引言：隨著計(jì)算機(jī)網(wǎng)絡(luò)深入人們生活的各個(gè)領(lǐng)域，大型主機(jī)、個(gè)人計(jì)算機(jī)、筆記本、PDA、存儲(chǔ)設(shè)備、路由器、交換機(jī)以及各種網(wǎng)絡(luò)設(shè)備都需要連接到Internet上，IPv4的地址空間嚴(yán)重不足。NAT技術(shù)是解決IP地址空間不足的暫時(shí)解決方案，下面筆者介紹一下NAT技術(shù)。

NAT的作用和主要功能

現(xiàn)在IPv4的地址空間嚴(yán)重不足，解決IPv4地址空間不足的方案有多種，IPv6被認(rèn)為是解決IP地址不足的最終解決方案，NAT技術(shù)是解決IP地址空間不足的暫時(shí)解決方案。

當(dāng)內(nèi)部網(wǎng)絡(luò)上的一臺(tái)主機(jī)訪問互聯(lián)網(wǎng)上的一臺(tái)主機(jī)時(shí)，內(nèi)部網(wǎng)絡(luò)主機(jī)所發(fā)出的數(shù)據(jù)包額源IP地址是私有地址，這個(gè)數(shù)據(jù)包到達(dá)某個(gè)路由器后，路由器使用事先設(shè)置好的注冊公有IP地址替換掉私有地址，這樣這個(gè)數(shù)據(jù)包的源IP地址就變成了互聯(lián)網(wǎng)上唯一的公有IP地址，此數(shù)據(jù)包將被發(fā)送到互聯(lián)網(wǎng)的目的主機(jī)處。互聯(lián)網(wǎng)上的主機(jī)認(rèn)為是路由器在訪問它，因?yàn)閿?shù)據(jù)包的源IP地址是路由器地址。NAT技術(shù)通過改變數(shù)據(jù)包中的IP地址，來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)使用私有地址的主機(jī)和互聯(lián)網(wǎng)上使用公有地址的主機(jī)之間進(jìn)行通信。

NAT技術(shù)的四種地址

Inside local address：內(nèi)部本地地址，是指局域網(wǎng)內(nèi)部分配給主機(jī)的IP地址，這個(gè)地址通常是RFC1918規(guī)定的私有地址。

Inside global address：內(nèi)部全局地址，指設(shè)置在路由器等互聯(lián)網(wǎng)接口設(shè)備上，用來替代一個(gè)或者多個(gè)內(nèi)部私有地址的公有注冊IP地址，這個(gè)地址必須經(jīng)過注冊，并且在互聯(lián)網(wǎng)中是唯一的。

Outside local address：外部本地地址，指互聯(lián)網(wǎng)上另一端網(wǎng)絡(luò)內(nèi)部地址，該地址可能是RFC1918私有地址，也可能是注冊公有地址。

Outside global address：外部全局地址，指互聯(lián)網(wǎng)上的一個(gè)公有注冊地址，在互聯(lián)網(wǎng)上是唯一的。

一般情況下，Outside local address（外部本地地址）和Outside global address（外部全局地址）是同一個(gè)公有地址，它們是內(nèi)部網(wǎng)絡(luò)主機(jī)所訪問的互聯(lián)網(wǎng)上的主機(jī)。

當(dāng)內(nèi)部網(wǎng)絡(luò)有多臺(tái)主機(jī)訪問互聯(lián)網(wǎng)上的多個(gè)目的主機(jī)時(shí)，路由器必須記住內(nèi)部網(wǎng)絡(luò)的哪臺(tái)主機(jī)訪問互聯(lián)網(wǎng)的哪臺(tái)主機(jī)，以防止在地址轉(zhuǎn)換時(shí)將不同的連接混淆，所以路由器將為NAT的眾多連接建立一個(gè)表，即NAT表。

NAT在做地址轉(zhuǎn)換時(shí)，依靠在NAT表中記錄內(nèi)部私有地址和外部公有地址的映射關(guān)系來保存地址轉(zhuǎn)換的依據(jù)。在做后續(xù)的NAT操作時(shí)，只需要查詢該NAT表，就可以得知應(yīng)該如何轉(zhuǎn)換地址，而不會(huì)發(fā)生數(shù)據(jù)連接混淆。

NAT的工作過程

如圖1所示，內(nèi)部網(wǎng)絡(luò)主機(jī)A被分配了一個(gè)私有IP地址192.168.1.8，內(nèi)部網(wǎng)絡(luò)通過一臺(tái)路由器與互聯(lián)網(wǎng)相連，地址是210.96.98.1，而我們?yōu)槁酚善鲉为?dú)分配了一個(gè)公有注冊地址212.10.1.8來負(fù)責(zé)NAT的轉(zhuǎn)換。實(shí)際上，如果我們所擁有的公有注冊地址比較緊張，也可以直接使用路由器連接互聯(lián)網(wǎng)的地址210.96.98.1來作為NAT轉(zhuǎn)換的內(nèi)部全局地址。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

當(dāng)內(nèi)部網(wǎng)絡(luò)主機(jī)A訪問互聯(lián)網(wǎng)的服務(wù)器B時(shí)，它向服務(wù)器B發(fā)出了源IP地址為 192.168.1.8，目的 IP地址為202.108.22.5的數(shù)據(jù)包。

當(dāng)該數(shù)據(jù)包到達(dá)路由器時(shí)，路由器吧從主機(jī)A發(fā)送來的數(shù)據(jù)包中的源IP地址轉(zhuǎn)換為公有注冊地 址 212.10.1.8，數(shù) 據(jù) 包中的目的地址不變，還是202.108.22.5，然后將該數(shù)據(jù)包路由到互聯(lián)網(wǎng)。

同時(shí)該路由器向自己的NAT表中添加一個(gè)條目，該條目的Inside local address（內(nèi) 部 本地 地 址）是 192.168.1.8，Inside global address（內(nèi)部全局地址）是212.10.1.8，Outside local address（外 部本地地址）和Outside global address（外 部 全局地址）都是202.108.22.5.

當(dāng)服務(wù)器B接收到該數(shù)據(jù)包時(shí)，它會(huì)認(rèn)為這個(gè)數(shù)據(jù)包是由互聯(lián)網(wǎng)地址是212.10.1.8的節(jié)點(diǎn)發(fā)給它的，而不會(huì)認(rèn)為是由192.168.1.8這臺(tái)主機(jī)發(fā)給它的。

于是服務(wù)器B將以源IP地址為202.108.22.5，目的IP地址為212.10.1.8向回發(fā)送響應(yīng)的數(shù)據(jù)包。

當(dāng)服務(wù)器B發(fā)送回來的數(shù)據(jù)包到達(dá)路由器時(shí)，路由器將查找它的NAT表，從而得知訪問公有注冊地址202.108.22.5的本地局部主機(jī)地址是192.168.1.8，路由器將數(shù)據(jù)包中的目的IP地址212.10.1.8替換為192.168.1.8，然后把該數(shù)據(jù)包發(fā)送給主機(jī)A。

當(dāng)主機(jī)A與服務(wù)器B之間的后續(xù)數(shù)據(jù)包再次通過路由器時(shí)，NAT的操作將重復(fù)進(jìn)行。