在我們深入研究NAT之前,一定要清楚什麼是NAT,NAT產生的背景是什麼以及NAT是怎樣工作的。雖然現在的網路中我們見過很多不同模式的NAT,但其實這些NAT基本上也都是從早期NAT演變而來的。什麼是NAT? NAT (Network AddressTranslation)翻譯過來是網路地址轉換的意思。NAT並不僅僅應用在那些連線網際網路的網路中,雖然在某些私有網路中我們有時也會使用到NAT,但是大多數的網路之所以使用NAT還是因為這些網路需要接入Internet(網際網路)。透過我的描述大家可能意識到了NAT的應用與Internet有著密切的關係?是的,隨著使用者接入Internet的計算機數量的不斷猛增,IPv4(除非特別指明,否則本文件中提到的IP地址皆指IPv4地址)地址資源也就愈加顯得捉襟見肘了。事實上,除了中國教育和科研計算機網(CERNET)外,一般使用者幾乎申請不到整段的C類IP地址了。在其他ISP那裡,即使是擁有幾百臺計算機的大型區域網使用者申請IP地址時,所分配的IP地址也不過只有幾個或十幾個。顯然,這麼少的IP地址根本無法滿足持續增漲的網路使用者的需求,於是也就產生了NAT技術。那麼NAT是怎樣工作的呢?簡單的概括就是:NAT將一臺裝置的LAN口IP地址作為內網使用者接入網際網路的閘道器,再將這些內網使用者使用的內網IP地址轉換為能夠在網際網路上路由(使用)的公網IP地址。如圖1所示:我們從圖1的拓撲可以看到一臺路由器連線著一個擁有四臺主機的內部網路,內部網路的四臺主機分別都有一個C類的IP地址。路由器的內網地址是192.168.1.1,路由器的網路地址100.100.100.2連線著Internet。在這個拓撲中,NAT工作在路由器上,內網四臺主機的閘道器就是192.168.1.1,當這四臺主機訪問網際網路的時候,NAT路由器會將這四臺主機的IP地址全部替換為網路地址即100.100.100.2,此時對於網路(網際網路)的使用者而言,他們根本不知道這四臺主機的存在,他們只知道有一臺裝置或一部主機正在訪問網際網路,如圖2所示:換句話說,NAT通常工作在那些用於接入網際網路的裝置上,對於網際網路的裝置或使用者來說NAT隱藏了公司或企業的內部網路,在網際網路的使用者看來整個公司或企業的內部網路就好像是一臺裝置或一臺主機。那NAT工作的時候是否會影響內網使用者呢?基本上NAT的工作對於內網使用者來說是透明的,因為處於內網的主機根本無需重新配置就可以透過NAT訪問網際網路了,管理員唯一要做的就是需要對NAT裝置進行正確地配置,讓NAT路由器成為內網使用者接入網際網路的閘道器。NAT使企業的內部網路更加安全,因為NAT隱藏了內網的主機和裝置從而不會被Internet的使用者所看到。內網去往網際網路的所有通訊均由NAT裝置處理,NAT在企業內網和Internet之間提供了一條完美的連線的同時還為正在面臨IPv4地址逐漸枯竭的運營商節省了大量的公網IP地址。二、NAT如何工作NAT有三種工作方式(模式):靜態NAT、動態NAT和埠NAT。然而這三種NAT的原理是一樣的。關於這三種NAT的配置後面再進行詳細地介紹。理解NAT如何工作的關鍵是要知道NAT一般都是工作在那些與Internet直接相連的裝置上,比如路由器、防火牆或PC機。圖1拓撲結構中的NAT就工作在路由器上,但NAT裝置也可能是一臺PC機,所以對於我們來說NAT工作在哪些裝置上都是一樣的。透過上面的例子我們知道工作站的所有請求都是透過路由器傳送到Internet上的。那麼這和NAT有什麼關係呢?其實當每一個數據包到達路由器的內網埠時,NAT路由器在將這個資料包傳送到Internet之前會將這個資料包中的源IP地址替換為NAT路由器上的公網IP地址。就好像這個資料包的原始傳送者是NAT路由器而不是內網的主機。在這一點上,NAT與本站中的另一篇文件“一步一步學習IP路由流程”中的路由器不修改傳送方源IP地址的工作原理是完全不同的——NAT會修改傳送方的源IP地址,而且有時根據NAT工作的模式,NAT路由器還需要更改資料包中的第4層標識——源埠號和目的埠號,比如埠NAT模式時就需要更改埠號了。圖3顯示的是NAT路由器是如何修改資料包中的源IP地址的:在這個網路場景中內網的一臺工作站生成了一個目標地址是119.75.218.77的資料包,該資料包會被首先發送給閘道器即NAT路由器,NAT路由器將這個資料包發往Internet時已將該資料包的源IP地址由原來的192.168.0.12更改為100.100.100.2了即更改為NAT路由器的網路埠的IP地址,然後將更改後的資訊儲存在路由器的記憶體中,這些儲存的資訊也被稱為NAT地址轉換表,NAT地址轉換表記錄了192.168.0.12已被替換為100.100.100.2。當這臺NAT路由器收到對方應答時透過查詢NAT地址轉換表就知道應該將這個應答包轉發給內網的192.168.0.12這臺主機。從中我們可以看出NAT地址轉換表的重要性,因為NAT裝置是透過查詢NAT地址轉換表來找到內網的主機,所以我們有必要介紹一下在NAT中使用的NAT地址轉換表。
在我們深入研究NAT之前,一定要清楚什麼是NAT,NAT產生的背景是什麼以及NAT是怎樣工作的。雖然現在的網路中我們見過很多不同模式的NAT,但其實這些NAT基本上也都是從早期NAT演變而來的。什麼是NAT? NAT (Network AddressTranslation)翻譯過來是網路地址轉換的意思。NAT並不僅僅應用在那些連線網際網路的網路中,雖然在某些私有網路中我們有時也會使用到NAT,但是大多數的網路之所以使用NAT還是因為這些網路需要接入Internet(網際網路)。透過我的描述大家可能意識到了NAT的應用與Internet有著密切的關係?是的,隨著使用者接入Internet的計算機數量的不斷猛增,IPv4(除非特別指明,否則本文件中提到的IP地址皆指IPv4地址)地址資源也就愈加顯得捉襟見肘了。事實上,除了中國教育和科研計算機網(CERNET)外,一般使用者幾乎申請不到整段的C類IP地址了。在其他ISP那裡,即使是擁有幾百臺計算機的大型區域網使用者申請IP地址時,所分配的IP地址也不過只有幾個或十幾個。顯然,這麼少的IP地址根本無法滿足持續增漲的網路使用者的需求,於是也就產生了NAT技術。那麼NAT是怎樣工作的呢?簡單的概括就是:NAT將一臺裝置的LAN口IP地址作為內網使用者接入網際網路的閘道器,再將這些內網使用者使用的內網IP地址轉換為能夠在網際網路上路由(使用)的公網IP地址。如圖1所示:我們從圖1的拓撲可以看到一臺路由器連線著一個擁有四臺主機的內部網路,內部網路的四臺主機分別都有一個C類的IP地址。路由器的內網地址是192.168.1.1,路由器的網路地址100.100.100.2連線著Internet。在這個拓撲中,NAT工作在路由器上,內網四臺主機的閘道器就是192.168.1.1,當這四臺主機訪問網際網路的時候,NAT路由器會將這四臺主機的IP地址全部替換為網路地址即100.100.100.2,此時對於網路(網際網路)的使用者而言,他們根本不知道這四臺主機的存在,他們只知道有一臺裝置或一部主機正在訪問網際網路,如圖2所示:換句話說,NAT通常工作在那些用於接入網際網路的裝置上,對於網際網路的裝置或使用者來說NAT隱藏了公司或企業的內部網路,在網際網路的使用者看來整個公司或企業的內部網路就好像是一臺裝置或一臺主機。那NAT工作的時候是否會影響內網使用者呢?基本上NAT的工作對於內網使用者來說是透明的,因為處於內網的主機根本無需重新配置就可以透過NAT訪問網際網路了,管理員唯一要做的就是需要對NAT裝置進行正確地配置,讓NAT路由器成為內網使用者接入網際網路的閘道器。NAT使企業的內部網路更加安全,因為NAT隱藏了內網的主機和裝置從而不會被Internet的使用者所看到。內網去往網際網路的所有通訊均由NAT裝置處理,NAT在企業內網和Internet之間提供了一條完美的連線的同時還為正在面臨IPv4地址逐漸枯竭的運營商節省了大量的公網IP地址。二、NAT如何工作NAT有三種工作方式(模式):靜態NAT、動態NAT和埠NAT。然而這三種NAT的原理是一樣的。關於這三種NAT的配置後面再進行詳細地介紹。理解NAT如何工作的關鍵是要知道NAT一般都是工作在那些與Internet直接相連的裝置上,比如路由器、防火牆或PC機。圖1拓撲結構中的NAT就工作在路由器上,但NAT裝置也可能是一臺PC機,所以對於我們來說NAT工作在哪些裝置上都是一樣的。透過上面的例子我們知道工作站的所有請求都是透過路由器傳送到Internet上的。那麼這和NAT有什麼關係呢?其實當每一個數據包到達路由器的內網埠時,NAT路由器在將這個資料包傳送到Internet之前會將這個資料包中的源IP地址替換為NAT路由器上的公網IP地址。就好像這個資料包的原始傳送者是NAT路由器而不是內網的主機。在這一點上,NAT與本站中的另一篇文件“一步一步學習IP路由流程”中的路由器不修改傳送方源IP地址的工作原理是完全不同的——NAT會修改傳送方的源IP地址,而且有時根據NAT工作的模式,NAT路由器還需要更改資料包中的第4層標識——源埠號和目的埠號,比如埠NAT模式時就需要更改埠號了。圖3顯示的是NAT路由器是如何修改資料包中的源IP地址的:在這個網路場景中內網的一臺工作站生成了一個目標地址是119.75.218.77的資料包,該資料包會被首先發送給閘道器即NAT路由器,NAT路由器將這個資料包發往Internet時已將該資料包的源IP地址由原來的192.168.0.12更改為100.100.100.2了即更改為NAT路由器的網路埠的IP地址,然後將更改後的資訊儲存在路由器的記憶體中,這些儲存的資訊也被稱為NAT地址轉換表,NAT地址轉換表記錄了192.168.0.12已被替換為100.100.100.2。當這臺NAT路由器收到對方應答時透過查詢NAT地址轉換表就知道應該將這個應答包轉發給內網的192.168.0.12這臺主機。從中我們可以看出NAT地址轉換表的重要性,因為NAT裝置是透過查詢NAT地址轉換表來找到內網的主機,所以我們有必要介紹一下在NAT中使用的NAT地址轉換表。