NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)，是解決IP地址不足的主要手段，并且能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護網(wǎng)絡(luò)內(nèi)部的計算機。

NAT 技術(shù)背景

在IPv4協(xié)議中，IP地址數(shù)量不足是一個大問題，而NAT技術(shù)就是當(dāng)前解決IP地址不夠用的主要手段，是路由器的一個重要功能。

• 在進行對外通信時，NAT能夠?qū)⑺接蠭P經(jīng)過一系列替換操作最終轉(zhuǎn)為全局IP，也就是說，NAT是一種將私有IP和全局IP相互轉(zhuǎn)化的技術(shù)方法。
• 裝有NAT軟件的路由器叫做NAT路由器，所有使用私有IP的主機在和外界通信時，都要在NAT路由器上將其私有IP轉(zhuǎn)換成全局IP。
• 很多學(xué)校、家庭、公司內(nèi)部每個終端設(shè)置的IP都是私有IP，而只在路由器或必要的服務(wù)器上設(shè)置全局IP。
• 全局IP要求唯一，但是私有IP不需要，在不同的局域網(wǎng)中出現(xiàn)相同的私有IP是完全不影響的。

NAT IP轉(zhuǎn)換過程

假設(shè)某個局域網(wǎng)當(dāng)中有三個客戶端，在公網(wǎng)中有一臺服務(wù)器，以客戶端A訪問服務(wù)器為例，讓我們看一下IP地址的變換過程。

注意： 這里僅考慮的是只有一臺客戶端給服務(wù)器發(fā)報文的情況。

數(shù)據(jù)包從局域網(wǎng)到公網(wǎng)過程

• 首先 數(shù)據(jù)包當(dāng)中的源IP地址就是主機A的IP地址，目標(biāo)地址為服務(wù)器的地址。
• 然后數(shù)據(jù)包經(jīng)過NAT路由器器時，其中的源IP地址會被轉(zhuǎn)換。也就是由LAN口IP地址轉(zhuǎn)換為WAN口IP地址，此時源IP地址和目的IP地址都是公網(wǎng)的IP地址。
• 最后該數(shù)據(jù)包可能經(jīng)過各種路由轉(zhuǎn)發(fā)，最終到達服務(wù)器主機

Lan口的IP地址是你本地的（局域網(wǎng)）的IP地址，一般由路由器自動分配
wan口的 IP 地址是你的服務(wù)運營商在你聯(lián)通Internet后，分配給你的IP地址

數(shù)據(jù)包從公網(wǎng)到局域網(wǎng)的過程

服務(wù)器向主機A進行響應(yīng)的過程也要進行相應(yīng)的IP地址轉(zhuǎn)換，不過這次轉(zhuǎn)換的是目的IP地址。

• 首先，數(shù)據(jù)包當(dāng)中包含了源IP地址和目的IP地址，目的IP地址是WAN口IP地址
• 然后，可能經(jīng)過互聯(lián)網(wǎng)中的各種路由轉(zhuǎn)發(fā)，到達主機A所在局域網(wǎng)的NAT路由器時，目的IP地址被轉(zhuǎn)換，由WAN口IP轉(zhuǎn)換成了LAN口IP，也就是主機A的私有IP地址。
• 最后，路由器就會將該數(shù)據(jù)包轉(zhuǎn)發(fā)給局域網(wǎng)當(dāng)中的主機A

NAT路由器將源地址從10.0.0.10替換成全局的IP 202.244.174.37;
NAT路由器收到外部的數(shù)據(jù)時, 又會把目標(biāo)IP從202.244.174.37替換回10.0.0.10;

在NAT路由器內(nèi)部, 有一張自動生成的, 用于地址轉(zhuǎn)換的表;

當(dāng) 10.0.0.10 第一次向 163.221.120.9 發(fā)送數(shù)據(jù)時就會生成表中的映射關(guān)系;

NAPT

NAPT（Network Address Port Translation），即網(wǎng)絡(luò)地址端口轉(zhuǎn)換，可以將多個內(nèi)部地址映射為一個合法公網(wǎng)地址。

上面的情況都是局域網(wǎng)內(nèi)只有一臺主機訪問外網(wǎng)的服務(wù)器，如果局域網(wǎng)內(nèi), 有多個主機都訪問同一個外網(wǎng)服務(wù)器, 那么對于服務(wù)器返回的數(shù)據(jù)中, 目的IP都是相同的. 那么NAT路由器如何判定將這個數(shù)據(jù)包轉(zhuǎn)發(fā)給哪個局域網(wǎng)的主機?

這時候NAPT來解決這個問題了. 使用IP+port來建立這個關(guān)聯(lián)關(guān)系

比如局域網(wǎng)中主機A和主機B都在訪問同一個服務(wù)器，并且它們訪問服務(wù)器時采用的端口號都是1025.

• 假設(shè)主機A發(fā)送的數(shù)據(jù)包先到達路由器，此時路由器將數(shù)據(jù)包的源IP地址轉(zhuǎn)化成WAN口IP地址，由于端口號1025沒有被使用，所以在轉(zhuǎn)換表中，維護了源IP地址和端口號所對應(yīng)的映射關(guān)系。
• 當(dāng)主機B發(fā)送的數(shù)據(jù)包也到達路由器后，路由器將數(shù)據(jù)包的源IP地址轉(zhuǎn)化成WAN口IP地址，由于端口號1025被主機A使用了，所以端口號使用1026，轉(zhuǎn)換表中，維護了源IP地址和端口號所對應(yīng)的映射關(guān)系。

這張轉(zhuǎn)換表每一個元素從左到右，從右到左的映射關(guān)系都是唯一的。

• 當(dāng)服務(wù)器接收到主機A報文和主機B的報文時，雖然源IP地址都是一樣的，但是轉(zhuǎn)換表中的映射的端口號不一樣，服務(wù)器就能區(qū)分哪一個報文是主機A發(fā)的，哪一個是主機B發(fā)的。
• 當(dāng)服務(wù)器要給客戶端進行響應(yīng)時，雖然再經(jīng)過路由器轉(zhuǎn)換后，IP地址都是一樣的，但是路由器可以端口號的不同，來決定這次響應(yīng)該轉(zhuǎn)發(fā)給誰。

這種關(guān)聯(lián)關(guān)系也是由NAT路由器自動維護的. 例如在TCP的情況下, 建立連接時, 就會生成這個表項; 在斷開連接后, 就會刪除這個表項

NAT 技術(shù)的缺陷

由于NAT依賴這個轉(zhuǎn)換表, 所以有諸多限制:

• 無法從NAT外部向內(nèi)部服務(wù)器建立連接（NAT穿透技術(shù)可以做到）;

• 裝換表的生成和銷毀都需要額外開銷;

• 通信過程中一旦NAT設(shè)備異常, 即使存在熱備, 所有的TCP連接也都會斷開;文章來源地址http://www.zghlxwxcb.cn/news/detail-685918.html

到了這里，關(guān)于【Linux 網(wǎng)絡(luò)】NAT技術(shù)——緩解IPv4地址不足的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！