NAT协议详解

NAT协议详解

这⾥写⽬录标题

为什么需要NAT

IPv4地址随着⽤户的增多压⼒不断增⼤，但是每⼀个路由器的IP地址下⾯都有很多的私有地址，外部消息只需要找到这个路由器，这个路由

器把消息找到真正⽬的主机传递给它即可。每⼀个路由器都可以分配很多私有地址，并且不同路由器的私有地址可以重复，通过这种地址转

换，能够⼤⼤增加地址的容量。

私有地址有三种：

①10.0.0.0~10.255.255.255/8

②172.16.0.0~172.31.255.255/12

③192.168.0.0~192.168.255.255/16

这些地址可以在任何组织或企业内部使⽤，和其他Internet地址的区别就是，仅能在内部使⽤，不能作为全球路由地址。

对于有Internet访问需求⽽内部⼜使⽤私有地址的⽹络，就要在组织的出⼝位置部署NAT⽹关，在报⽂离开私⽹进⼊Internet时，将源IP替

换为公⽹地址，通常是出⼝设备的接⼝地址。⼀个对外的访问请求在到达⽬标以后，表现为由本组织出⼝设备发起，因此被请求的服务端可

将响应由Internet发回出⼝⽹关。出⼝⽹关再将⽬的地址替换为私⽹的源主机地址，发回内部。这样⼀次由私⽹主机向公⽹服务端的请求和

响应就在通信两端均⽆感知的情况下完成了。依据这种模型，数量庞⼤的内⽹主机就不再需要公有IP地址了。NAT的转换⽰意图如下所⽰：

NAT的特点

NAT有以下特点：

1. ⽹络被分为私⽹和公⽹两个部分，NAT⽹关设置在私⽹到公⽹的路由出⼝位置，双向流量必须都要经过NAT⽹关；

2. ⽹络访问只能先由私⽹侧发起，公⽹⽆法主动访问私⽹主机；

3. NAT⽹关在两个访问⽅向上完成两次地址的转换或翻译，出⽅向做源信息替换，⼊⽅向做⽬的信息替换；

4. NAT⽹关的存在对通信双⽅是保持透明的；

5. NAT⽹关为了实现双向翻译的功能，需要维护⼀张关联表，把会话的信息保存下来。

NAT的实现⽅式

NAT的实现⽅式有三种，即静态NAT、动态NAT和NAPT。

静态NAT

如果⼀个内部主机唯⼀占⽤⼀个公⽹IP，这种⽅式被称为⼀对⼀模型。此种⽅式下，转换上层协议就是不必要的，因为⼀个公⽹IP就能唯⼀

对应⼀个内部主机。显然，这种⽅式对节约公⽹IP没有太⼤意义，主要是为了实现⼀些特殊的组⽹需求。⽐如⽤户希望隐藏内部主机的真实

IP，或者实现两个IP地址重叠⽹络的通信。

动态NAT

它能够将未注册的IP地址映射到注册IP地址池中的⼀个地址。不像使⽤静态NAT那样，你⽆需静态地配置路由器，使其将每个内部地址映射

到⼀个外部地址，但必须有⾜够的公有因特⽹IP地址，让连接到因特⽹的主机都能够同时发送和接收分组。

NAPT

通过使⽤NAPT，只需使⽤⼀个公⽹ip地址，就可将数千名⽤户连接到因特⽹。其核⼼之处就在于利⽤端⼝号实现公⽹和私⽹的转换。

⾯对私⽹内部数量庞⼤的主机，如果NAT只进⾏IP地址的简单替换，就会产⽣⼀个问题：当有多个内部主机去访问同⼀个服务器时，从返回

的信息不⾜以区分响应应该转发到哪个内部主机。此时，需要NAT设备根据传输层信息或其他上层协议去区分不同的会话，并且可能要对上

层协议的标识进⾏转换，⽐如TCP或UDP端⼝号。这样NAT⽹关就可以将不同的内部连接访问映射到同⼀公⽹IP的不同传输层端⼝，通过

这种⽅式实现公⽹IP的复⽤和解复⽤。这种⽅式也被称为端⼝转换PAT、NAPT或IP伪装，但更多时候直接被称为NAT，因为它是最典型的

⼀种应⽤模式。

举个例⼦，客户端172.18.250.6和百度服务器202.108.22.5通信，172.18.250.6发送数据时，先转换为219.155.6.240:1723（任

意>1024的随机端⼝），然后再利⽤这个⾝份发送数据给百度服务器，然后百度服务器回应数据并发送给219.155.6.240:1723，NAT⽹

关检查⾃⼰的关联表，意识到这是⾃⼰地私⽹中172.18.250.6的数据包，然后把这个数据发送给客户端

也就是说，我们利⽤端⼝号的唯⼀性实现了公⽹ip转换为私⽹ip的这⼀步。NAPT能够使⽤传输层端⼝号来标识主机，因此，从理论上说，

最多可让⼤约65000台主机共⽤⼀个公有IP地址。

NAT技术的优缺点

优点

1. 节省合法的公有ip地址。

2. 地址重叠时，提供解决办法。

缺点

1. 由于内⽹是私有IP，所以不能直接从公⽹访问内部⽹络服务。

2. 有⼀些应⽤程序虽然是⽤A端⼝发送数据的，但却要⽤B端⼝进⾏接收，不过NAT设备翻译时却不知道这⼀点，它仍然建⽴⼀条针对A

端⼝的映射，结果对⽅响应的数据要传给B端⼝时，NAT设备却找不到相关映射条⽬⽽会丢弃数据包。