如果你正在閱讀本文，那你很有可能已經(jīng)連上了因特網(wǎng)，這就是你用網(wǎng)絡(luò)地址轉(zhuǎn)換 (Network Address Translation, NAT) 的一個(gè)很好的機(jī)會(huì)！因特網(wǎng)已經(jīng)發(fā)展到比人們當(dāng)初設(shè)想時(shí)還龐大得多了。盡管其具體規(guī)模無法知曉，但現(xiàn)在估計(jì)有1億臺(tái)主機(jī)和超過3.5億的用戶活躍在因特網(wǎng)上。這比美國所有人口總數(shù)還多！(這篇文章發(fā)布較早，如今實(shí)際數(shù)量已經(jīng)遠(yuǎn)遠(yuǎn)超過這個(gè)了，譯者) 事實(shí)上，因特網(wǎng)每年都以兩倍的速率不斷擴(kuò)大。

那么面對(duì)日益龐大的因特網(wǎng)，NAT該做什么呢？所有的事情！對(duì)于一臺(tái)計(jì)算機(jī)要想和其他計(jì)算機(jī)進(jìn)行通信或應(yīng)用因特網(wǎng)上的Web服務(wù) (電子郵件等各種網(wǎng)絡(luò)服務(wù)，譯者) ，那么它必須要有一個(gè) IP 地址。一個(gè) IP 地址是一串***的32位數(shù)字，它標(biāo)識(shí)你的計(jì)算機(jī)在網(wǎng)絡(luò)中的位置。它基本上就像你的郵箱地址一樣：一種能夠正確找到你并把網(wǎng)絡(luò)信息送給你的地址。

當(dāng)初IP地址問世時(shí)，所有人都認(rèn)為其擁有的地址能夠覆蓋到每一個(gè)人。理論上，互不相同的IP 地址有4,294,967,296 (232) 個(gè)。但實(shí)際上真正可用的地址數(shù)比這要少 (在32億到33億之間) ，因?yàn)镮P地址按類別劃分的方法和需要留出一些地址來進(jìn)行廣播，

伴隨著因特網(wǎng)的膨脹和家庭網(wǎng)絡(luò)與公司網(wǎng)絡(luò)的不斷增加，可用的 IP 地址顯然已經(jīng)不夠了。最容易想到的解決方案是重新設(shè)計(jì)地址格式讓它擁有更多的地址。這種方案正在開發(fā)，但是將花費(fèi)數(shù)年才會(huì)實(shí)現(xiàn)，因?yàn)樗枰鷵Q全球整個(gè)因特網(wǎng)的基礎(chǔ)設(shè)備。

NAT路由器傳送進(jìn)出私有網(wǎng)絡(luò)的示意圖：

這就是 NAT (RFC 1631) 需要拯救的地方。總的來說，網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 允許一個(gè)單獨(dú)的設(shè)備，比如像路由器，作為因特網(wǎng) (公共網(wǎng)絡(luò)) 和局域網(wǎng) (私有網(wǎng)絡(luò)) 之間的代理。這就意味著對(duì)外部網(wǎng)絡(luò)來說僅僅只需要一個(gè)單獨(dú)的 IP 地址就可以代表一組 (內(nèi)部網(wǎng)絡(luò)的) 計(jì)算機(jī)。

IP 地址的短缺僅僅是使用NAT的一個(gè)原因。另外兩個(gè)原因是：

安全

管理

你將知道跟多關(guān)于你如何收益于NAT的東西，但是首先，讓我們?cè)倏拷c(diǎn)看看 NAT 還能做什么 ...

讀者所應(yīng)具備的知識(shí)：

本篇文檔的讀者應(yīng)具備以下知識(shí)：

IP 地址和路由的概念

所用到的工具   這篇文檔的描述并不受限于任何特定的軟件和硬件。

面具之后    NAT 就像一個(gè)大辦公室里的傳達(dá)員。我們假設(shè)你讓傳達(dá)員拒絕將任何電話接進(jìn)來給你，除非你要求將其接進(jìn)來。然后，你給潛在客戶打了一個(gè)電話，(因?yàn)椴辉? 告訴他們回話給你。你告訴傳達(dá)員你正在等待一個(gè)來自這個(gè)客戶的電話，并允許將他們接進(jìn)來。

這個(gè)客戶撥打了主號(hào)碼 (辦公室對(duì)外的電話號(hào)碼，譯者) 到你的辦公室，這是客戶***能查到的號(hào)碼。當(dāng)客戶告訴傳達(dá)員他們想找誰的時(shí)候，傳達(dá)員就會(huì)查看一張匹配有公司人名和其電話分機(jī)的查看表。這個(gè)傳達(dá)員知道你在等待這個(gè)電話，因此傳達(dá)員將這個(gè)電話轉(zhuǎn)到了你的分機(jī)。    思科開發(fā)的網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 設(shè)備是工作在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的。NAT 的實(shí)現(xiàn)有許多種方式，并有許多種工作方法：

靜態(tài)NAT – 用一個(gè)一對(duì)一設(shè)備將一個(gè)未注冊(cè)的 IP 地址映射到一個(gè)已注冊(cè)的 IP 地址。當(dāng)一臺(tái)設(shè)備需要被外界網(wǎng)絡(luò)可達(dá)時(shí)尤其有用。在靜態(tài) NAT 中，IP 地址是192.168.32.10 的計(jì)算機(jī)總是被轉(zhuǎn)換成213.18.123.110：

  #p#

動(dòng)態(tài) NAT – 映射一個(gè)未注冊(cè)的 IP 地址到一組已注冊(cè) IP 地址里的一個(gè)。動(dòng)態(tài) NAT 也是在未注冊(cè)和已注冊(cè) IP 地址之間建立映射關(guān)系，但是映射地址的來源是取決于通信時(shí)地址池中的可用注冊(cè) IP 地址數(shù)。在動(dòng)態(tài) NAT 中，IP 地址是192.168.32.10的計(jì)算機(jī)總是轉(zhuǎn)換成范圍在213.18.123.100 - 213.18.123.150中***個(gè)可用 IP 地址：

過載 – 映射多個(gè)未注冊(cè) IP 地址到一個(gè)已注冊(cè) IP 地址時(shí)，動(dòng)態(tài) NAT 采用不同的端口。也就是所謂的 PAT (Port Address Translation, 端口地址轉(zhuǎn)換)，單地址 NAT 或端口級(jí) NAT 復(fù)用。在過載中，私有網(wǎng)絡(luò)中的每一臺(tái)計(jì)算機(jī)都轉(zhuǎn)換到同一個(gè) IP 地址 (213.18.123.100) 但是被分配不同的端口號(hào)：

重疊 –當(dāng)你在內(nèi)網(wǎng)使用的 IP 地址已經(jīng)在另一個(gè)網(wǎng)絡(luò)中被注冊(cè)并使用了，路由器就會(huì)維護(hù)一個(gè)有這些地址的檢查表，這樣路由器就可以截?cái)?(內(nèi)網(wǎng)) 這些地址并將它們替換到***已注冊(cè) IP 地址。特別注意， NAT 路由器必須將 ”內(nèi)部“ 已注冊(cè)地址轉(zhuǎn)換到另一個(gè)已注冊(cè)***地址，還必須將 "外部" 已注冊(cè)地址轉(zhuǎn)換到私有網(wǎng)絡(luò)的***地址。這將通過靜態(tài) NAT 或是你能用 DNS 并實(shí)現(xiàn)動(dòng)態(tài) NAT 來實(shí)現(xiàn)。內(nèi)部 IP 地址的范圍 (237.16.32.XX) 已被另一個(gè)網(wǎng)絡(luò)注冊(cè)并使用。因此，路由器將進(jìn)行地址轉(zhuǎn)換來避免和另一個(gè)網(wǎng)絡(luò)的潛在沖突。當(dāng)信息被送往內(nèi)部網(wǎng)絡(luò)時(shí)，它還將外部已注冊(cè)的 IP 地址轉(zhuǎn)換回本地原來的 IP 地址：

內(nèi)部網(wǎng)絡(luò)通常是一個(gè)局域網(wǎng) (LAN, Local Area Nerwork)，通常也被稱為存根域。存根域只在內(nèi)部使用 IP 地址的局域網(wǎng)。存根域中的大多數(shù)流量都只在內(nèi)部傳送，不會(huì)離開這個(gè)內(nèi)部網(wǎng)絡(luò)。一個(gè)存根域包括注冊(cè)和未注冊(cè)的 IP 地址。當(dāng)然，任何使用未注冊(cè) IP 地址的計(jì)算機(jī)都必須用網(wǎng)絡(luò)地址轉(zhuǎn)換來和外部網(wǎng)絡(luò)通信 (任何時(shí)候存根域內(nèi)只有一部份主機(jī)要與外界通信，甚至還有許多主機(jī)可能從不與外界通信，所有整個(gè)存根域只需要共享少量的全局IP地址, 譯者注)。

有多種方法能配置 NAT。在下面的例子中，NAT 路由器被配置來將處于私有 (內(nèi)部) 網(wǎng)絡(luò)中的未注冊(cè) IP 地址 (內(nèi)部地址) 轉(zhuǎn)換成注冊(cè) IP 地址。當(dāng)一臺(tái)擁有未注冊(cè)地址的內(nèi)部設(shè)備需要和公共 (外部) 網(wǎng)絡(luò)通信時(shí)，NAT將會(huì)起作用。

ISP (Internet Server Provider, 網(wǎng)絡(luò)服務(wù)提供商)給你的公司分發(fā)一定范圍的 IP 地址段。分配的這一堆地址是注冊(cè)***的 IP 地址，即所謂的內(nèi)部全局地址[1]。未被注冊(cè)的私有 IP 地址被分成兩組，數(shù)量少的一組 (外部本地地址[2]) 將被 NAT 使用，而大多數(shù)將用于存根域[5]所謂的內(nèi)部本地地址[3]。外部本地地址用于轉(zhuǎn)換處于公共網(wǎng)絡(luò)中設(shè)備的*** IP 地址，即外部全局地址[4]。更多關(guān)于本地和全局地址的定義參見 NAT: Local and Global Definitions。NAT 僅僅只是轉(zhuǎn)換在內(nèi)部和外部網(wǎng)絡(luò)之間被指定需要被轉(zhuǎn)換的流量。任何不符合流量轉(zhuǎn)換規(guī)則或那些僅僅在其他接口 (即路由器上的LAN口，譯者) 之間轉(zhuǎn)發(fā)的流量并不會(huì)被轉(zhuǎn)換，它們只會(huì)被轉(zhuǎn)發(fā)。根據(jù) IP 地址是私有網(wǎng)絡(luò) (存根域) 還是共有網(wǎng)絡(luò) (因特網(wǎng)) 和流量是輸入還是輸出，而被分為許多種。

大多數(shù)在存根域 (網(wǎng)絡(luò)) 中的計(jì)算機(jī)都用內(nèi)部本地地址相互通信。

在存根域 (網(wǎng)絡(luò)) 中的一些計(jì)算機(jī)需要經(jīng)常和外部網(wǎng)絡(luò)通信。這些計(jì)算機(jī)就會(huì)被分配內(nèi)部全局地址，這就意味著他們不再需要地址轉(zhuǎn)換。

當(dāng)一臺(tái)在存根域 (網(wǎng)絡(luò)) 中被分配了內(nèi)部本地地址的計(jì)算機(jī)想要和外部網(wǎng)絡(luò)通信時(shí)，數(shù)據(jù)包就會(huì)像通常一樣被路由到其默認(rèn)網(wǎng)關(guān)，此時(shí)網(wǎng)管充當(dāng) NAT 路由器功能。

這個(gè) NAT 路由器檢查它的路由表，查看有沒有包含這個(gè)數(shù)據(jù)包目的地址的條目。如果其目的地址不在這個(gè)路由表里，路由器就將數(shù)據(jù)包丟棄。如果這條目存在，路由器就驗(yàn)證這個(gè)數(shù)據(jù)包是否是從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)，并檢查其是否滿足轉(zhuǎn)換規(guī)則。路由器然后查看地址轉(zhuǎn)換表，看有沒有一個(gè)條目是這個(gè)內(nèi)部本地地址對(duì)應(yīng)的內(nèi)部全局地址。如果有，路由器就用這個(gè)內(nèi)部全局地址來替代數(shù)據(jù)包的內(nèi)部本地地址。如果僅僅是配置了靜態(tài) NAT 且沒有這樣的條目存在，路由器就會(huì)不轉(zhuǎn)換地址而直接轉(zhuǎn)發(fā)數(shù)據(jù)包。

通過內(nèi)部全局地址，路由器將數(shù)據(jù)包轉(zhuǎn)發(fā)至它的目的地址。#p#

共有網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)要發(fā)送一個(gè)數(shù)據(jù)包到私有網(wǎng)絡(luò)。數(shù)據(jù)包中的源地址是一個(gè)外部全局地址。目的地址是一個(gè)內(nèi)部全局地址。

當(dāng)數(shù)據(jù)包從外部網(wǎng)絡(luò)到達(dá)路由器時(shí)，NAT 路由器查看地址轉(zhuǎn)換表發(fā)現(xiàn)其器目的地址有對(duì)應(yīng)的內(nèi)部本地地址，NAT 路由器就將其映射到這個(gè)存根域 (網(wǎng)絡(luò)) 的那臺(tái)計(jì)算機(jī)上。

NAT路由器將這個(gè)數(shù)據(jù)包中的內(nèi)部全局地址 (即其目的地址，譯者) 轉(zhuǎn)換成內(nèi)部本地地址后再查看路由表。只要在地址轉(zhuǎn)換表中沒有發(fā)現(xiàn)相應(yīng)條目，路由器就不會(huì)轉(zhuǎn)換，更不會(huì)去查看路由表來驗(yàn)證目的地址，它僅僅是將其丟棄而已。

關(guān)于用路由器命令執(zhí)行 NAT 轉(zhuǎn)換的詳細(xì)信息參見NAT Order of Operation

NAT 過載運(yùn)用了 TCP/IP 協(xié)議棧的一個(gè)功能，多路復(fù)用技術(shù)，它允許一臺(tái)計(jì)算機(jī)用不同的 TCP 或 UDP 端口維持許多當(dāng)前來自遠(yuǎn)程計(jì)算機(jī)的連接。一個(gè) IP 數(shù)據(jù)包的頭部包含以下信息：

源地址——發(fā)出數(shù)據(jù)包的計(jì)算機(jī)的 IP 地址，例如，201.3.83.132

源端口號(hào)——源計(jì)算機(jī)為 TCP 或 UDP 分配的端口號(hào)，例如，1080.

目的地址——接收數(shù)據(jù)包的計(jì)算機(jī)的 IP 地址。例如，145.51.18.223.

目的端口號(hào)——源計(jì)算機(jī)請(qǐng)求接收計(jì)算機(jī)開放的 TCP 或 UDP 端口號(hào)，例如，3021.

地址用來標(biāo)識(shí)一個(gè)連接兩端的兩臺(tái)計(jì)算機(jī)，而端口號(hào)則確保兩臺(tái)計(jì)算機(jī)之間的連接都有一個(gè)***的標(biāo)識(shí)符。這四個(gè)數(shù)字一起確定了一個(gè)***的 TCP/IP 連接。每一個(gè)端口號(hào)都是16位，這就是說一共有65536個(gè) (2^16) 個(gè)端口可供選擇。事實(shí)上，不同的廠商映射端口的方式略有不同，所以你可能只有大約4000個(gè)端口是可用的。

動(dòng)態(tài) NAT 和過載舉例

Flash 動(dòng)畫：動(dòng)態(tài) NAT

這就是動(dòng)態(tài) NAT 是如何工作的：

點(diǎn)擊鏈接  Dynamic NAT Flash animation ，點(diǎn)擊任何一個(gè)綠色的按鈕是成功發(fā)送一個(gè)出去或進(jìn)入存根域 (網(wǎng)絡(luò))。點(diǎn)擊任何一個(gè)紅色按鈕是發(fā)送一個(gè)帶有非法地址而被路由器丟棄的數(shù)據(jù)包。

左邊是一個(gè)公司的內(nèi)部網(wǎng)絡(luò) (存根域) ，其中的 IP 地址并不是由 IANA (Internet Assigned Numbers Authority, 互聯(lián)網(wǎng)編號(hào)分配機(jī)構(gòu)，一個(gè)掌握所有 IP 地址的全球權(quán)威機(jī)構(gòu) ) 分配的。這些地址并不會(huì)被路由器轉(zhuǎn)發(fā)，因?yàn)樗鼈儾⒉皇?**的 (其他內(nèi)部網(wǎng)絡(luò)也可能有相同的地址，譯者)。這些就是所謂的內(nèi)部本地地址。

這家公司將其路由器配置了 NAT。這個(gè)路由器有一段由 IANA 分配給這家公司的*** IP 地址。這些地址就是內(nèi)部全局地址。

然后在這個(gè)存根域中的一臺(tái)計(jì)算機(jī)試圖連接一臺(tái)處于外部網(wǎng)絡(luò)的計(jì)算機(jī)，比如一臺(tái)網(wǎng)絡(luò)服務(wù)器。

這臺(tái)路由器收到了來自存根域的這臺(tái)計(jì)算機(jī)的數(shù)據(jù)包。

路由器在檢查了路由表之后，轉(zhuǎn)換規(guī)則的驗(yàn)證程序就會(huì)開始執(zhí)行，若通過，則路由器會(huì)將這臺(tái)計(jì)算機(jī)的不可路由的 IP 地址保存到一張地址轉(zhuǎn)換表中。路由器用內(nèi)部全局地址中***個(gè)可用 IP 地址替換發(fā)送計(jì)算機(jī)的不可路由的 IP 地址?，F(xiàn)在，地址轉(zhuǎn)換表就擁有了這臺(tái)計(jì)算的不可路由 IP 地址到一個(gè)*** IP 地址的匹配映射。

當(dāng)一個(gè)數(shù)據(jù)包從目的計(jì)算機(jī) (如網(wǎng)絡(luò)服務(wù)器) 發(fā)送回來時(shí)，路由器檢查數(shù)據(jù)包的目的地址。然后它查看地址轉(zhuǎn)換表確定數(shù)據(jù)包是屬于哪一臺(tái)存根域中的計(jì)算機(jī)。路由器將其目的地址換成它保存在地址轉(zhuǎn)換表中的那個(gè)，然后將數(shù)據(jù)包發(fā)送到那臺(tái)計(jì)算機(jī)。如果它沒有在表中找到一條匹配，它就會(huì)丟棄這個(gè)數(shù)據(jù)包。

這臺(tái)計(jì)算機(jī)收到來自路由器的數(shù)據(jù)包。只要有計(jì)算機(jī)想要和外部網(wǎng)絡(luò)通信，它們將重復(fù)這個(gè)過程。

這是 NAT 過載如何工作的：

假設(shè)一個(gè)公司的內(nèi)部網(wǎng)絡(luò) (存根域) 已經(jīng)被設(shè)置了未被 IANA 專門分配的不可路由的 IP 地址。

這家公司將路由器設(shè)置為 NAT 可用的。路由器擁有一個(gè)***由 IANA 分給這家公司的的 IP 地址。

在存根域中的一臺(tái)計(jì)算機(jī)試圖連接外部網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)，例如一臺(tái)網(wǎng)絡(luò)服務(wù)器。

路由器收到來自存根域的這臺(tái)計(jì)算機(jī)發(fā)送的數(shù)據(jù)包。

在進(jìn)行轉(zhuǎn)換之前，路由器查找路由并驗(yàn)證數(shù)據(jù)包是否合乎規(guī)則，然后路由器保存這臺(tái)計(jì)算機(jī)的不可路由的 IP 地址和其端口號(hào)到一張地址轉(zhuǎn)換表中。路由器將發(fā)送計(jì)算機(jī)的不可路由的 IP 地址替換路由器的 IP 地址，將發(fā)送計(jì)算機(jī)源端口號(hào)替換成能夠匹配地址轉(zhuǎn)換表中所存的發(fā)送計(jì)算機(jī)地址信息位置的端口號(hào)。現(xiàn)在這張轉(zhuǎn)換表就將這臺(tái)計(jì)算機(jī)的不可路由的 IP 地址及其端口號(hào)與路由器的 IP 地址綁定起來了。

當(dāng)一個(gè)數(shù)據(jù)包從目的計(jì)算機(jī)發(fā)送回來時(shí)，路由器檢查其目的端口號(hào) (不用檢查其 IP 地址，因?yàn)槿績(jī)?nèi)部網(wǎng)絡(luò)都只用路由器的 IP 地址，路由器用端口號(hào)映射不同的計(jì)算機(jī)，譯者)。然后路由器查看地址轉(zhuǎn)換表，找到這個(gè)數(shù)據(jù)包所對(duì)應(yīng)的存根域中的計(jì)算機(jī)。如果有，則路由器替換其目的地址和目的端口號(hào)，然后發(fā)送到那臺(tái)計(jì)算機(jī)。#p#

這臺(tái)計(jì)算機(jī)接收來自路由器的數(shù)據(jù)包， 并且只要這臺(tái)計(jì)算和外部網(wǎng)絡(luò)通信，此過程就會(huì)重復(fù)執(zhí)行。

由于 NAT 路由器現(xiàn)在已經(jīng)擁有了這臺(tái)計(jì)算機(jī)保存在地址轉(zhuǎn)換表中的的源地址和源端口號(hào)，它將會(huì)在有效期內(nèi)繼續(xù)使用同一個(gè)端口號(hào)進(jìn)行轉(zhuǎn)換。每當(dāng)一個(gè)新的條目加入到路由器的轉(zhuǎn)換表中時(shí)，計(jì)數(shù)器就會(huì)重置。如果在計(jì)數(shù)器到期之前連接就不可用了，其對(duì)應(yīng)條目就會(huì)從表中刪除。

下面這張表顯示了一臺(tái)處于存根域的計(jì)算機(jī)對(duì)外部網(wǎng)絡(luò)將會(huì)如何表現(xiàn)：

就如你說見， NAT 路由器將每一臺(tái)計(jì)算機(jī)的 IP 地址和端口號(hào)都保存在地址轉(zhuǎn)換表中。然后它用它自己注冊(cè)的 IP 地址替換發(fā)送來的數(shù)據(jù)包的 IP 地址，并將端口號(hào)替換為該數(shù)據(jù)包的源計(jì)算機(jī)信息條目在表中的相應(yīng)位置號(hào)。這樣任何一臺(tái)處于外部網(wǎng)絡(luò)的計(jì)算機(jī)都會(huì)在發(fā)送給它的數(shù)據(jù)包里找到 NAT 的 IP 地址和由路由器分配的端口號(hào)。

你也可以給存根域中的一些計(jì)算機(jī)指定 IP 地址。你可以創(chuàng)建一個(gè) IP 地址列表來告訴路由器網(wǎng)路中的哪些計(jì)算機(jī)需要 NAT 服務(wù)。這樣，所有其他 IP 地址的計(jì)算機(jī)都不會(huì)執(zhí)行轉(zhuǎn)換了。

一臺(tái)路由器能同時(shí)執(zhí)行地址轉(zhuǎn)換的個(gè)數(shù)主要取決對(duì)于它擁有的DRAM (動(dòng)態(tài)隨機(jī)存儲(chǔ)器, Dynamic Random Access Memory) 。但是由于通常的地址轉(zhuǎn)換條目是160字節(jié)，而一臺(tái)有4MB 大小 DRAM 的路由器理論上可以同時(shí)執(zhí)行 26214 個(gè)地址轉(zhuǎn)換！這對(duì)大多數(shù)應(yīng)用都已經(jīng)足已。

IANA 事實(shí)上專門給不可路由的網(wǎng)絡(luò)指定了一段 IP 地址。這些地址是未注冊(cè)的 (關(guān)于這些地址的范圍定義請(qǐng)參見 RFC 1918: Address Allocation for Private Internets) ，也就是說沒有任何一家公司或機(jī)構(gòu)有權(quán)利聲稱他們擁有這些地址并在公共網(wǎng)絡(luò)上使用。路由器并不會(huì)直接轉(zhuǎn)發(fā)數(shù)據(jù)包到未注冊(cè)地址，因?yàn)樗鼈兪褂梦醋?cè)地址就意味著這些網(wǎng)絡(luò)是私有的，并不想被外界所知道。這就是說一個(gè)數(shù)據(jù)包從一個(gè)未注冊(cè)地址能夠達(dá)到一臺(tái)有注冊(cè)地址的計(jì)算機(jī)，但是其響應(yīng)數(shù)據(jù)包將會(huì)在它到達(dá)的***個(gè)路由器就被丟棄 (這里說的是不是用 NAT 的情況，譯者) 。

這是在三類 IP 地址中用于私有網(wǎng)絡(luò)的地址段：

地址段1用于 A 類地址：10.0.0.0 到 10.255.255.255

地址段2用于 B 類地址： 172.16.0.0 到 172.31.255.255

地址段3用于 C 類地址： 192.168.0 到 192.168.255.255

雖然每一段都位于不同類地址中，但是在你的內(nèi)部網(wǎng)絡(luò)中你用那一段并沒有限制。但它是一個(gè)很好的減少 IP 地址沖突的方式。

安全和管理

在你的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò) (或者說因特網(wǎng)) 之間使用動(dòng)態(tài) NAT 相當(dāng)于自動(dòng)建立了一個(gè)防火墻。動(dòng)態(tài) NAT 僅僅允許來自內(nèi)部存根域發(fā)起的連接。本質(zhì)上就是說，一臺(tái)處于外部網(wǎng)絡(luò)的計(jì)算機(jī)將不能連接到你的計(jì)算機(jī)，除非你的計(jì)算機(jī)已經(jīng)建立了連接。所以你可以瀏覽因特網(wǎng)，連上一個(gè)站點(diǎn)，甚至可以下載文件。但是其他人卻不能像這樣簡(jiǎn)單的獲取到你的 IP 地址并用它連接上你的計(jì)算機(jī)上的端口。

靜態(tài) NAT ，也就是所謂的入站映射，允許在特殊情況下來自外部設(shè)備發(fā)起的連接到處于存根域中的計(jì)算機(jī)。例如，你或許希望映射一個(gè)內(nèi)部全局地址到一個(gè)指定的內(nèi)部本地地址，它指向你的網(wǎng)絡(luò)服務(wù)器。

靜態(tài) NAT (入站映射) 允許當(dāng)一臺(tái)在存根域中的計(jì)算機(jī)與外部網(wǎng)絡(luò)中的設(shè)備通信時(shí)維持一個(gè)指定的地址：

一些 NAT 路由器還提供額外的過濾和流量記錄功能。過濾功能讓你的公司能控制公司雇員能夠訪問哪些網(wǎng)站，阻止他們查看可疑的資源。你可以運(yùn)用流量記錄來創(chuàng)建一個(gè)記錄文件，記錄哪些網(wǎng)站被訪問了，并根據(jù)它生成報(bào)告。#p#

網(wǎng)絡(luò)地址轉(zhuǎn)換常常和代理服務(wù)搞混，但是它們之間有明確的不同。NAT 對(duì)源和目的計(jì)算機(jī)都是透明的。沒有任何一方會(huì)意識(shí)到它正在和第三方設(shè)備打交道。但是代理服務(wù)卻不是透明的。源計(jì)算機(jī)知道它正向代理服務(wù)器發(fā)起一個(gè)請(qǐng)求，而且你還必須進(jìn)行配置才能這樣做。目的計(jì)算機(jī)會(huì)認(rèn)為代理服務(wù)器就是與它直接通信的源計(jì)算機(jī)。還有，代理服務(wù)通常工作在 OSI 參考模型的第 4 層 (傳輸層) 或更高，而 NAT 工作在第 3 層 (網(wǎng)絡(luò)層)。由于代理服務(wù)工作在更高層，所以通常它將比 NAT 要慢。

NAT 工作在 OSI 參考模型的網(wǎng)絡(luò)層 (第3層) 是有道理的，因?yàn)槁酚善骶凸ぷ髟谶@一層：

NAT 真正的好處是它在網(wǎng)絡(luò)中是透明的。例如，你可以將你的 Web 服務(wù)器或 FTP 服務(wù)器移到另一臺(tái)主機(jī)上而不用擔(dān)心會(huì)破壞連接。只需簡(jiǎn)單地修改入站映射，將路由器映射到你的新內(nèi)部本地地址就行了。你也可以很容易地改變你的內(nèi)部網(wǎng)絡(luò)，因?yàn)?**的外部 IP 地址不是屬于路由器就是來自一段分配的全局地址。

NAT 和 DHCP 簡(jiǎn)直就是天作之合，你可以為你的存根域選擇一段未注冊(cè) IP 地址然后用 DHCP 服務(wù)將它們分發(fā)出去。這也使你想擴(kuò)大網(wǎng)絡(luò)規(guī)模時(shí)變得更加容易。你不再需要向 IANA 請(qǐng)求更多的 IP 地址，你只需增加配置在 DHCP 中的可用 IP 地址段，這樣你網(wǎng)絡(luò)中的新增計(jì)算機(jī)立即就有了地址空間了。

多宿主

由于商業(yè)現(xiàn)在正越來越依賴于因特網(wǎng)，擁有多個(gè)連接點(diǎn)到因特網(wǎng)正快速成為他們的網(wǎng)絡(luò)策略中的一部分。多鏈路，就是所謂的多宿主，當(dāng)其中一條鏈路崩潰時(shí)，它減少了潛在的災(zāi)難性崩潰的可能。

為了維持一條可靠的連接，多宿主允許一家公司通過減少在單條鏈路上連接到因特網(wǎng)的計(jì)算機(jī)數(shù)量，以此來達(dá)到負(fù)載平衡。通過多鏈路而達(dá)到分布式負(fù)載將會(huì)提高性能，并且能夠顯著地減少等待時(shí)間。    多宿主網(wǎng)絡(luò)通常是連接到不同的 ISP (Internet Service Providers，網(wǎng)絡(luò)服務(wù)供應(yīng)商)。每一個(gè) ISP 都分配一個(gè) (或一段) IP 地址給這家公司。路由器用 BGP (Border Gateway Protocol，邊界網(wǎng)關(guān)協(xié)議)，TCP/IP 協(xié)議棧的一部分，在運(yùn)行不同網(wǎng)絡(luò)協(xié)議的網(wǎng)絡(luò)之間進(jìn)行路由。在一個(gè)多宿主網(wǎng)絡(luò)中，路由器在存根域中利用 IBGP (Internal Border Gateway Protocol，內(nèi)部邊界網(wǎng)關(guān)協(xié)議) ，在與其他路由器之間通信時(shí)利用 EBGP (External Border Gateway Protocol，外部邊界網(wǎng)關(guān)協(xié)議)。當(dāng)多宿主網(wǎng)絡(luò)用到 NAT 時(shí)，NAT 路由器會(huì)被配置來自不同 ISP 分配的多個(gè)內(nèi)部全局地址段。同樣的內(nèi)部本地地址將會(huì)被映射到多個(gè)不同的來自 NAT 的內(nèi)部全局地址，這取決于流量將被路由到哪一個(gè)目的地址。這就是所謂的目的地的 NAT，查看 NAT - Ability to Use Route Maps with Static Translations 獲得跟多信息。

多宿主對(duì)于連接到一個(gè) ISP 的鏈接崩潰時(shí)很有效。一旦路由器連接到的那個(gè) ISP 的鏈接崩潰了，它將馬上將所有經(jīng)過它的流量重定向到其他路由器。

NAT 可用于緩解對(duì)于多宿主多用戶延伸的可預(yù)測(cè)路由。

[1]   inside global(內(nèi)部全局地址)：私有主機(jī)在非自有網(wǎng)絡(luò)中使用的地址，通常情況下inside global地址是從合法的全球統(tǒng)一可尋址空間中分配的地址，也就是通常所說的共有IP。inside global地址的特點(diǎn)是只會(huì)出現(xiàn)在非自有網(wǎng)絡(luò)中并且一定是給私有主機(jī)使用的。

[2]   outside local(外部本地地址)：非私有主機(jī)在自有網(wǎng)絡(luò)內(nèi)表現(xiàn)出來的IP地址。該地址是自有網(wǎng)絡(luò)的管理員為本網(wǎng)絡(luò)以外的設(shè)備所準(zhǔn)備的用于在自有網(wǎng)絡(luò)內(nèi)使用的 IP地址。outside local地址的特點(diǎn)是只會(huì)出現(xiàn)在自有網(wǎng)絡(luò)內(nèi)但是是供給非私有主機(jī)使用的。

[3]   inside local(內(nèi)部本地地址)：在自有網(wǎng)絡(luò)中分配給私有主機(jī)的地址，一般情況下該地址是RFC1918中定義的私有地址。inside local地址的特點(diǎn)是只會(huì)出現(xiàn)在自有網(wǎng)絡(luò)中并且一定是給私有主機(jī)使用的。

[4]   outside global(外部全局地址)：非私有主機(jī)在自有網(wǎng)絡(luò)以外的區(qū)域使用的IP地址，是非私有主機(jī)所在網(wǎng)絡(luò)的管理員負(fù)責(zé)管理個(gè)分配的。outside global地址的特點(diǎn)是不會(huì)出現(xiàn)在自有網(wǎng)絡(luò)中而且不是給私有主機(jī)使用，不歸自有網(wǎng)絡(luò)的管理員負(fù)責(zé)。

[5]   存根網(wǎng)絡(luò)（stub network）:只有一條連接到其鄰居網(wǎng)絡(luò)的網(wǎng)絡(luò)。