掌握NAT基本原理和地址轉換方式

1、一一、NATIANA向超大型企業(yè)/組織分配A類網絡地址，一次一段。向中型企業(yè)或教育機構分配B類網絡地址，一次一段。這樣一種分配策略使得IP地址浪費很嚴重，很多被分配出去的地址沒有真實被利用，地址消耗很快。以至于二十世紀90年代初，網絡專家們意識到，這樣大手大腳下去，IPv4地址很快就要耗光了。于是，人們開始考慮IPv4的替代方案，同時采取一系列的措施來減緩IPv4地址的消耗。正是在這樣一個背景之下，本期的主角閃亮登場，它就是網絡地址轉換NAT。二、NAT的概念模型NAT名字很準確，網絡地址轉換，就是替換IP報文頭部的地址信息。NAT通常部署在一個組織的網絡出口位置，通過將內部網絡IP地址替換為

2、出口的IP地址提供公網可達性和上層協(xié)議的連接能力。 1）內部網絡IP地址 RFC1918規(guī)定了三個保留地址段落：10.0.0.0-10.255.255.255；172.16.0.0-172.31.255.255；192.168.0.0-192.168.255.255。這三個范圍分別處于A,B,C類的地址段，不向特定的用戶分配，被IANA作為私有地址保留。這些地址可以在任何組織或企業(yè)內部使用，和其他Internet地址的區(qū)別就是，僅能在內部使用，不能作為全球路由地址。這就是說，出了組織的管理范圍這些地址就不再有意義，無論是作為源地址，還是目的地址。對于一個封閉的組織，如果其網絡不連接到Inter

3、net，就可以使用這些地址而不用向IANA提出申請，而在內部的路由管理和報文傳遞方式與其他網絡沒有差異。對于有Internet訪問需求而內部又使用私有地址的網絡，就要在組織的出口位置部署NAT網關，在報文離開私網進入Internet時，將源IP替換為公網地址，通常是出口設備的接口地址。一個對外的訪問請求在到達目標以后，表現(xiàn)為由本組織出口設備發(fā)起，因此被請求的服務端可將響應由Internet發(fā)回出口網關。出口網關再將目的地址替換為私網的源主機地址，發(fā)回內部。這樣一次由私網主機向公網服務端的請求和響應就在通信兩端均無感知的情況下完成了。依據這種模型，數(shù)量龐大的內網主機就不再需要公有IP地址了。三、

4、NAT轉換過程示意圖四、NAT處理報文的幾個關鍵特點 1. 網絡被分為私網和公網兩個部分，NAT網關設置在私網到公網的路由出口位置，雙向流量必須都要經過NAT網關； 2. 網絡訪問只能先由私網側發(fā)起，公網無法主動訪問私網主機； 3. NAT網關在兩個訪問方向上完成兩次地址的轉換或翻譯，出方向做源信息替換，入方向做目的信息替換； 4. NAT網關的存在對通信雙方是保持透明的； 5. NAT網關為了實現(xiàn)雙向翻譯的功能，需要維護一張關聯(lián)表，把會話的信息保存下來。五、一對一的NAT如果一個內部主機唯一占用一個公網IP，這種方式被稱為一對一模型。此種方式下，轉換上層協(xié)議就是不必要的，因為一個公網IP就能

5、唯一對應一個內部主機。顯然，這種方式對節(jié)約公網IP沒有太大意義，主要是為了實現(xiàn)一些特殊的組網需求。比如用戶希望隱藏內部主機的真實IP，或者實現(xiàn)兩個IP地址重疊網絡的通信。六、一對多的NAT一個組織網絡，在出口位置部署NAT網關，所有對公網的訪問表現(xiàn)為一臺主機。這就是所謂的一對多模型。這種方式下，出口設備只占用一個由Internet服務提供商分配的公網IP地址。面對私網內部數(shù)量龐大的主機，如果NAT只進行IP地址的簡單替換，就會產生一個問題：當有多個內部主機去訪問同一個服務器時，從返回的信息不足以區(qū)分響應應該轉發(fā)到哪個內部主機。此時，需要NAT設備根據傳輸層信息或其他上層協(xié)議去區(qū)分不同的會話，并且可能要對上層協(xié)議的標識進行轉換，比如TCP或UDP端口號。這樣NAT網關就可以將不同的內部連接訪問映射到同一公網IP的不同傳