我們的計(jì)算機(jī)要想訪問互聯(lián)網(wǎng)上的信息,，就需要一個(gè)地址,，而且這個(gè)地址是大家（其他主機(jī)）所認(rèn)可的，是公共的,，這個(gè)地址也叫做公有 IP 地址,。

與之相對(duì)的，除了公有 IP 地址外,，還有私有 IP 地址,，私有 IP 地址就是我們?cè)谒接芯W(wǎng)絡(luò)中使用的地址,，比如局域網(wǎng)或者公司內(nèi)部的網(wǎng)絡(luò)。不知道你沒有觀察過自己家路由器所分配的 IP 地址,，當(dāng)你登上路由器的網(wǎng)關(guān) 192.168.1.1 時(shí),，在分配的網(wǎng)絡(luò)下面一般會(huì)看到一些 IP 地址，都是 192.168.1.x ,，這種地址就是私有 IP 地址,。

所以現(xiàn)在就會(huì)產(chǎn)生一個(gè)問題，比如 cxuan 的私有 IP 地址是 192.168.1.3 ,，而隔壁 cuanxi 哥的 IP 地址也是 192.168.1.3 ,，那么他倆同時(shí)在網(wǎng)上沖浪的時(shí)候，不會(huì)產(chǎn)生 IP 沖突嗎,？或者是把 cxuan 瀏覽的內(nèi)容告訴給了 cxuanxi 哥,？

這種問題遠(yuǎn)不用擔(dān)心，因?yàn)槲覀冇幸粋€(gè)很靠譜的兄弟 --- NAT(Network Address Translator),，當(dāng)我們的計(jì)算機(jī)連接到 Internet 的同時(shí),，NAT 就會(huì)把我們的私有地址直接轉(zhuǎn)換成互聯(lián)網(wǎng)上的公有 IP 地址，那么下面我們就來了解一下這個(gè)協(xié)議和它的工作機(jī)制,。

我們現(xiàn)在就可以給 NAT 協(xié)議下一個(gè)定義,，即 NAT 協(xié)議是將在本地網(wǎng)絡(luò)中使用的私有地址，在連接互聯(lián)網(wǎng)的同時(shí)轉(zhuǎn)換成為公共 IP 地址的技術(shù),。實(shí)際上,，轉(zhuǎn)換的不僅僅只有 IP 地址，還有 TCP ,、UDP 端口號(hào),，不過這種協(xié)議叫做 NAPT 協(xié)議。通常情況下,，我們所說的 NAT 其實(shí)指的就是 NAPT,。

NAT 的工作機(jī)制

下面我們來聊一下 NAT 具體的工作機(jī)制，如下圖所示,。

私有網(wǎng)絡(luò)中的客戶端 A （IP 192.168.1.6）想向公共網(wǎng)絡(luò)中的服務(wù)器（IP 122.122.122.122）發(fā)送數(shù)據(jù)包,，當(dāng)這個(gè)數(shù)據(jù)包經(jīng)過 NAT 路由器的時(shí)候，就會(huì)把它的私有 IP 192.168.1.6 轉(zhuǎn)換為公有的 IP 12.34.56.78,，然后這個(gè)數(shù)據(jù)包的源地址就變?yōu)?12.34.56.78 ,，它經(jīng)由 Internet 發(fā)送給 IP 為 122.122.122.122 的目標(biāo)服務(wù)器。

NAT 路由器其實(shí)就是相當(dāng)于在路由器上安裝的 NAT 軟件,，裝有 NAT 軟件的路由器就叫做 NAT 路由器,。

NAT 路由器不僅可以把私有 IP 轉(zhuǎn)換為公有 IP ，還可以把公有 IP 轉(zhuǎn)換為私有 IP ,，這種轉(zhuǎn)換是雙向的,。

拿上圖來說,，意思就是服務(wù)器 122.122.122.122 發(fā)送一個(gè)數(shù)據(jù)包，這個(gè)數(shù)據(jù)包通過 Internet 發(fā)送給 NAT 路由器,，NAT 路由器把它轉(zhuǎn)換為目標(biāo)地址是 192.168.1.6 的數(shù)據(jù)包,，然后再發(fā)送給客戶端 A。

這里有個(gè)問題,，服務(wù)器是發(fā)送的數(shù)據(jù)包,，是如何把目標(biāo)地址的公有 IP 地址轉(zhuǎn)換為私有 IP 地址的呢？

我們上面在引用中說到,，NAT 路由器其實(shí)就是在路由器上裝的 NAT 軟件,，所以 NAT 路由器它本身就是一臺(tái)路由器設(shè)備，而路由器是有路由表的,，路由表中記錄一些源地址和目標(biāo)地址項(xiàng),，數(shù)據(jù)包根據(jù)這些項(xiàng)來進(jìn)行路由轉(zhuǎn)發(fā)。

（我們可以使用 netstat -nr 來顯示路由表的信息）

所以,，NAT 路由器內(nèi)部有一張用來記錄轉(zhuǎn)換地址的表,，也就是一件可以解釋的事情了，所以 NAT 路由器在進(jìn)行地址轉(zhuǎn)換時(shí),，會(huì)按照其內(nèi)部的映射關(guān)系來進(jìn)行處理,。

上面只是一臺(tái)客戶端進(jìn)行 NAT 轉(zhuǎn)換的情形，但是現(xiàn)實(shí)生活中我們私有網(wǎng)絡(luò)中不可能只有一臺(tái)客戶端進(jìn)行通信,，所以當(dāng)私有網(wǎng)絡(luò)中所有的客戶端都需要上網(wǎng),，進(jìn)行 NAT 轉(zhuǎn)換的時(shí)候，是不是 NAT 路由器會(huì)為每一個(gè)客戶端生成一個(gè) IP 地址呢,？如果全世界范圍內(nèi)的私有網(wǎng)絡(luò)都這么轉(zhuǎn)換的話,，那么公有 IP 地址的數(shù)量勢(shì)必會(huì)承受非常大的壓力。

針對(duì)這種情況,，提出了使用 IP 地址和端口號(hào)一起轉(zhuǎn)換的方式（NAPT）,，如下圖所示。

這個(gè)大致過程和上面 NAT 的轉(zhuǎn)換模式相同,，不一樣的是,，使用 NAPT 會(huì)把客戶端 A 和客戶端 B 的數(shù)據(jù)包源地址 192.168.1.6:80、192.168.1.7:80 轉(zhuǎn)換為 12.34.56.78:80 和 12.34.56.78:90 ,，然后再發(fā)送給目標(biāo)服務(wù)器。在轉(zhuǎn)換的過程中,，NAT 路由器會(huì)生成轉(zhuǎn)換表,，通過轉(zhuǎn)換表就可以正確地轉(zhuǎn)換地址和端口的組合，使客戶端 A 和客戶端 B 與服務(wù)器之間進(jìn)行通信,。

轉(zhuǎn)換表是在 NAT 路由器上自動(dòng)生成的,，當(dāng) TCP 開始建立連接的時(shí)候,，就會(huì)生成對(duì)應(yīng)的映射，斷開連接時(shí),，會(huì)刪除對(duì)應(yīng)的映射,。

什么是 NAT - PT

現(xiàn)在互聯(lián)網(wǎng)情況是一部分 IPv4 的主機(jī)和 IPv6 的主機(jī)共存的情況，IPv6 作為 IPv4 的替代者,，已經(jīng)越來越多的主機(jī)選擇升級(jí)到了 IPv6 協(xié)議,，但是羅馬不是一日建成的，也不可能全世界范圍的計(jì)算機(jī)都在某幾天停機(jī)進(jìn)行升級(jí),，這是不現(xiàn)實(shí)的,，而且很多服務(wù)是基于 IPv4 協(xié)議建立的，如果升級(jí)到 IPv6 不兼容的話,，使用 IPv6 的優(yōu)勢(shì)也就無從談起,，所以為了解決這個(gè)問題，就產(chǎn)生了 NAT-PT 規(guī)范,。

NAT-PT 是一種將 IPv6 首部轉(zhuǎn)換為 IPv4 首部的一種技術(shù),，通過 NAT-PT ，IPv6 的主機(jī)能夠和 IPv4 主機(jī)進(jìn)行通信,，同時(shí)某些 IPv4 的服務(wù)也能夠讓 IPv6 的主機(jī)使用,。

注意這里的 IPv6 只能轉(zhuǎn)換為 IPv4 ，不能反向轉(zhuǎn)換,，那么要實(shí)現(xiàn)雙向通信,，該如何做呢？

支持 NAT-PT 的路由器要 DNS-ALG 的支持來實(shí)現(xiàn) IPv4 向 IPv6 的轉(zhuǎn)換,。

NAT-PT 機(jī)制定義了以下 3 種不同類型的操作：

靜態(tài) NAT - PT

靜態(tài) NAT - PT 模式主要是一對(duì)一映射的,。IPv6 網(wǎng)絡(luò)內(nèi)的節(jié)點(diǎn)要訪問的 IPv4 網(wǎng)絡(luò)內(nèi)都必須在 NAT-PT 設(shè)備中設(shè)置。每一個(gè)目的 IPv4 地址在 NAT-PT 設(shè)備中被映射為一個(gè)具有預(yù)定義 NAT-PT 前綴的 IPv6 地址,。

動(dòng)態(tài) NAT - PT

動(dòng)態(tài)模式也提供了一對(duì)一映射,，只不過這種動(dòng)態(tài)模式是有一個(gè) IPv4 地址池的，池中的 IPv4 地址數(shù)量決定了并發(fā)IPv6 到 IPv4 轉(zhuǎn)換的最大數(shù)目,。

NAPT - PT

網(wǎng)絡(luò)地址端口轉(zhuǎn)換--協(xié)議轉(zhuǎn)換模式提供多個(gè)有 NAT-PT 前綴的 IPv6 地址和一個(gè)源 IPv4 地址間的多對(duì)一動(dòng)態(tài)映射,。

NAT 的潛在問題

聊到現(xiàn)在，我們可以推斷出,，NAT（NAPT）其實(shí)最關(guān)鍵的也是路由器中的轉(zhuǎn)換表,，過度依賴轉(zhuǎn)換表會(huì)造成下面這些問題

NAT 無法從外部向內(nèi)部服務(wù)器建立連接。

生成轉(zhuǎn)換表存在一定的開銷,。

NAT 路由一旦遇到異常情況需要重啟,，所有的 TCP 連接都會(huì)丟失。

即使做了災(zāi)備，TCP 連接還是會(huì)斷開,。

那么針對(duì)這些問題,，該如何解決呢？

第一種是直接升級(jí)到 IPv6,，因?yàn)樵?IPv6 的環(huán)境中可用的 IP 地址的數(shù)量有了極大的擴(kuò)展,，現(xiàn)在看來，怎么造都沒事兒,。還有一種解決辦法是一種叫做 NAT 穿越的技術(shù),。

NAT 的應(yīng)用

NAT 主要可以實(shí)現(xiàn)以下幾個(gè)功能：數(shù)據(jù)包偽裝、負(fù)載均衡,、端口轉(zhuǎn)發(fā)和透明代理,。

數(shù)據(jù)偽裝：可以將內(nèi)網(wǎng)數(shù)據(jù)包中的地址信息更改成統(tǒng)一的對(duì)外地址信息，不讓內(nèi)網(wǎng)主機(jī)直接暴露在因特網(wǎng)上,，保證內(nèi)網(wǎng)主機(jī)的安全,。同時(shí)，該功能也常用來實(shí)現(xiàn)共享上網(wǎng),。例如,，內(nèi)網(wǎng)主機(jī)訪問外網(wǎng)時(shí)，為了隱藏內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu),，使用全局地址替換私有地址,。

負(fù)載均衡：目的地址轉(zhuǎn)換 NAT 可以重定向一些服務(wù)器的連接到其他隨機(jī)選定的服務(wù)器。

端口轉(zhuǎn)發(fā)：當(dāng)內(nèi)網(wǎng)主機(jī)對(duì)外提供服務(wù)時(shí),，由于使用的是內(nèi)部私有 IP 地址,，外網(wǎng)無法直接訪問。因此,，需要在網(wǎng)關(guān)上進(jìn)行端口轉(zhuǎn)發(fā),，將特定服務(wù)的數(shù)據(jù)包轉(zhuǎn)發(fā)給內(nèi)網(wǎng)主機(jī)。

透明代理：例如自己架設(shè)的服務(wù)器空間不足,，需要將某些鏈接指向存在另外一臺(tái)服務(wù)器的空間,；或者某臺(tái)計(jì)算機(jī)上沒有安裝 IIS 服務(wù)，但是卻想讓網(wǎng)友訪問該臺(tái)計(jì)算機(jī)上的內(nèi)容,，這個(gè)時(shí)候利用 IIS 的 Web 站點(diǎn)重定向即可輕松的幫助我們搞定,。

使用 NAT 的意義

NAT（NAPT）實(shí)際上是為了解決 IPv4 枯竭而開發(fā)的技術(shù)，不過,，現(xiàn)在隨著 IPv6 的開發(fā),，在 IPv6 中為了提高網(wǎng)絡(luò)安全也在使用 NAT，在 IPv4 和 IPv6 的通信中經(jīng)常使用 NAT-PT,。然而在安全機(jī)制上 IPv4 也潛在著威脅,，在配置和管理上也是一個(gè)挑戰(zhàn)。如果要從根本上解決 IP 地址資源的問題,，IPv6 才是最根本之路,。