【文章內(nèi)容簡介】 包修改為以 為目的，以 為源。 其中： 是 PC 1 的內(nèi)部本地地址。 是 PC 1 的內(nèi)部全局地址。 是 PC 2 的外部全局地址。 是 PC 2 的外部本地地址。（用于外網(wǎng)始發(fā)會話，訪問內(nèi)網(wǎng)時的轉(zhuǎn)換用） 當然內(nèi)部全球地址允許沒有配置在物理接口上，但前期是只要外部主機有這個地址的路由以便能夠回包。 其中內(nèi)部 /外部的含義是內(nèi)部 /外部網(wǎng)絡。本地 /全局的含義是本機實際 /虛擬（轉(zhuǎn)換）的地址。 總結(jié)歸納后得出： 內(nèi)部本地地址 （ Inside Local Address） ：內(nèi)部網(wǎng)絡的主機地址，本地唯一。 這些地址通常為私網(wǎng)地址。 西安培華學院本科畢業(yè)論文（設計） NAT 技術(shù)在局域網(wǎng)中的應用 6 外部全局地址 （ Outside Global Address） ：外部網(wǎng)絡的主機地址，全局唯一。 這些IP 地址是全局可路由的合法公網(wǎng) IP 地址。 內(nèi)部全局地址 （ Inside Global Address） ：內(nèi)部主機地址轉(zhuǎn)換成的、可以在外部網(wǎng)絡全局路由的地址。 如放在局域網(wǎng)中的服務器，服務器所使用的合法公網(wǎng) IP 地址。 外部本地地址 （ Outside Local Address） ：外部主機地址轉(zhuǎn)換成的、可以在內(nèi)部網(wǎng)絡路由的地址。 這些 IP 地址不一定是公網(wǎng)地 址。 除此之外，還有內(nèi)部網(wǎng)絡 (Inside)：指內(nèi)部的局域網(wǎng)絡，它與邊界路由器上被定義為inside 的網(wǎng)絡接口相連。外部網(wǎng)絡（ Outside）：指除了內(nèi)部網(wǎng)絡之外的所有網(wǎng)絡，通常指因特網(wǎng)，它與邊界路由器上被定義為 outside 的網(wǎng)絡接口相連。地址池（ Address Pool） :指可用來供 NAT 轉(zhuǎn)換使用的多個合法公網(wǎng) IP 地址。 NAT 的工作原理 現(xiàn)在，我們需要明白的是，在局域網(wǎng)內(nèi)部的私有地址是不能直接訪問外網(wǎng)的，我們一定要通過轉(zhuǎn)換城公有地址才可以訪問 Inter ，如圖 22 所示，是兩個公司的 Inter 網(wǎng)絡互相交流，我們來看看這其中的工作原理。 圖 22 NAT 工作原理拓撲圖 網(wǎng)絡的 PCI 想要訪問 網(wǎng)絡的 User1。 （ 1） PC1 向 RA（網(wǎng)關(guān)）發(fā)送請求，告訴自己的私有 IP 地址和 MAC 地址，并且要求自己要到達 網(wǎng)絡的 User1 主機。 西安培華學院本科畢業(yè)論文（設計） NAT 技術(shù)在局域網(wǎng)中的應用 7 （ 2） RA 收到請求后，把 PC1 的源 IP 地址進行轉(zhuǎn)換，變成內(nèi)部全局地址，即公有地址，并且為 PC1 指定一個隨即產(chǎn)生的端口號（來識別某臺主機），發(fā)送到 Inter網(wǎng)。 （ 3） Inter 網(wǎng)絡受到了內(nèi)部全局 IP 地址的請求，之間進行路由選擇，被 RB 接收，RB 通過查看 RA 發(fā)送過來的內(nèi)部全局 IP 地址和端口號等信息，直接發(fā)送給 網(wǎng)絡的網(wǎng)關(guān)。 （ 4）網(wǎng)關(guān)路由器 RB 受到了信息，根據(jù)對方發(fā)過來的目標主機信息，把數(shù)據(jù)傳輸給 網(wǎng)絡的 User1 主機。 （ 5）根據(jù) ICMP 協(xié)議， user1 主機需要回應，對數(shù)據(jù)進行想應的處理，把數(shù)據(jù)封裝后發(fā)送給網(wǎng)關(guān)。 （ 6）網(wǎng)關(guān)把 user1的私有 IP地址轉(zhuǎn)換層外部局部 IP地址，即公有地址 ，通過這個公有地址，轉(zhuǎn)發(fā)到 路由器 RA 中。 （ 7） RA 收到數(shù)據(jù)包，查看自己緩存里的對應的主機和端口，并對 網(wǎng)絡的 IP1 進行轉(zhuǎn)發(fā)。 例如，一個小型辦公網(wǎng)絡使用 Inter 網(wǎng)絡服務提供商分配的單一公用 IP 地址為 。當此小型內(nèi)部網(wǎng)中一臺內(nèi)部私有地址為 的客戶訪問 IP 地址為 的網(wǎng)站服務器時，此用戶機的 TCP/IP 協(xié)議產(chǎn)生一個包含以下在 IP 和 TCP 或者 UDP 標頭中的數(shù) 值的 IP 數(shù)據(jù)包： 目標 IP 地址： 源 IP 地址： 目標端口： 80 源端口： 1025 請求源主機將此 IP 數(shù)據(jù)包發(fā)送給 NAT 設備，然后由 NAT 設備解析向外發(fā)送數(shù)據(jù)包的地址如下： 目標 IP 地址： 源 IP 地址： 目標端口： 80 源端口： 5000 西安培華學院本科畢業(yè)論文（設計） NAT 技術(shù)在局域網(wǎng)中的應用 8 NAT 將重新映射后的 IP 數(shù)據(jù)包發(fā)送到 Inter。網(wǎng)站服務器向 NAT 返回一個響應。 當 NAT 接受到此響應時，數(shù)據(jù)包包含以下地址信息： 目標 IP 地址： 源 IP 地址： 目標端口： 5000 源端口： 80 當 NAT 完成地址的映射和解析后，它將此數(shù)據(jù)包發(fā)送給 Inter 客戶端，數(shù)據(jù)包包含以下地址信息： 目標 IP 地址： 源 IP 地址： 目標端口： 1025 源端口： 80 NAT 的優(yōu)缺點 NAT 技術(shù)在實際局域網(wǎng)應用中有以下優(yōu)缺點： 優(yōu)點： 。 。 缺點： NAT 檢查從而導致延時。 。 在一個具有 NAT 功能的路由器下的主機并沒有建立真正的端對端連接，并且不能參與一些因特網(wǎng)協(xié)議。一些需要初始化從外部網(wǎng)絡建立的 TCP 連接，和使用無狀態(tài)協(xié)議（比如UDP）的服務將被中斷。除非 NAT 路由器作一些具體的努力，否則送來的數(shù)據(jù)包將不能到達正確的目的地址。（一些協(xié)議有時可以在應用層網(wǎng)關(guān)的輔助下，在參與 NAT 的主機之間容納一個 NAT 的實例，比如 FTP。） NAT 也會使安全協(xié)議變的復雜。 NAT 的局限性 西安培華學院本科畢業(yè)論文（設計） NAT 技術(shù)在局域網(wǎng)中的應用 9 （ 1） NAT 違反了 IP 地址結(jié)構(gòu)模型的設計原則。 IP 地址結(jié)構(gòu)模型的基礎是每個 IP 地址均標識了一個網(wǎng)絡的連 接。 Inter 的軟件設計就是建立在這個前提之上，而 NAT 使得有很多主機可能在使用相同的地址，如 。 （ 2） NAT 使得 IP 協(xié)議從面向無連接變成面向連接。 NAT 必須維護專用 IP 地址與公用IP 地址以及端口號的映射關(guān)系。在 TCP/IP 協(xié)議體系中，如果一個路由器出現(xiàn)故障，不會影響到 TCP 協(xié)議的執(zhí)行。因為只要幾秒收不到應答，發(fā)送進程就會進入超時重傳處理。而當存在 NAT 時，最初設計的 TCP/IP 協(xié)議過程將發(fā)生變化， Inter 可能變得非常脆弱。 （ 3） NAT 違反了基本的網(wǎng)絡分層結(jié)構(gòu)模型的設計原則。 因為在傳統(tǒng)的網(wǎng)絡分層結(jié)構(gòu)模型中，第 N 層是不能修改第 N+1層的報頭內(nèi)容的。 NAT 破壞了這種各層獨立的原則。 （ 4）有些應用是將 IP 地址插入到正文的內(nèi)容中，例如標準的 FTP 協(xié)議與 IP Phone協(xié)議 。如果 NAT 與這一類協(xié)議一起工作，那么 NAT 協(xié)議一定要做適當?shù)匦拚?。同時，網(wǎng)絡的傳輸層也可能使用 TCP 與 UDP 協(xié)議之外的其他協(xié)議，那么 NAT 協(xié)議必須知道并且做相應的修改。由于 NAT 的存在，使得 P2P 應用實現(xiàn)出現(xiàn)困難，因為 P2P 的文件共享與語音共享都是建立在 IP 協(xié)議的基礎上的。 （ 5） NAT 同時存在對高層協(xié)議 和安全性的影響問題。 RFC 對 NAT 存在的問題進行了討論。 NAT 的反對者認為這種臨時性的緩解 IP 地址短缺的方案推遲了 Ipv6遷移的進程，而并沒有解決深層次的問題，他們認為是不可取的。 西安培華學院本科畢業(yè)論文（設計） NAT 技術(shù)在局域網(wǎng)中的應用 10 3 NAT 的分類 靜態(tài)地址的轉(zhuǎn)換 靜態(tài) 地址 轉(zhuǎn)換 ， 是指將內(nèi)部網(wǎng)絡的私有 IP 地址轉(zhuǎn)換為公有 IP 地址， IP 地址 是 一對一的，是 固定 不變的，某個私有 IP 地址只轉(zhuǎn)換為某個公有 IP 地址。 利用 靜態(tài) 地址 轉(zhuǎn)換，便 可以實現(xiàn)外部網(wǎng)絡對內(nèi)部網(wǎng)絡中某些特定設備的訪問。 動態(tài)地址的轉(zhuǎn)換 動態(tài) 地址 轉(zhuǎn)換 ， 是指將內(nèi)部網(wǎng)絡的私有 IP 地址 轉(zhuǎn)換為公用 IP 地址時， IP 地址是不確定的，是隨機的，所有被授權(quán)訪問上 Inter 的私有 IP 地址可隨機轉(zhuǎn)換為任何指定的合法 IP 地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換。動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集。當 ISP提供的合法 IP 地址 較 少于網(wǎng)絡內(nèi)部的計算機數(shù)量時?？梢圆捎脛討B(tài)轉(zhuǎn)換的方式。 復用端口的轉(zhuǎn)換 復用端口的轉(zhuǎn)換 (Port address Translation， PAT)， 是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換 (PAT， Port Address Translation)， 采用端口多路復用方式。內(nèi)部網(wǎng)絡的所有主機均可共享一個合法外部 IP 地址實現(xiàn)對 Inter 的訪問，從而可以最大限度地節(jié)約 IP 地址資源。同時，又可隱藏網(wǎng)絡內(nèi)部的所有主機，有效避免來自 inter 的攻擊。因此，目前網(wǎng)絡中應用最多的就是端口多路復用方式 。 假設內(nèi)部局 域網(wǎng)使用的 IP 地址段為 ，路由器局域網(wǎng)端(即 默認網(wǎng)關(guān) )的 IP 地址為 ，子網(wǎng)掩碼為 。網(wǎng)絡分配的合法IP 地址范圍為 ，路由器在廣域網(wǎng)中的 IP 地址為 ，子網(wǎng)掩碼為 可 用 于 轉(zhuǎn) 換的 IP 地 址 范圍 為。要求將內(nèi)部網(wǎng)址 分別轉(zhuǎn)換為合法 IP 地址 。