32.1NAT協(xié)議32.2私有地址32.3NAT的工作原理32.4NAT的工作方式小結(jié)第32章NAT技術(shù)實(shí)現(xiàn)私網(wǎng)與外網(wǎng)的通信

主要內(nèi)容：

NAT的概念和特點(diǎn)

NAT的工作原理

NAT的工作方式及應(yīng)用

32.1.1NAT簡(jiǎn)介

NAT的全稱是NetworkAddressTranslation(網(wǎng)絡(luò)地址轉(zhuǎn)換)，它是在IP地址日益短缺的情況下提出的。

NAT可以有效地節(jié)約Internet公網(wǎng)地址，使得所有的內(nèi)部主機(jī)使用有限的合法地址都可以連接到Internet網(wǎng)絡(luò)。

地址轉(zhuǎn)換技術(shù)還可以有效地隱藏內(nèi)部局域網(wǎng)中的主機(jī)，因此地址轉(zhuǎn)換同時(shí)也是一種有效的網(wǎng)絡(luò)安全保護(hù)技術(shù)。

地址轉(zhuǎn)換還可以按照用戶的需要，在內(nèi)部局域網(wǎng)內(nèi)部提供給外部FTP、WWW、Telnet服務(wù)。32.1NAT協(xié)議32.1.2NAT的優(yōu)缺點(diǎn)

1.?NAT的優(yōu)點(diǎn)

最大的優(yōu)點(diǎn)是可以顯著地節(jié)省公網(wǎng)IP地址，緩解IP地址資源匱乏的問題；減少和消除地址沖突發(fā)生的可能性；小型網(wǎng)絡(luò)可以通過NAT的方式，使得私有網(wǎng)絡(luò)靈活地接入Internet；對(duì)外界隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，維持局域網(wǎng)的私密性。

2.?NAT的缺點(diǎn)

使用NAT必然要引入額外的延遲；喪失端到端的IP跟蹤能力；一些特定應(yīng)用可能無法正常工作，如地址轉(zhuǎn)換對(duì)于報(bào)文內(nèi)容中含有有用的地址信息的情況很難處理。地址轉(zhuǎn)換由于隱藏了內(nèi)部主機(jī)地址，有時(shí)會(huì)使網(wǎng)絡(luò)調(diào)試變得復(fù)雜。

A、B、C三類地址中大部分為可以在Internet上分配給主機(jī)使用的合法IP地址，其中以下這幾部分為私有地址空間：

，…，55

，…，55

，…，5532.2私有地址私有地址可不經(jīng)申請(qǐng)直接在內(nèi)部網(wǎng)絡(luò)中分配使用，不同的私有網(wǎng)絡(luò)可以有相同的私有網(wǎng)段。但私有地址不能直接出現(xiàn)在公網(wǎng)上，當(dāng)私有網(wǎng)絡(luò)內(nèi)的主機(jī)要與位于公網(wǎng)上的主機(jī)進(jìn)行通信時(shí)，必須經(jīng)過地址轉(zhuǎn)換，將其私有地址轉(zhuǎn)換為合法公網(wǎng)地址后才能對(duì)外訪問。

NAT的工作原理如下：

在連接內(nèi)部網(wǎng)絡(luò)與外部公網(wǎng)的路由器上，NAT將內(nèi)部網(wǎng)絡(luò)中主機(jī)的內(nèi)部局部地址轉(zhuǎn)換為合法的可以出現(xiàn)在外部公網(wǎng)上的內(nèi)部全局地址來響應(yīng)外部世界尋址。其中，

(1)內(nèi)部或外部：它反映了報(bào)文的來源。內(nèi)部局部地址和內(nèi)部全局地址表明報(bào)文是來自于內(nèi)部網(wǎng)絡(luò)。32.3NAT的工作原理

(2)局部或全局：它表明地址的可見范圍。局部地址是在內(nèi)部網(wǎng)絡(luò)中可見，全局地址則在外部網(wǎng)絡(luò)上可見。因此，一個(gè)內(nèi)部局部地址來自內(nèi)部網(wǎng)絡(luò)，且只在內(nèi)部網(wǎng)絡(luò)中可見，不需經(jīng)過NAT進(jìn)行轉(zhuǎn)換；內(nèi)部全局地址來自內(nèi)部網(wǎng)絡(luò)，但卻在外部網(wǎng)絡(luò)可見，需要經(jīng)過NAT轉(zhuǎn)換。

如圖32-1所示，這臺(tái)主機(jī)想要訪問公網(wǎng)上的一臺(tái)主機(jī)。在主機(jī)發(fā)送數(shù)據(jù)時(shí)，源IP地址是，在通過路由器時(shí)，將源地址由內(nèi)部局部地址

圖32-1NAT工作原理轉(zhuǎn)換成內(nèi)部全局地址發(fā)送出去。

從主機(jī)B上回發(fā)的數(shù)據(jù)包，目的地址是主機(jī)的內(nèi)部全局地址，在通過路由器向內(nèi)部網(wǎng)絡(luò)發(fā)送時(shí)，將目的地址改成內(nèi)部局部地址。

NAT工作方式主要包括：一對(duì)一轉(zhuǎn)換內(nèi)部局部地址、一對(duì)多超載(Overloading)內(nèi)部全局地址。

32.4NAT的工作方式

1.一對(duì)一轉(zhuǎn)換

一對(duì)一轉(zhuǎn)換是對(duì)于一個(gè)內(nèi)部地址主機(jī)對(duì)外訪問時(shí)與一個(gè)外部合法的IP地址對(duì)應(yīng)，保持一對(duì)一的關(guān)系。如果內(nèi)部主機(jī)數(shù)量多于合法外部IP地址數(shù)量，當(dāng)所有的外部合法地址被占用后，其它內(nèi)部主機(jī)將無法對(duì)外訪問。

如圖32-2所示，內(nèi)部局部地址和內(nèi)部全局地址是一一對(duì)應(yīng)的。

圖32-2一對(duì)一轉(zhuǎn)換

2.一對(duì)多超載

一對(duì)多轉(zhuǎn)換是對(duì)于一個(gè)內(nèi)部地址主機(jī)對(duì)外訪問時(shí)與一個(gè)外部合法的IP地址及某個(gè)傳輸層的端口號(hào)相對(duì)應(yīng)。這樣，多臺(tái)內(nèi)部主機(jī)可以使用一個(gè)外部合法地址對(duì)外訪問。一對(duì)多轉(zhuǎn)換使沒有分配合法外部地址的網(wǎng)絡(luò)中的內(nèi)部主機(jī)可以利用一個(gè)路由器外連接口上的合法外部IP地址進(jìn)行地址轉(zhuǎn)換，提供內(nèi)部主機(jī)對(duì)Internet的訪問能力，最大限度節(jié)省IP地址資源。如圖32-3所示，內(nèi)部的私有地址結(jié)合不同的端口號(hào)來映射到外部地址和某一個(gè)端口號(hào)上去。比如，對(duì)于這個(gè)外部合法地址，它的端口號(hào)5492就表示內(nèi)部地址，它的端口號(hào)是1723。

圖32-3一對(duì)多轉(zhuǎn)換

本章介紹了網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的作用(優(yōu)點(diǎn))、工作原理、工作方式：

(1)

NAT的全稱是NetworkAddressTranslation(網(wǎng)絡(luò)地址轉(zhuǎn)換)，它是在IP地址日益短缺的情況下提出的。最大的優(yōu)點(diǎn)是可以顯著地節(jié)省公網(wǎng)IP地址，緩解IP地址資源匱乏的問題。小結(jié)

(2)

NAT工作原理是在連接內(nèi)部網(wǎng)絡(luò)與外部公網(wǎng)的路由器上，