对我们来说最大的贡献就是帮助我们节省了大量的ip资源，解决了ipv4地址空间不足的问题。

NAT缺点

破坏了端对端通信的平等性，无法根据IP地址对用户进行跟踪，也无法对网络进行监控。

如何在NAT下进行网络流量监控？

再以上图为例，网关和路由器之间接入一个网络流量监控IOTA或者ProfiShark，

（虹科IOTA是一个便携式的网络分析工具，IOTA的开发是为了满足业界顶级网络分析师和工程师的需求。 它是一种多功能的集成解决方案，在单个设备中结合了捕获、存储和分析功能。 它既可以作为便携式数据处理方案，也可以作为机架式数据中心解决方案轻松地部署到现场的任何地方。 ProfiShark系列是虹科的便携式和小型故障诊断仪系列的一部分，是用于网络监视，流量捕获和分析的专用网络TAP。）

在这里插入图片描述

这时由于路由器启用了NAT功能将内网的IP都隐藏为192.168.1.3，那么我们监控的流量均是来自于192.168.1.3这一地址如下图所示

在这里插入图片描述

无法分析局域网具体用户的流量情况。

NAT下网络监控解决办法：

通常情况下nat是必须的，那么我们怎样去监控本地局域网内所有用户的流量呢，这里我们需要曾加一个设备-无线AP。

无线AP（Access Point）：即无线接入点，它用于无线网络的无线交换机，也是无线网络的核心。无线AP是移动计算机用户进入有线网络的接入点，主要用于宽带家庭、大楼内部以及园区内部，可以覆盖几十米至上百米。无线AP也可以看做一个无线交换机，注意无线AP与无线路由器的区别。无线AP没有路由功能，并且只有LAN口。

通过在路由器之后增加一个无线AP，让所有的局域网用户都连接无线AP而不是直接连接无线路由器，并将流量监控捕获设备安置在路由器无无线AP之间，即可监控本地局域网内所有的用户流量。如下图所示：

在这里插入图片描述