NAT基本原理

jinghua625

一、NAT的由来

NAT即网络地址转换。NAT通常部署在一个组织的网络出口位置，通过将内部网络IP地址替换为出口的IP地址提供公网可达性和上层协议的连接能力。

内部网络使用的IP地址大部分均为私有地址，A类私有地址为：10.0.0.0-10.255.255.255；B类私有地址为：172.16.0.0-172.31.255.255；C类私有地址为：192.168.0.0-192.168.255.255。这些地址可以在任何组织或企业内部使用，不能作为全球路由地址。

而对于有Internet访问需求而内部又使用私有地址的网络，就要在组织的出口位置部署NAT网关，在报文离开私网进入Internet时，将源IP替换为公网地址，通常是出口设备的接口地址。

二、NAT的工作原理

                               
登录/注册后可看大图

在实际应用中，NAT主要用于实现私有网络访问外部网络的功能。这种通过允许使用少量的公有IP地址代表多数私有IP地址的方式将有助于减缓可用IP地址空间站枯竭的速度。

NAT服务器处于私有网络和公有网络的连接处。当内部PC（192.168.1.3）向外部服务器（202.120.10.2）发送一个数据报1时，数据报将通过NAT服务器。NAT进程查看报头内容，发现该数据报是发往外部网络的，那么它将数据报1源地址字段的私有地址192.168.1.3换成一个可在互联网上选路的公有地址201.169.10.1，并将该数据报发送到外部服务器，同时在网络地址转换表中记录这一映射；外部服务器给内部PC发送应答报文2（其初始目的地址为202.169.10.1），到达NAT服务器后，NAT进程再次查看报头内容，然后查找当前网络地址转换表的记录，用原来的内部PC私有地址192.168.1.3替换目的地址。

三、地址转换协议NAT的优缺点

1.NAT技术的优点

（1）NAT技术极大的节省了合法的IP地址。

（2）NAT技术能够处理地址重复情况，避免了地址的重新编号，增加了编址的灵活性。

（3）NAT技术隐藏了内部网络地址，增强了安全性。

（4）NATJIS可以使多个使用TCP负载特性的服务器之间实现基本的数据包负载均衡。

2.NAT技术的缺点：

（1）由于NAT要在边界路由器上进行地址的转换，增大了传输的延迟。

（2）由于NAT改动了IP地址，失去了跟踪端到端IP流量的能力。当出现恶意流量时，会使故障排除和流量跟踪变的更加棘手。

（3）不支持一些特定的应用程序。如早期版本的MSN。

（4）增大了资源开销。处理NAT进程增加了CPU的负荷，并需要更多内存来存储NAT表项。

四、NAT的工作流程

在整个NAT的转换中，最关键的流程有以下几点

1.网络被分为私网和公网两个部分，NAT网关设置在私网到公网的路由出口位置，双向流量必须都要经过NAT网关

2.网络访问只能先由私网侧发起，公网无法主动访问私网主机；

3.NAT网关在两个访问方向上完成两次地址的转换或翻译，出方向做源信息替换，入方向做目的信息替换；

4.NAT网关的存在对通信双方是保持透明的；

5.NAT网关为了实现双向翻译的功能，需要维护一张关联表，把会话的信息保存下来。