NAT技术详解-优快云博客

9.4.1 NAT简介

NAT并不是一种网络协议，而是一种过程，它将一组IP地址映射到另一组IP地址，而且对用户来说是透明的。NAT通常用于将内部私有的IP地址翻译成合法的公网IP地址，从而可以使内网中的计算机共享公网IP，节省了IP地址资源。可以这样说，正是由于NAT技术的出现，才使得IPv4的地址至今还足够使用。因此，在IPv6广泛使用前，NAT技术仍然还会广泛地应用。

1．NAT的工作原理

NAT的工作原理如图9-10所示。

图9-10 NAT服务器工作原理图

内网中IP为10.10.1.10的计算机发送的数据包其源IP地址是10.10.1.10，但这个地址是Internet的保留地址，不允许在Internet上使用，Internet上的路由器是不会转发这样的数据包的。为了使这个数据包能在Internet上传输，需要把源IP地址10.10.1.10转换成一个能在Internet上使用的合法IP地址，如218.75.26.35，才能顺利地到达目的地。

这种IP地址转换的任务由NAT服务器完成，运行NAT服务的主机一般位于内网的出口处，至少需要有两个网络接口，一个设置为内网IP，一个设置为外网合法IP。NAT服务器改变出去的数据包的源IP地址后，需要在内部保存的NAT地址映射表中登记相应的条目，以便回复的数据包能返回给正确的内网计算机。

当然，从Internet回复的数据包也并不是直接发送给内网的，而是发给了NAT服务器中具有合法IP地址的那个网络接口。NAT服务器收到回复的数据包后，根据内部保存的NAT地址映射表，找到该数据包是属于哪个内网IP的，然后再把数据包的目的IP转换回来，还原成原来的那个内网地址，最后再通过内网接口路由出去。

以上地址转换过程对用户来说是透明的，计算机10.10.1.10并不知道自己发送出去的数据包在传输过程中被修改过，只是认为自己发送出去的数据包能得到正确地响应数据包，与正常情况没有什么区别。

通过NAT转换还可以保护内网中的计算机不受到来自Internet的攻击。因为外网的计算机不能直接发送数据包给使用保留地址的内网计算机，只能发给NAT服务器的外网接口。在内网计算机没有主动与外网计算机联系的情况下，在NAT服务器的NAT地址映射表中是无法找到相应条目的，因此也就无法把该数据包的目的IP转换成内网IP。

%说明：在有些情况下，数据包还可能会经过多次的地址转换。

2．动态NAT

以上介绍的NAT也称为源NAT，即改变数据包的源IP地址，通常也称为静态NAT，它用于内网的计算机共用公网IP上网。还有一种NAT是目的NAT，改变的是数据包的目的IP地址，通常也称为动态NAT，它用于把某一个公网IP映射为某一内网IP，使两者建立固定的联系。当Internet上的计算机访问公网IP时，NAT服务器会把这些数据包的目的地址转换为对应的内网IP，再路由给内网计算机。