地址映射

IP映射原理

对⽹络知识太缺乏了，防⽌链接丢失，先转过来马住。

IP映射原理

由于公⽹IP地址有限，不少ISP都采⽤多个内⽹⽤户通过代理和⽹关路由共⽤⼀个公⽹IP上INTERNET的⽅法，这样就限制了这些⽤户在⾃

⼰计算机上架设个⼈⽹站，要实现在这些⽤户端架设⽹站，最关键的⼀点是，怎样把多⽤户的内⽹IP和⼀个他们唯⼀共享上⽹的IP进⾏映

射！

先来介绍⼀下NAT，NAT（⽹络地址转换）是⼀种将⼀个IP地址域映射到另⼀个IP地址域技术，从⽽为终端主机提供透明路由。NAT包括静

态⽹络地址转换、动态⽹络地址转换、⽹络地址及端⼝转换、动态⽹络地址及端⼝转换、端⼝映射等。NAT常⽤于私有地址域与公⽤地址域

的转换以解决IP地址匮乏问题。

在防⽕墙上实现NAT后，可以隐藏受保护⽹络的内部拓扑结构，在⼀定程度上提⾼⽹络的安全性。如果反向NAT提供动态⽹络地址及端⼝转

换功能，还可以实现负载均衡等功能。

在TCP/IP协议中，我们需要了解两种IP地址，⼀个是可以直接访问Internet的公⽹IP地址，另⼀种是我们组建局域⽹时最常⽤到的私有IP地

址。如192.168.1.2的IP地址，这个地址就是⼀个私有地址，它在全球⽹络中不具唯⼀性，可以在全球任何⼀个地⽅的⽹络中使⽤，⽽公⽹

IP地址在全球⽹络中是唯⼀的，主要是起标识不同⽹络的作⽤。在互联⽹中，正是因为有这样的公⽹IP地址，我们的通信才可以得以实现。

但是由于⽬前公⽹主要采⽤的是IPv4，IP地址资源⽇益耗尽，我们不可能在⼀个⽹络中申请到很多个可以在互联⽹上直接通信的公有IP

地址。这时，我们就会使⽤到NAT技术，它可以将局域⽹中的如192.168.1.2的私有地址转换为可以在Internet使⽤的IP地址。从⽽达到访

问Internet的⽬的。⽬前ADSL普遍采⽤的是NAT技术中的PAT(PortAddressTranslation)技术，它将内部地址映射到路由器WAN端⼝

上的的⼀个全球唯⼀的公⽹IP地址上，同时在该地址上加上⼀个由路由器选定的TCP或UDP端⼝号。

我的电脑的IP地址为192.168.1.88，路由器的WAN（⼴域⽹）端⼝⾃动探测到⼴州电信分配给它的⼀个公⽹IP地址，如

121.33.117.131。当我的电脑开机后，与路由器连接上，路由器会分配⼀个端⼝号给我这条连接，如分配给我的是1444。当我要打开⽹

页时，我的电脑发送⼀个数据包到路由器默认⽹关192.168.1.1，当这个数据包到达路由器的时候，路由器会进⾏折解数据包的过程，提取

出这个数据包的头部源IP地址192.168.1.88:1444，路由器通过查看NAT表，将数据包的头部源IP地址改为121.33.117.131:1444,并

以56.23.5.2:80(www访问的端⼝号为80)为⽬的地址将数据包发送到⽬的⽹络的服务器上，服务器做出回应时，以56.23.5.2:80为源IP

地址，121.33.117.131:1444为⽬的地址将数据包发送到路由器上，路由器再查NAT表，找到121.33.117.131:1444对应的内部地址

192.168.1.88:1444，于是服务器发回的数据包就发送到了我的电脑上，⽽不是局域⽹（LAN）内其他主机上。公⽹上的服务器只知道IP

地址为121.33.117.131的路由器在与它通信，并不知道是我的电脑在与它通信，这对于保护局域⽹内的主机是有好处的。

⼀个请求和应答的具体过程：

经以上可以看到，整个Router通过DHCP分配IP给LAN上的主机（或⼿动设置），然⽽，这些IP是内⽹IP，⽆法直接访问外⽹的。在WAN

设置中，使⽤PPPoE进⾏拨号后，ISP返回⼀个动态IP地址给Router，⽽LAN的主机，就是通过这个IP与外界通信的。

这⾥实现了NAT（⽹络地址转换），正是NAT，才能使我们能够共享ADSL上⽹。

具体实现过程：

NATBox的位置和操作过程

当⼀个Packet离开CompanyRouter，通过NATBox，NATBox会将该Packet的IP源地址转换为真实的IP地址：198.60.42.12；通常

NATBox都会被集成到Router上。

当应答分组被送回（如⼀个HTTP请求Web服务器回来的应答），它的⽬标地址是198.60.42.12,那么NATBox怎样知道该⽤那⼀条地

址，即将它转发到那⼀台主机上呢？

NAT的实际实现⽅法：现今⼤多数IP分组携带的要么是TCP净荷，要么就是UDP净荷，两者的Header都包含了⼀个16位的源端⼝和⽬标端

⼝。现以TCP为例，这16位的端⼝指⽰了TCP连接从哪⾥开始，到哪⾥结束。

当⼀个进程想与另⼀远程进程进⾏TCP连接时，它将绑定到本地机器尚未使⽤的TCP端⼝上，即源端⼝，告诉TCP代码，凡是属于此TCP连

接的进来的分组都应发送到该进程。同时，发起进程提供⼀个⽬标端⼝，指明分组被送到远程机器的那个进程。0～1023都是保留端⼝，

⽤于⼀些知名的服务，我们熟悉的80端⼝（Web），21端⼝（FTP）。

这样，每个向外发送的TCP消息都包含了⼀个源端⼝和⽬标端⼝。NAT利⽤源端⼝解决主机映射问题。

发送分组：任何时候当⼀个向外发送的分组进⼊NATBox时，源地址被真实IP地址取代，⽽TCP的源端⼝被索引值取代，该索引值指向

NATBox的地址转换表中的65536表项之⼀。然后NATBox计算更新分组的IP头和TCP头的校验和。

接收分组：当⼀分组从ISP到达NAT盒时，NAT合从TCP头中提取成⽬标端⼝（即发送分组的源端⼝），⽤它作索引值从NATBox映射表中

找出对应的表项，取出表项的内部IP地址和原来的TCP端⼝，并将它们插⼊到分组中，然后重新计算更新分组中的IP头和TCP头的校验和，

并将该分组转发到内⽹上，然后就可以使⽤内⽹IP地址进⾏正常路由了。

总结：这类Router的功能简单，内置包含了DHCP服务器和NAT转换功能，但不具备路由配置功能。

虽然内部地址可以随机挑选，但是通常使⽤的是下⾯的地址：

10.0.0.010.255.255.255，172.16.0.0172.16.255.255，192.168.0.0~192.168.255.255。NAT将这些

⽆法在互联⽹上使⽤的保留IP地址翻译成可以在互联⽹上使⽤的合法IP地址。⽽全局地址，

是指合法的IP地址，它是由NIC（⽹络信息中⼼）或者ISP(⽹络服务提供商)分配的地址，对外

代表⼀个或多个内部局部地址，是全球统⼀的可寻址的地址。