网络地址转换

NAT概述

       网络地址转换（Network Address Translation，NAT）诞生于1994年，它的提出是在IPv4地址资源面临枯竭的背景下。NAT的设计初衷之一是为了作为IPv6全面部署之前的过渡策略（虽然现在已成为IPv6部署推进滞后的原因之一），采用NAT滞后，互联网地址就不再需要时全球唯一的，因此可以在互联网的不同部分（称为地址范围（address realm））被重复使用。允许在多个范围中的地址重复使用，大大缓解了地址耗尽的问题。此外，NAT可以与防火墙相结合形成复合设备，这种设备已成为用于连接终端用户最为常见的路由器类型。

       NAT本质上是一种允许在互联网的不同地方重复使用相同的IP地址集的机制（如上图所示）。建立NAT的主要动机是正在急剧减少的有限IP地址空间。使用NAT最常见的情况是，唯一与Internet连接的站点仅被分配了很少的几个IP地址（甚至只有一个IP地址），但是内部却有多台主机需要同时上网。当所有进出的流量均通过一个单独的NAT设备时，该设备将内部系统的地址空间和全球互联网地址空间分割开，因此所有的内部系统可以使用本地分配的私有IP地址访问互联网。

       NAT的引入用以解决两个问题：IP地址枯竭和关于路由可扩展性的担忧。NAT刚推出的时候仅作为权宜之计，知道一些具有更大地址空间的协议（IPv6）被广泛部署为止。无类别域间路由（CIDR）的发展解决了路由可扩展性的问题。NAT则减少了对具备全局路由的互联网地址的需求，同时提供了一些防火墙的功能，并且仅需要很少的配置。但具有讽刺意味的是，快速发展和广泛使用的NAT却严重影响了IPv6的推进进程（在IPv6的诸多益处中，其中一项就是不再需要NAT）。

       NAT存在几个缺点，最明显的是，需要做特殊配置才能使处于NAT内部的主机能够提供可供互联网访问的服务，因为互联网上的用户无法直接访问具备私有地址的主机。此外，为了使NAT正常工作，每一个隶属于同一个连接或关联的双向数据包都必须通过相同的NAT。这是因为NAT必须重写每个数据包的寻址信息，以便私有地址空间的系统和Internet主机之间能够正常通信。在许多方面，NAT和互联网协议的基本宗旨是背道而驰的。

       NAT的工作原理就是重写通过路由器的数据包的识别信息。这种情况常