NAT

NAT，Network Address Translation，网络地址转换，是路由器将内网地址转换为公网地址的一种技术。 

NAT可以使多台计算机共享Internet 连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就可把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内网计算机对于公共网络来说是不可见的，而内网计算机用户通常不会意识到NAT的存在。虽然内部地址可以随机挑选，但是通常使用的是下面的地址：10.0.0.0~10.255.255.255，172.16.0.0~172.16.255.255，192.168.0.0~192.168.255.255。NAT将这些无法在互联网上使用的保留IP地址翻译成可以在互联网上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻址的地址。

 

NAT的实现方式主要有三种：静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NAPT（Port-Level NAT）。

 

（1）静态转换：静态转换是一对一的转换，有多少内网地址需要转换，就需要相应的公网地址；用得很少；

 

（2）动态转换：动态转换是多对多的转换，通常需要转换的内网地址略多于相应的公网地址；将公网地址放在一个地址池里，当有内网地址需要访问外部网站时，从地址池中取出一个公网地址，用于内网地址到公网地址的转换；该方式适用于内网地址略多于给定的公网地址，如果内网地址远大于公网地址，当多台内网机器需要访问公网时，会出现地址池枯竭，无法获得对应的公网地址；

 

（3）网络地址端口转换：通常是多对一的关系，当只存在一个公网地址时，可用这种方式；通过端口号来确定内网的具体机器。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。例如内网机器192.168.1.2 需要访问外部网站www.baidu.com ;在数据包通过路由器转发时，NAT会产生一个session，保存地址对应的端口信息，再将数据包中的IP地址192.168.1.2：xx 转换为 202.11.25.56:yy --->www.baidu.com ，转发出去。其中的端口yy应该是动态生成，并记录下来。当www.baidu.com 有响应信息时，响应数据包经过路由器时，NAT查询对应端口对应的内网IP，将数据包内的地址更改回去，转发进内网，这样就实现了数据的交换。

 

NAT的优点：

 

（1）宽带共享 ：通过一个公网地址可以让许多机器连上网络；理论上所有网络端口有多少一个公网IP就能够支持多少台机器联网；解决了IP地址不够用的情况；

 

（2）安全防护：通过NAT技术转换后，实际机器隐藏自己的真实IP，仅通过端口来区别是内网中的哪个机器，保证了自身安全。

 

NAT的缺点：

 

在一个具有NAT功能的路由器下的主机并没有建立真正的端对端连接，并且不能参与一些因特网协议。一些需要初始化从外部网络建立的TCP连接，和使用无状态协议（比如UDP）的服务将被中断。除非NAT路由器作一些具体的努力，否则送来的数据包将不能到达正确的目的地址。（一些协议有时可以在应用层网关的辅助下，在参与NAT的主机之间容纳一个NAT的实例，比如FTP。）NAT也会使安全协议变的复杂。

 

NAT的局限性（copy）

　　（1）NAT违反了IP地址结构模型的设计原则。IP地址结构模型的基础是每个IP地址均标识了一个网络的连接。Internet的软件设计就是建立在这个前提之上，而NAT使得有很多主机可能在使用相同的地址，如10.0.0.1。

 

　　（2）NAT使得IP协议从面向无连接变成立面向连接。NAT必须维护专用IP地址与公用IP地址以及端口号的映射关系。在TCP/IP协议体系中，如果一个路由器出现故障，不会影响到TCP协议的执行。因为只要几秒收不到应答，发送进程就会进入超时重传处理。而当存在NAT时，最初设计的TCP/IP协议过程将发生变化，Internet可能变得非常脆弱。

 

　　（3）NAT违反了基本的网络分层结构模型的设计原则。因为在传统的网络分层结构模型中，第N层是不能修改第N+1层的报头内容的。NAT破坏了这种各层独立的原则。

 

　　（4）有些应用是将IP地址插入到正文的内容中，例如标准的FTP协议与IPPhone协议H.323。如果NAT与这一类协议一起工作，那么NAT协议一定要做适当地修正。同时，网络的传输层也可能使用TCP与UDP协议之外的其他协议，那么NAT协议必须知道并且做相应的修改。由于NAT的存在，使得P2P应用实现出现困难，因为P2P的文件共享与语音共享都是建立在IP协议的基础上的。

 

　　（5）NAT同时存在对高层协议和安全性的影响问题。RFC对NAT存在的问题进行了讨论。NAT的反对者认为这种临时性的缓解IP地址短缺的方案推迟了Ipv6迁移的进程，而并没有解决深层次的问题，他们认为是不可取的。