基本簡介
這種技術被普遍使用在有多台主機但隻通過一個公有IP地址訪問因特網的私有網絡中。根據規範,路由器是不能這樣工作的,但它的确是一個方便并得到了廣泛應用的技術。當然,NAT也讓主機之間的通信變得複雜,導緻通信效率的降低。
NAT概述
RéseauavecNAT開始,NAT是作為一種解決IPv4地址短缺以避免保留IP地址困難的方案而流行起來的。網絡地址轉換的在很多國家都有很廣泛的使用,除了美國,因為曆史的原因美國每個人幾乎都得到了地址。所以NAT就成了家庭和小型辦公室網絡連接上的路由器的一個标準特征,因為對他們來說,申請多餘的IP地址的代價要高于所帶來的效益。
在一個典型的配置中,一個本地網絡使用一個專有網絡的指定子網(比如192.168.x.x或10.x.x.x)和連在這個網絡上的一個路由器。這個路由器占有這個網絡地址空間的一個專有地址(比如192.168.0.1),同時它還通過一個或多個因特網服務提供商提供的公有的IP地址(叫做“過載”NAT)連接到因特網上。
當信息由本地網絡向因特網傳遞時,源地址被立即從專有地址轉換為公用地址。由路由器跟蹤每個連接上的基本數據,主要是目的地址和端口。當有回複返回路由器時,它通過輸出階段記錄的連接跟蹤數據來決定該轉發給内部網的哪個主機;如果有多個公用地址可用,當數據包返回時,TCP或UDP客戶機的端口号可以用來分解數據包。對于因特網上的一個系統,路由器本身充當通信的源和目的地址。
有人一直認為,IPv6的廣泛采用将使得NAT不再需要,因為NAT隻是一個處理IPv4的地址空間不足的方法。
NAT缺點
NAT簡介 NAT(網絡地址轉換)是将專用網絡地址(如企業内部網intranet)轉換為公用地址(如互聯網Internet)的一種技術,它對外界隐藏了内部網絡的IP地址。
在一個具有NAT功能的路由器下的主機并沒有建立真正的端對端連接,并且不能參與一些因特網協議。一些需要初始化從外部網絡建立的TCP連接和使用無狀态協議,比如UDP的服務将被中斷。除非NAT路由器作一些具體的努力,否則送來的數據包将不能到達正确的目的地址。一些協議有時可以在應用層網關(見下)的輔助下,在參與NAT的主機之間容納一個NAT的實例,比如FTP。NAT也會使安全協議變的複雜,比如IPsec。
端對端連接是被IAB委員會(InternetArchitectureBoard)支持的核心因特網協議之一,因此有些人據此認為NAT是對公用因特網的一個破壞。一些因特網服務提供商隻向他們的客戶提供本地IP地址,所以他們必須通過NAT來訪問ISP網絡以外的服務,并且這些公司能不能算的上真正的提供了因特網服務的話題也被談起。
NAT好處
NAT除了帶來方便和代價之外,對全雙工連接支持的缺少在一些情況下可以看作是一個有好處的特征而不是一個限制。在一定程度上,NAT依賴于本地網絡上的一台機器來初始化和路由器另一邊的主機的任何連接,它可以阻止外部網絡上的主機的惡意活動。這樣就可以阻止網絡蠕蟲病毒來提高本地系統的可靠性,阻擋惡意浏覽來提高本地系統的私密性。很多具有NAT功能的防火牆都是使用這種功能來提供核心保護的。另外,它也為UDP的跨局域網的傳輸提供了方便。
轉換方式
目前存在兩種地址轉換方式。一種是經常被簡記為"NAT"的網絡地址轉換(有時也叫做“網絡地址端口轉換”,記做NAPT),這種方式支持端口的映射并允許多台主機共享一個公用IP地址。另一種也可以稱作NAT或“基本NAT”,“靜态NAT",但在技術上更簡單一點,僅支持地址轉換,不支持端口映射,這就需要對每一個當前連接都要對應一個IP地址。寬帶(broadband)路由器通常使用這種方式來允許一台指定的計算機去接收所有的外部連接,甚至當路由器本身隻有一個可用外部IP時也如此,這台路由器有時也被标記為DMZ主機。
支持端口轉換的NAT又可以分為兩類:源地址轉換和目的地址轉換NAT。前一種情形下發起連接的計算機的IP地址将會被重寫,後一種情況下被連接計算機的IP地址将被重寫。實際上,以上兩種方式通常會一起使用以支持雙向通信。
[編輯]受到NAT影響的應用程序
一些高層協議(比如FTP,Quake,SIP)是在IP包的有效數據内發送網絡層(第三層)信息的。比如,主動模式的FTP使用單獨的端口分别來控制命令傳輸和數據傳輸。當請求一個文件傳輸時,主機在發送請求的同時也通知對方自己想要在哪個端口接受數據。但是,如果主機是在一個簡單的NAT防火牆後發送的請求,那麼由于端口的映射将會使對方接收到的信息無效。
一個應用層網關(ApplicationLayerGateway或ALG)可以修正這個問題。運行在NAT防火牆設備上的ALG軟件模塊可以更新任何由地址轉換而導緻無效的信息。顯然,ALG需要明白它所要修正的上層協議,所以每個有這種問題的協議都需要有一個單獨的ALG。
但是,除FTP外的大多數傳統的客戶機-服務器協議不需要發送網絡層(第三層)信息,也就不需要ALG。
這個問題的另一個可能的解決方法是使用象STUN這樣的技術,但是這隻針對建立在UDP上的高層協議,并且需要它内建這中技術。這種技術對對稱NAT也是無效的。還有一種可能的方案是UPnP,但它需要和NAT設備配合起來使用
用途實例
負載平衡:目的地址轉換NAT可以重定向一些服務器的連接到其他随機選定的服務器。
失效終結:目的地址轉換NAT可以用來提供高可靠性的服務。如果一個系統有一台通過路由器訪問的關鍵服務器,一旦路由器檢測到該服務器當機,它可以使用目的地址轉換NAT透明的把連接轉移到一個備份服務器上。
透明代理:NAT可以把連接到因特網的HTTP連接重定向到一個指定的HTTP代理服務器以緩存數據和過濾請求。一些因特網服務提供商就使用這種技術來減少帶寬的使用而不用讓他們的客戶配置他們的浏覽器支持代理連接
源網絡地址轉換
源地址轉換是基于源地址的地址轉換,主要用于内網訪問外網,減少公有地址的數目,隐藏内部地址。
如IP地址為192.168.1.2,192.168.1.3,192.168.1.4的3台PC機,通過源地址轉換後,共用119.75.213.61的公網IP地址和互聯網連接。
目的地址轉換
目的地址轉換可分為目标地址映射、目标端口映射、服務器負載均衡等。目的地址轉換也稱為反向地址轉換或地址映射。目的地址轉換是一種單向的針對目标地址的映射,主要用于内部服務器向外部提供服務的情況,它與靜态地址轉換的區别在于它是單向的。外部可以主動訪問内部,内部卻不可以主動訪問外部。
另外,可使用目的地址轉換實現負載均衡的功能,即可以将一個目标地址轉換為多個内部服務器地址。也可以通過端口的映射将不同的端口映射到不同的機器上。
如互聯網上的PC(218.92.1.2)通過訪問互聯網地址119.75.213.61,經過路由器的目的地址轉換,成為訪問置于内網的服務器192.168.1.100.
