NAT - 这是什么？ NAT设置

网络地址转换（NAT）是通过改变信息重新排序一个地址空间到另一个的方法， 在IP（互联网协议）的网络地址。 即，分组报头的时间而改变时，他们在运送通过所述经路由设备。 该方法最初用于重定向在IP网络流量简单起见，每个主机，而无需重新编号。 他成为了在IPv4地址短缺的条件下，保护和全局地址空间的分布和流行的重要工具。

NAT - 这是什么？

原来使用网络地址转换是从一个地址空间中的每个地址中的其他空间映射到相应的地址。 例如，它是必要的，如果互联网服务提供商已经改变了，用户不能够公开宣布一个新的路由网络。 在此条件下可预见的全球IP耗尽地址空间NAT技术，因为在与IP-加密一起使用时的90年代末（其为传输多个IP-地址在同一空间中的方法）越来越多地使用。 这种机制在使用转换表有状态显示于一个IP地址“隐藏”的地址，和输出IP信息包转发到输出端的路由设备来实现。 因此，它们被示出出来的路由设备。 在反向 通信信道 响应将显示在使用存储在转换表的规则的源IP地址。 规则转换表，反过来，如果新的交通不更新其状态很短的时间后清除。 这是NAT的基本机制。 它意味着什么？

这种方法可以让你通过路由器进行通信只有当连接到加密网络进行的，因为它创建了一个转换表。 例如，网络中的Web浏览器可以浏览国外的网站，但是，如果没有安装外，它不能打开的资源，位于其中。 然而，如今大多数NAT设备允许 网络管理员 来配置永久使用一个转换表项。 该特征通常被称为静态NAT或端口转发，并且它允许流量源自“外部”网络加密的网络中到达目的地主机。

由于这种方法的普及是用来保存IPv4地址空间中，NAT项（这是实际上是 - 以上），它已经成为与加密方法几乎是同义词。

由于NAT改变了IP数据包的地址信息，它有互联网连接的质量有严重影响，需要密切关注其执行的细节。

使用NAT的方法在涉及对网络流量的影响不同的情况下，他们的特定行为各不相同。

基本NAT

网络地址转换的最简单的类型（NAT）提供广播的IP-地址“一比一”。 RFC 2663是主要类型的广播。 在这种类型的变化只是IP地址和 校验和 IP头。 主要类型的翻译可以用来连接两个IP网络这是不兼容的解决。

NAT - 这是连接“一到多”？

大多数品种的NAT可以在多个私有主机映射到一个指定的公开IP地址。 在典型配置中，本地网络使用指定的“私有” IP子网地址（RFC 1918）的一个。 该网络上的路由器在这个空间中的私有地址。

该路由器还连接到使用ISP分配给您一个“公共”地址上网。 当流量从本地网络传递到互联网地址的每个数据包的源转换从私有地址给公众的飞行。 路由器跟踪有关每个活动连接（特别是目的地地址和端口）的基本数据。 当响应返回给他，他使用它们是在出境阶段存储以确定内部网的私有地址向其发送答复的连接数据。

此功能的一个好处是，它可以作为一个实用的解决方案，以IPv4地址空间即将耗尽。 即使是大型网络可以通过一个IP地址连接到互联网。

所有数据报包到基于IP的网络，有2个IP地址 - 源和目标。 通常情况下，从专用网络传递到公共网络的数据包，将数据包的源地址，从公共网络到专用回在过渡期间发生变化。 更复杂的配置也都是可能的。

特点

NAT功能可能有一些特殊的功能。 要避免的困难是如何翻译的包退换要求其进一步的改进。 绝大多数互联网流量都经过协议TCP和UDP，和端口号被改变从而使IP地址和端口号在反方向的组合开始被映射的数据。

这不是基于TCP或UDP协议，需要翻译的不同方法。 控制消息协议因特网（ICMP），作为一项规则，与现有的连接相关联的传送的数据。 这意味着，他们应该使用相同的IP地址显示和号码最初设置。

我应该怎么考虑的？

在路由器上配置NAT不给他连接的可能性“端到端”。 因此，这些路由器不能参加一些Internet协议。 需要从外部网络或TCP的连接用户无需协议启动服务可能不可用。 如果NAT路由器并没有多大的努力来支持这样的协议，入站数据包无法到达目的地。 有些协议可容纳参与主机（“被动模式»例如FTP）之间的一个翻译，有时与应用网关的帮助，但是当两个系统都使用NAT互联网分开建立连接。 使用NAT也复杂化这样的“隧道”协议，如IPSec的，因为它改变了标题中的值，它与所述评论请求完整性互动。

当前的问题

复合“端到端”是互联网的基本原则，因为它的发展存在。 网络的当前状态显示NAT是违反了这一原则。 专家也有对广泛使用IPv6的网络地址转换的严重关切，并提出了如何有效地消除它的问题。

因为表级状态广播NAT路由器的短暂性质，内部网络设备失去IP连接，作为一项规则，时间很短的时间之内。 除了一个事实，即在路由器这样的NAT，你不能忘记这个事实。 这严重降低了对电池和蓄电池运行小型设备的工作时间。

可扩展性

此外，当使用NAT跟踪只有可以很快耗尽使用多个同时连接的内部应用程序的端口（例如，用于网页的HTTP-请求具有大量嵌入的对象）。 这个问题可以通过监控附加的目的地IP地址的端口被减轻（因此一个本地端口被划分多个远程主机）。

有些困难

由于所有内部地址伪装成一个公共的，外部主机变得不可能启动而不防火墙（其重定向到一个特定端口的连接）上的任何特殊配置到特定的内部节点的连接。 应用，如IP电话，视频会议，而这些服务必须使用NAT穿越技术正常工作。

寄信人地址和端口转换（全神贯注）允许主机，真实IP地址，该地址的变化不时，仍然可以作为与家庭网络的固定IP地址的服务器。 原则上，应允许设立服务器保持连接。 尽管这不是一个完美的解决 这个问题，它 可能是在网络管理员的阿森纳另一个有用的工具来解决问题，如何在路由器上配置NAT。

端口地址转换（PAT）

思科全神贯注实现端口地址转换（PAT），它显示几个私有IP地址作为公共之一。 多个地址可以因为它们中的每通过端口号监控被显示为一个地址。 PAT对内部全局IP使用唯一的源端口号，以区分数据传送的方向。 这些数字是16位整数。 可翻译成一个外，总内部地址理论上可以达到65536到单个IP地址可以被分配的端口的实际数目，是约4000典型地，PAT试图保存该源端口“原始”。 如果已经在使用，端口地址转换分配从各个组的开头开始的第一个可用的端口号 - 0-511，512-1023或1024-65535。 如果没有更多可用端口并且有多个外部的IP地址，PAT移动到下一个，试图找出源端口。 这个过程一直持续，直到没有可用的更多的数据。

显示地址和端口的Cisco实施，结合通过IPv4内网端口地址转换数据IPv6数据包隧道的服务。 事实上，一个正规替代CarrierGrade NAT和DS-精简版，它支持IP地址转换/端口（以及，因此，所支持的NAT设置）。 因此，它避免了在安装和连接的维护问题，并且还提供了IPv6部署的过渡机制。

翻译方法

有实现网络地址和端口转换的几种方法。 在一些应用中，应用程序使用与IP-地址有效，加密的网络中运行的各种协议，必须定义的外部地址的NAT（其在连接的另一端使用的），并且，此外，它往往是必要研究和分类传输的类型。 通常这样做是因为期望的是两个客户端，这两者都是个别NAT之间建立直接通信信道（或通过服务器保存数据的不间断传输或以提高性能）。

为此，（如何配置NAT）于2003年制定了专门的协议RFC 3489的UDP简单穿越通过NATS提供。 今天，它已经过时了，因为这些方法现在都不足以正确评估许多设备的工作。 新的方法已经标准化的RFC 5389协议，并于2008年10月制定。 该规范现在被称为SessionTraversal，是在NAT的工具。

创建一个双向沟通

每个分组包含TCP和UDP IP源地址和端口号，以及目的地端口的坐标。

对于这样的公共服务功能的电子邮件服务器，端口号是非常重要的。 例如， 80端口 连接到软件，Web服务器，和25 -到SMTP邮件服务器。 公共服务器的IP地址也是必不可少的，像邮政地址或电话号码。 这两个参数的应该是真正的知道是要连接的所有节点。

私有IP-地址只有在本地网，在那里它们被使用，以及主机端口的意义。 端口是在主机上独特端点连接，所以通过组合端口映射和IP地址支持的NAT的连接。

PAT（端口AddressTranslation）解决了可以使用相同的源端口号来建立同时独特的连接两个不同的主机之间可能出现的冲突。