《网络实用技术基础》第三章 3.4 NAT技术

3.4 NAT技术

一、NAT的概念

网络地址转换（NAT，Network Address Translation）技术作为有效解决地址紧缺问题的方案之一，通过将私有IP地址转换为公有IP地址，实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址，代表较多的私有IP 地址的方式，将有助于减缓可用的IP地址空间枯竭的问题。

NAT技术具有以下特点：

1.NAT允许对内部网络实行私有编址，从而维护合法注册的公有全局编址方案，并节省IP地址。

2.NAT增强了公有网络连接的灵活性。

3.NAT为内部网络编址方案提供了一致性。

4.私有网络在实施NAT时，不会通告其地址或内部拓扑，有效地保证了内部网络的安全性。

NAT功能既可以部署在路由器、防火墙和核心三层交换机等网络硬件设备上，还可以部署在各种软件代理服务器上，如Proxy等。相对而言，NAT部署在网络硬件设备上时，具有处理速度快、安全性高等特点，适用于大中型企业；而部署在软件代理服务器上时，成本较低、转换速度较慢，适用于小型企业。

二、NAT分类及工作原理

NAT有[静态NAT]、[动态NAT]和[端口地址转换NPAT]三种类型：

1．静态NAT

静态NAT的转换工作过程如图3-26所示，局域网中PC1和PC2的IP地址分别为10.1.59.11和10.1.59.12，均属于私有地址。互联网服务器的IP地址为64.5.8.1，属于公网地址。为了能够使局域网中的计算机访问互联网，需要在局域网的出口路由器上部署NAT，NAT将私有地址10.1.59.11和10.1.59.12分别与公有地址124.65.130.2和124.65.130.3进行映射并记录在NAT转换表中。当PC1访问服务器时，IP数据报在内网中的源地址为PC1地址10.1.59.11，目的地址为服务器地址64.5.8.1，当数据报通过出口路由器进入公网时，执行NAT对IP首部进行重新封装，源地址转化为NAT指定公网地址124.65.130.2，目的地址不变。

图3-26   静态NAT转换工作过程

当服务器向PC1返回数据时，IP数据报在公网的源地址为服务器地址64.5.8.1，目的地址为NAT指定的PC1映射公网地址124.65.130.2。当数据报通过出口路由进入内网时，查看NAT地址转换表，执行NAT对IP首部进行重新分装，源地址不变，目的地址转化为NAT指定的PC1映射的私有地址10.1.59.11。

2．动态NAT

动态NAT技术在网络设备中维护一个地址池，可以存放多个公网IP地址，如图3-27所示。地址池存放的网络地址范围为124.65.130.2~124.65.130.15，若内网中的PC1访问公网服务器，则PC1向服务器发送两个数据报，当第一个数据报通过出口路由器时，NAT从地址池中选择一个公网地址124.65.130.2与PC1的源地址10.1.59.11进行映射，并将映射关系记录到NAT地址转换表中；同理，当第二个数据报通过出口路由器时，NAT从地址池中随机选择一个公网地址124.65.130.3与PC1的源地址10.1.59.11进行映射。

图3-27   动态NAT转换工作过程

3．端口地址转换NPAT

端口地址转换NPAT依据不同的应用程序协议可映射为不同端口号，可将多个内部地址映射为一个公网地址，即“内部地址：内部端口”与“外部地址：外部端口”之间的映射。如图3-28所示，若局域网中的两台主机PC1和PC2的IP地址分别为10.1.59.11和10.1.59.12，服务器位于公网中，IP地址为64.5.8.1，则出口路由器接口地址124.65.130.10作为唯一一个可以进行NAT转换的地址，可将内网的所有私有地址映射到同一个地址。

当PC1需要访问服务器的Web服务时，PC1随机选择一个端口号1024和自己的源地址10.1.59.11组成一个套接字，来标识数据报，目的地址为服务器地址64.5.8.1，目的端口号为Web公认的熟知端口号80。当数据报到达出口路由器时，进行NPAT转换，源和目的端口号不变，只将出口路由器接口地址124.65.130.10替换源地址。当PC2需要访问服务器的FTP服务时，PC2随机选择一个端口号1120与自己的源地址组成一个套接字，目的地址为服务器地址64.5.8.1，端口号为FTP公认的熟知端口号21。从图3-32中可以看出，PC1和PC2都映射到同一个公网地址124.65.130.10，但是它们采用不同的端口号进行了区分。

图3-28  端口地址NPAT转换工作过程