地址轉換

目錄
·概述
·缺點
·好處
·基本NAT和端口號轉換
·NAT其他用途實例




　　網(wǎng)絡地址轉換(NAT)就是：路由器將私有地址轉換為公有地址使數(shù)據(jù)包能夠發(fā)到因特網(wǎng)上，同時從因特網(wǎng)上接收數(shù)據(jù)包時，將公用地址轉換為私有地址。
　　在計算機網(wǎng)絡中，網(wǎng)絡地址轉換（Network Address Translation或簡稱NAT，也叫做網(wǎng)絡掩蔽或者IP掩蔽）是一種在IP數(shù)據(jù)包通過路由器或防火墻時重寫源IP地址或/和目的IP地址的技術。這種技術被普遍使用在有多臺主機但只通過一個公有IP地址訪問因特網(wǎng)的私有網(wǎng)絡中。根據(jù)規(guī)范，路由器是不能這樣工作的，但它的確是一個方便并得到了廣泛應用的技術。當然，NAT也讓主機之間的通信變得復雜，導致通信效率的降低。
概述
　　Réseau sans NAT
　　Réseau avec NAT開始，NAT是作為一種解決IPv4地址短缺以避免保留IP地址困難的方案而流行起來的。網(wǎng)絡地址轉換的在很多國家都有很廣泛的使用，除了美國，因為歷史的原因美國每個人幾乎都得到了地址。所以NAT就成了家庭和小型辦公室網(wǎng)絡連接上的路由器的一個標準特征，因為對他們來說，申請多余的IP地址的代價要高于所帶來的效益。
　　在一個典型的配置中，一個本地網(wǎng)絡使用一個專有網(wǎng)絡的指定子網(wǎng)（比如192.168.x.x或10.x.x.x）和連在這個網(wǎng)絡上的一個路由器。這個路由器占有這個網(wǎng)絡地址空間的一個專有地址（比如 192.168.0.1），同時它還通過一個或多個因特網(wǎng)服務提供商提供的公有的IP地址（叫做“過載” NAT）連接到因特網(wǎng)上。當信息由本地網(wǎng)絡向因特網(wǎng)傳遞時，源地址被立即從專有地址轉換為公用地址。由路由器跟蹤每個連接上的基本數(shù)據(jù)，主要是目的地址和端口。 當有回復返回路由器時，它通過輸出階段記錄的連接跟蹤數(shù)據(jù)來決定該轉發(fā)給內部網(wǎng)的哪個主機；如果有多個公用地址可用，當數(shù)據(jù)包返回時，TCP或UDP客戶機的端口號可以用來分解數(shù)據(jù)包。對于因特網(wǎng)上的一個系統(tǒng)，路由器本身充當通信的源和目的地址。
　　有人一直認為，IPv6的廣泛采用將使得NAT不再需要，因為NAT只是一個處理IPv4的地址空間不足的方法。
缺點
　　在一個具有NAT功能的路由器下的主機并沒有建立真正的端對端連接，并且不能參與一些因特網(wǎng)協(xié)議。一些需要初始化從外部網(wǎng)絡建立的TCP連接和使用無狀態(tài)協(xié)議，比如UDP的服務將被中斷。除非NAT路由器作一些具體的努力，否則送來的數(shù)據(jù)包將不能到達正確的目的地址。一些協(xié)議有時可以在應用層網(wǎng)關（見下）的輔助下，在參與NAT的主機之間容納一個NAT的實例，比如FTP。NAT也會使安全協(xié)議變的復雜，比如IPsec。
　　端對端連接是被IAB委員會（Internet Architecture Board）支持的核心因特網(wǎng)協(xié)議之一，因此有些人據(jù)此認為NAT是對公用因特網(wǎng)的一個破壞。一些因特網(wǎng)服務提供商只向他們的客戶提供本地IP地址，所以他們必須通過NAT來訪問ISP網(wǎng)絡以外的服務，并且這些公司能不能算的上真正的提供了因特網(wǎng)服務的話題也被談起。
好處
　　NAT除了帶來方便和代價之外，對全雙工連接支持的缺少在一些情況下可以看作是一個有好處的特征而不是一個限制。在一定程度上，NAT依賴于本地網(wǎng)絡上的一臺機器來初始化和路由器另一邊的主機的任何連接，它可以阻止外部網(wǎng)絡上的主機的惡意活動。這樣就可以阻止網(wǎng)絡蠕蟲病毒來提高本地系統(tǒng)的可靠性，阻擋惡意瀏覽來提高本地系統(tǒng)的私密性。很多具有NAT功能的防火墻都是使用這種功能來提供核心保護的。另外，它也為UDP的跨局域網(wǎng)的傳輸提供了方便。
基本NAT和端口號轉換
　　目前存在兩種地址轉換方式。一種式經(jīng)常被簡記為"NAT"的網(wǎng)絡地址轉換(有時也叫做“網(wǎng)絡地址端口轉換”，記做NAPT)，這種方式支持端口的映射并允許多臺主機共享一個公用IP地址。另一種也可以稱作NAT或“基本NAT”，“靜態(tài)NAT",但在技術上更簡單一點，僅支持地址轉換，不支持端口映射，這就需要對每一個當前連接都要對應一個IP地址。寬帶(broadband)路由器通常使用這種方式來允許一臺指定的計算機去接收所有的外部連接，甚至當路由器本身只有一個可用外部IP時也如此，這臺路由器有時也被標記為DMZ主機。
　　支持端口轉換的NAT又可以分為兩類：源地址轉換和目的地址轉換NAT 。前一種情形下發(fā)起連接的計算機的IP地址將會被重寫，后一種情況下被連接計算機的IP地址將被重寫。實際上，以上兩種方式通常會一起使用以支持雙向通信。
　　[編輯] 受到NAT影響的應用程序
　　一些高層協(xié)議（比如FTP，Quake，SIP）是在IP包的有效數(shù)據(jù)內發(fā)送網(wǎng)絡層（第三層）信息的。比如，主動模式的FTP使用單獨的端口分別來控制命令傳輸和數(shù)據(jù)傳輸。當請求一個文件傳輸時，主機在發(fā)送請求的同時也通知對方自己想要在哪個端口接受數(shù)據(jù)。但是，如果主機是在一個簡單的NAT防火墻后發(fā)送的請求，那么由于端口的映射將會使對方接收到的信息無效。
　　一個應用層網(wǎng)關（Application Layer Gateway或ALG）可以修正這個問題。運行在NAT防火墻設備上的ALG軟件模塊可以更新任何由地址轉換而導致無效的信息。顯然，ALG需要明白它所要修正的上層協(xié)議，所以每個有這種問題的協(xié)議都需要有一個單獨的ALG。
　　但是，除FTP外的大多數(shù)傳統(tǒng)的客戶機－服務器協(xié)議不需要發(fā)送網(wǎng)絡層（第三層）信息，也就不需要ALG。
　　這個問題的另一個可能的解決方法是使用象STUN這樣的技術，但是這只針對建立在UDP上的高層協(xié)議，并且需要它內建這中技術。這種技術對對稱NAT也是無效的。還有一種可能的方案是UPnP，但它需要和NAT設備配合起來使用
NAT其他用途實例
　　負載平衡: 目的地址轉換NAT可以重定向一些服務器的連接到其他隨機選定的服務器。
　　失效終結: 目的地址轉換NAT可以用來提供高可靠性的服務。如果一個系統(tǒng)有一臺通過路由器訪問的關鍵服務器，一旦路由器檢測到改服務器當機，它可以使用目的地址轉換NAT透明的把連接轉移到一個備份服務器上。
　　透明代理: NAT可以把連接到因特網(wǎng)的HTTP連接重定向到一個指定的HTTP代理服務器以緩存數(shù)據(jù)和過濾請求。一些因特網(wǎng)服務提供商就使用這種技術來減少帶寬的使用而不用讓他們的客戶配置他們的瀏覽器支持代理連接

• 通信詞典解釋