網(wǎng)絡地址轉(zhuǎn)換/NAT

?NAT英文全稱是“Network Address Translation”，中文意思是“網(wǎng)絡地址轉(zhuǎn)換”，它是一個IETF(Internet Engineering Task Force, Internet工程任務組)標準，允許一個整體機構以一個公用IP（Internet Protocol）地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡地址（IP地址）翻譯成合法網(wǎng)絡IP地址的技術。如圖

??? 簡單的說，NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡中使用內(nèi)部地址，而當內(nèi)部節(jié)點要與外部網(wǎng)絡進行通訊時，就在網(wǎng)關（可以理解為出口，打個比方就像院子的門一樣）處，將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)（internet）上正常使用，NAT可以使多臺計算機共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法，您可以只申請一個合法IP地址，就把整個局域網(wǎng)中的計算機接入Internet中。這時，NAT屏蔽了內(nèi)部網(wǎng)絡，所有內(nèi)部網(wǎng)計算機對于公共網(wǎng)絡來說是不可見的，而內(nèi)部網(wǎng)計算機用戶通常不會意識到NAT的存在。如圖2所示。這里提到的內(nèi)部地址，是指在內(nèi)部網(wǎng)絡中分配給節(jié)點的私有IP地址，這個地址只能在內(nèi)部網(wǎng)絡中使用，不能被路由（一種網(wǎng)絡技術，可以實現(xiàn)不同路徑轉(zhuǎn)發(fā)）。雖然內(nèi)部地址可以隨機挑選，但是通常使用的是下面的地址：10.0.0.0~10.255.255.255，172.16.0.0~172.16.255.255，192.168.0.0~192.168.255.255。NAT將這些無法在互聯(lián)網(wǎng)上使用的保留IP地址翻譯成可以在互聯(lián)網(wǎng)上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（網(wǎng)絡信息中心）或者ISP(網(wǎng)絡服務提供商)分配的地址，對外代表一個或多個內(nèi)部局部地址，是全球統(tǒng)一的可尋址的地址。

??? NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨的NAT設備中。比如Cisco路由器中已經(jīng)加入這一功能，網(wǎng)絡管理員只需在路由器的IOS中設置NAT功能，就可以實現(xiàn)對內(nèi)部網(wǎng)絡的屏蔽。再比如防火墻將WEB Server的內(nèi)部地址192.168.1.1映射為外部地址202.96.23.11，外部訪問202.96.23.11地址實際上就是訪問訪問192.168.1.1。另外資金有限的小型企業(yè)來說，現(xiàn)在通過軟件也可以實現(xiàn)這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。

??? NAT技術類型
??? NAT有三種類型：靜態(tài)NAT(Static NAT)、動態(tài)地址NAT(Pooled NAT)、網(wǎng)絡地址端口轉(zhuǎn)換NAPT（Port－Level NAT）。
??? 其中靜態(tài)NAT設置起來最為簡單和最容易實現(xiàn)的一種，內(nèi)部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址。而動態(tài)地址NAT則是在外部網(wǎng)絡中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡。NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡的一個IP地址的不同端口上。根據(jù)不同的需要，三種NAT方案各有利弊。
??? 動態(tài)地址NAT只是轉(zhuǎn)換IP地址，它為每一個內(nèi)部的IP地址分配一個臨時的外部IP地址，主要應用于撥號，對于頻繁的遠程聯(lián)接也可以采用動態(tài)NAT。當遠程用戶聯(lián)接上之后，動態(tài)地址NAT就會分配給他一個IP地址，用戶斷開時，這個IP地址就會被釋放而留待以后使用。
??? 網(wǎng)絡地址端口轉(zhuǎn)換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應用于接入設備中，它可以將中小型的網(wǎng)絡隱藏在一個合法的IP地址后面。NAPT與動態(tài)地址NAT不同，它將內(nèi)部連接映射到外部網(wǎng)絡中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備選定的TCP端口號。
??? 在Internet中使用NAPT時，所有不同的信息流看起來好像來源于同一個IP地址。這個優(yōu)點在小型辦公室內(nèi)非常實用，通過從ISP處申請的一個IP地址，將多個連接通過NAPT接入Internet。實際上，許多SOHO遠程訪問設備支持基于PPP的動態(tài)IP地址。這樣，ISP甚至不需要支持NAPT，就可以做到多個內(nèi)部IP地址共用一個外部IP地址上Internet，雖然這樣會導致信道的一定擁塞，但考慮到節(jié)省的ISP上網(wǎng)費用和易管理的特點，用NAPT還是很值得的。