NAT協議詳解

NAT協議詳解

這?寫?錄標題

為什么需要NAT

IPv4地址隨著?戶的增多壓?不斷增?，但是每?個路由器的IP地址下?都有很多的私有地址，外部消息只需要找到這個路由器，這個路由

器把消息找到真正?的主機傳遞給它即可。每?個路由器都可以分配很多私有地址，并且不同路由器的私有地址可以重復，通過這種地址轉

換，能夠??增加地址的容量。

私有地址有三種：

①10.0.0.0~10.255.255.255/8

②172.16.0.0~172.31.255.255/12

③192.168.0.0~192.168.255.255/16

這些地址可以在任何組織或企業內部使?，和其他Internet地址的區別就是，僅能在內部使?，不能作為全球路由地址。

對于有Internet訪問需求?內部?使?私有地址的?絡，就要在組織的出?位置部署NAT?關，在報?離開私?進?Internet時，將源IP替

換為公?地址，通常是出?設備的接?地址。?個對外的訪問請求在到達?標以后，表現為由本組織出?設備發起，因此被請求的服務端可

將響應由Internet發回出??關。出??關再將?的地址替換為私?的源主機地址，發回內部。這樣?次由私?主機向公?服務端的請求和

響應就在通信兩端均?感知的情況下完成了。依據這種模型，數量龐?的內?主機就不再需要公有IP地址了。NAT的轉換?意圖如下所?：

NAT的特點

NAT有以下特點：

1. ?絡被分為私?和公?兩個部分，NAT?關設置在私?到公?的路由出?位置，雙向流量必須都要經過NAT?關；

2. ?絡訪問只能先由私?側發起，公??法主動訪問私?主機；

3. NAT?關在兩個訪問?向上完成兩次地址的轉換或翻譯，出?向做源信息替換，??向做?的信息替換；

4. NAT?關的存在對通信雙?是保持透明的；

5. NAT?關為了實現雙向翻譯的功能，需要維護?張關聯表，把會話的信息保存下來。

NAT的實現?式

NAT的實現?式有三種，即靜態NAT、動態NAT和NAPT。

靜態NAT

如果?個內部主機唯?占??個公?IP，這種?式被稱為?對?模型。此種?式下，轉換上層協議就是不必要的，因為?個公?IP就能唯?

對應?個內部主機。顯然，這種?式對節約公?IP沒有太?意義，主要是為了實現?些特殊的組?需求。?如?戶希望隱藏內部主機的真實

IP，或者實現兩個IP地址重疊?絡的通信。

動態NAT

它能夠將未注冊的IP地址映射到注冊IP地址池中的?個地址。不像使?靜態NAT那樣，你?需靜態地配置路由器，使其將每個內部地址映射

到?個外部地址，但必須有?夠的公有因特?IP地址，讓連接到因特?的主機都能夠同時發送和接收分組。

NAPT

通過使?NAPT，只需使??個公?ip地址，就可將數千名?戶連接到因特?。其核?之處就在于利?端?號實現公?和私?的轉換。

?對私?內部數量龐?的主機，如果NAT只進?IP地址的簡單替換，就會產??個問題：當有多個內部主機去訪問同?個服務器時，從返回

的信息不?以區分響應應該轉發到哪個內部主機。此時，需要NAT設備根據傳輸層信息或其他上層協議去區分不同的會話，并且可能要對上

層協議的標識進?轉換，?如TCP或UDP端?號。這樣NAT?關就可以將不同的內部連接訪問映射到同?公?IP的不同傳輸層端?，通過

這種?式實現公?IP的復?和解復?。這種?式也被稱為端?轉換PAT、NAPT或IP偽裝，但更多時候直接被稱為NAT，因為它是最典型的

?種應?模式。

舉個例?，客戶端172.18.250.6和百度服務器202.108.22.5通信，172.18.250.6發送數據時，先轉換為219.155.6.240:1723（任

意>1024的隨機端?），然后再利?這個?份發送數據給百度服務器，然后百度服務器回應數據并發送給219.155.6.240:1723，NAT?

關檢查??的關聯表，意識到這是??地私?中172.18.250.6的數據包，然后把這個數據發送給客戶端

也就是說，我們利?端?號的唯?性實現了公?ip轉換為私?ip的這?步。NAPT能夠使?傳輸層端?號來標識主機，因此，從理論上說，

最多可讓?約65000臺主機共??個公有IP地址。

NAT技術的優缺點

優點

1. 節省合法的公有ip地址。

2. 地址重疊時，提供解決辦法。

缺點

1. 由于內?是私有IP，所以不能直接從公?訪問內部?絡服務。

2. 有?些應?程序雖然是?A端?發送數據的，但卻要?B端?進?接收，不過NAT設備翻譯時卻不知道這?點，它仍然建??條針對A

端?的映射，結果對?響應的數據要傳給B端?時，NAT設備卻找不到相關映射條??會丟棄數據包。