今天我想和大家分享一下NAT，首先，你知道我們是怎么上網(wǎng)的嗎？

在大多數(shù)網(wǎng)絡(luò)環(huán)境中，我們都需要通過 NAT 來訪問 Internet。

NAT 是網(wǎng)絡(luò)地址轉(zhuǎn)換，這是一種協(xié)議，它為公共網(wǎng)絡(luò)上的多臺計算機(jī)提供了一種共享單個 Internet 連接的方法。

在詳細(xì)了解 NAT 之前，讓我們先談?wù)勈裁词?strong style="color: rgb(255, 20, 147);">公共地址和私有地址。

公共 IP 地址和私有 IP 地址

公網(wǎng)是指Internet，公網(wǎng)IP地址是指Internet上全局規(guī)劃的IP地址，網(wǎng)段不能重疊，互聯(lián)網(wǎng)上的路由器可以轉(zhuǎn)發(fā)目的地址為公網(wǎng)地址的報文。

在IP地址空間中，A類、B類、C類的一些IP地址被保留為私有IP地址，私網(wǎng)IP地址不能在公網(wǎng)上使用，只能在內(nèi)網(wǎng)使用，Internet 上的路由器沒有到私有地址的路由。

保留A類、B類、C類私有地址的范圍如下：

• A類IP地址：10.0.0.0 - 10.255.255.255。
• B類IP地址：172.16.0.0  -  172.31.255.255。
• C類IP地址：192.168.0.0 -  192.168.255.255。

NAT類型

靜態(tài) NAT、動態(tài) NAT、NAPT和Easy IP使用戶可以從私網(wǎng)訪問公網(wǎng)。

NAT服務(wù)器實(shí)現(xiàn)從公網(wǎng)到私網(wǎng)的訪問。

靜態(tài) NAT

在連接私網(wǎng)和公網(wǎng)的路由器上配置靜態(tài) NAT，每個私網(wǎng)地址都有一個固定的公網(wǎng)地址，即私網(wǎng)地址和公網(wǎng)地址是一一對應(yīng)的，這種NAT不保存公網(wǎng)IP地址。

靜態(tài) NAT 支持雙向通信：

如上圖所示，ISP為企業(yè)分配了三個公網(wǎng)地址12.xx1、12.xx2、12.xx3。

可以在企業(yè)的邊界路由器上配置靜態(tài)NAT，將PC1的私網(wǎng)地址192.168.1.2映射到公網(wǎng)地址12.xx2。將PC2的私網(wǎng)地址192.168.1.3映射到公網(wǎng)地址12.xx3，然后在路由器上生成靜態(tài)地址映射表。

PC1 和 PC2 訪問 Internet 上的 Web 服務(wù)器，當(dāng)數(shù)據(jù)包經(jīng)過路由器時，PC1和PC2的私網(wǎng)IP地址被對應(yīng)的公網(wǎng)IP地址替換。當(dāng)從Web Server返回數(shù)據(jù)包時，數(shù)據(jù)包也是同樣的，數(shù)據(jù)先發(fā)給路由器，然后路由器查找靜態(tài)地址映射表，將公有地址轉(zhuǎn)換為私有地址，最后發(fā)送將數(shù)據(jù)發(fā)送到與私有地址對應(yīng)的終端設(shè)備。

PC3 無法訪問 Internet，因?yàn)?PC3 上沒有配置靜態(tài) NAT。

請注意，靜態(tài) NAT 以一對一的方式將私有地址映射到公共地址，因此，即使內(nèi)網(wǎng)主機(jī)長時間離線或不發(fā)送數(shù)據(jù)，對應(yīng)的公網(wǎng)地址仍然在使用。因此，靜態(tài) NAT 不保存 IP 地址。

動態(tài) NAT

為避免地址浪費(fèi)，動態(tài) NAT 提出了地址池，地址池中所有可用的公共地址。

配置動態(tài)NAT后，企業(yè)的邊緣路由器根據(jù)可用的公網(wǎng)IP地址生成一個公網(wǎng)IP地址池。企業(yè)PC上網(wǎng)時，數(shù)據(jù)包經(jīng)過路由器。路由器將PC的私網(wǎng)IP地址替換為空閑的公網(wǎng)IP地址，然后訪問Internet。

但是PC1、PC2、PC3上網(wǎng)后，公司的公網(wǎng)IP地址池沒有空閑的公網(wǎng)IP地址。在這種情況下，PC4 無法訪問 Internet。

使用動態(tài)NAT后，公網(wǎng)地址和私網(wǎng)地址仍然是一一對應(yīng)的，無法提高公網(wǎng)地址的利用率。

請注意，公共地址和私有地址之間的一對一映射是臨時建立的。PC通過路由器翻譯出來的公網(wǎng)IP地址是公網(wǎng)地址池中一個暫時空閑的公網(wǎng)IP地址。因此，動態(tài)NAT只支持單向訪問，只能從內(nèi)網(wǎng)訪問公網(wǎng)。

NAPT

從地址池中選擇地址時，網(wǎng)絡(luò)地址和端口轉(zhuǎn)換 (NAPT) 不僅會轉(zhuǎn)換 IP 地址，還會轉(zhuǎn)換端口號。這樣就實(shí)現(xiàn)了公有地址和私有地址的一對多映射，有效地提高了公有地址的利用率。

如上圖所示，開啟NAPT后，路由器會生成動態(tài)地址和端口映射表。邊緣路由器的公網(wǎng)IP地址池只有兩個公網(wǎng)IP地址。PC1訪問Internet上的Web服務(wù)器時，數(shù)據(jù)包攜帶源端口、目的端口、源地址和目的地址參數(shù)到路由器。然后，路由器進(jìn)行公共地址轉(zhuǎn)換和源端口轉(zhuǎn)換。另外，轉(zhuǎn)換后的端口號和公網(wǎng)IP地址都記錄在動態(tài)地址和端口映射表中。最后，PC1 訪問 Internet。

當(dāng)WEB Server返回數(shù)據(jù)時，數(shù)據(jù)包也攜帶這些參數(shù)到路由器。然后，路由器查詢動態(tài)地址和端口映射表，將數(shù)據(jù)包發(fā)送給PC1。

NAPT翻譯傳輸層端口號，區(qū)分內(nèi)網(wǎng)終端，使多個私網(wǎng)IP地址共享一個公網(wǎng)IP地址，從而節(jié)省IP地址。

Easy IP

Easy IP的實(shí)現(xiàn)原理與NAPT相同，它同時轉(zhuǎn)換 IP 地址和傳輸層端口。不同的是Easy IP沒有地址池的概念，而是將接口地址作為公網(wǎng)IP地址進(jìn)行NAT。

Easy IP適用于沒有固定公網(wǎng)IP地址的場景，例如通過DHCP或PPPoE撥號獲取IP地址的網(wǎng)絡(luò)出口，獲取的動態(tài)IP地址可直接用于轉(zhuǎn)換。

NAT服務(wù)器

NAT 服務(wù)器是指端口映射。

當(dāng)私網(wǎng)服務(wù)器需要為公網(wǎng)提供服務(wù)時，需要在路由器上配置NAT服務(wù)器，并指定【公網(wǎng)IP地址：端口】與【私網(wǎng)IP地址：端口】一一對應(yīng)] 將內(nèi)網(wǎng)服務(wù)器映射到公網(wǎng)。公網(wǎng)主機(jī)通過【公網(wǎng)IP地址：端口】訪問內(nèi)網(wǎng)服務(wù)器。

如上圖所示，企業(yè)內(nèi)網(wǎng)的Web Server需要被Internet上的計算機(jī)訪問。為此，您需要在企業(yè)的邊緣路由器上配置 NAT 服務(wù)器。

1. 將 Web 服務(wù)器的 IP 地址和服務(wù)端口號 ( 192.168.0.2:80 ) 映射到邊緣路由器的公共 IP 地址和端口號 ( 12.xx8:43333 )。

2. 當(dāng) Internet 上的計算機(jī)訪問內(nèi)網(wǎng)的 Web 服務(wù)時，數(shù)據(jù)包的目的 IP 地址和端口號就是映射到 NAT 服務(wù)器上的 IP 地址和端口號（ 12.xx8:43333 ）。

3. 企業(yè)邊緣路由器收到報文后，查找NAT映射表，將目的IP地址和端口號翻譯成Web Server的IP地址和端口號（192.168.0.2:80）。

4. 這樣就可以通過公網(wǎng)訪問私有網(wǎng)絡(luò)上的服務(wù)。

NAT的優(yōu)缺點(diǎn)

NAT優(yōu)勢

1、企業(yè)內(nèi)網(wǎng)使用私網(wǎng)IP地址，減少了公網(wǎng)IP地址的占用。NAT 一般應(yīng)用于邊界路由器，例如連接到 Internet 的路由器。

通過NAPT技術(shù)，企業(yè)可以使用公網(wǎng)IP地址從私網(wǎng)訪問Internet，節(jié)省公網(wǎng)IP地址。

如果不同的企業(yè)或?qū)W校不需要相互通信，它們的私有地址可以重疊。

如果不同學(xué)校或企業(yè)的內(nèi)網(wǎng)通過VPN或?qū)＞€相互通信，不同學(xué)校或企業(yè)使用的私網(wǎng)地址不能重疊。

2、更換ISP后，內(nèi)網(wǎng)地址無需更改，增強(qiáng)了上網(wǎng)的靈活性。

3、私網(wǎng)不能直接在Internet上訪問，增強(qiáng)了內(nèi)網(wǎng)的安全性。

NAT 缺點(diǎn)

1、在路由器上進(jìn)行NAT或NAPT時，需要修改數(shù)據(jù)包的網(wǎng)絡(luò)層和傳輸層，需要保留端口和地址轉(zhuǎn)換的映射關(guān)系并記錄在路由器中。路由數(shù)據(jù)包會造成較大的交換延遲，消耗路由器上的大量資源。

2、使用私有IP地址訪問Internet。源 IP 地址被替換為公共 IP 地址。如果某學(xué)校的學(xué)生在論壇上發(fā)帖，論壇只能記錄發(fā)布者的公網(wǎng)IP地址，無法追蹤到內(nèi)網(wǎng)IP地址。即無法進(jìn)行端到端的IP追蹤。IP追蹤。

3、公網(wǎng)不能訪問私網(wǎng)，要訪問私有網(wǎng)絡(luò)，您需要執(zhí)行端口映射。

4、某些應(yīng)用程序無法在 NAT 網(wǎng)絡(luò)上運(yùn)行。例如，IPSec 不允許修改中間數(shù)據(jù)包。