地址轉換協議技術淺談

陳華　蔡燕

摘要：NAT network address translation 中文名為網絡地址轉換。NAT技術在技術上有其優點和缺點。我們可以同時擁有多臺計算機同時聯網，也可以隱藏內部地址，NAT從外部數據查看其NAT映射記錄，并拒絕沒有相應記錄的數據包，只是為了提高網絡安全性。另一方面，用于編輯數據包上的操作的NAT設備，降低了傳輸數據速率，且存在一定的網絡安全缺陷。

關鍵詞：NAT；端口復用；NAT缺陷

NAT是一種IETF標準，允許一個組織在因特網上出現在地址中。我們可以同時擁有多臺計算機同時聯網，也可以隱藏內部地址，NAT從外部數據查看其NAT映射記錄，并拒絕沒有相應記錄的數據包，只是為了提高網絡安全性。它還可以應用于防火墻技術，隱藏單個IP地址，而不是在外部發現，并保護內部網絡設備，同時，它也有助于網絡超越地址限制，合理安排在網絡中使用公共因特網地址和專用IP地址。

NAT的實現方式有三種，即靜態轉換Static Nat、動態轉換Dynamic Nat和端口多路復用OverLoad。端口地址轉換（PAT）意味著改變傳出數據包的源端口和轉換端口，即端口地址轉換（PAT，Port AddressTranslation）。采用端口多路復用方式。我們可以同時擁有多臺計算機同時聯網，也可以隱藏內部地址，NAT從外部數據查看其NAT映射記錄，并拒絕沒有相應記錄的數據包。同時，內部網絡的主機都可以隱藏，可以避免了一部分的網絡攻擊。因此，我們日常網絡應用中用的廣泛的方式就是端口復用模式。

我們可以同時擁有多臺計算機同時聯網，也可以隱藏內部地址，NAT從外部數據查看其NAT映射記錄，并拒絕沒有相應記錄的數據包，只是為了提高網絡安全性，保護了內部計算機。

NAT技術在技術上有其優點和缺點。我們可以同時擁有多臺計算機同時聯網，也可以隱藏內部地址，NAT從外部數據查看其NAT映射記錄，并拒絕沒有相應記錄的數據包，只是為了提高網絡安全性。另一方面，用于編輯數據包上的操作的NAT設備，降低了傳輸數據速率。由于技術的復雜性，調試變得困難，我們在內部發布了一個服務器，還得考慮這個端口映射等問題，這也正是，網絡盛行的今天，各種應用不斷，它的協議應用也不同，有些無法通過NAT，這是最麻煩的事情。

首先，我們可以理解，設計私有Web地址的原因是為了節省IP地址，并允許IP地址在局域網中進行多路復用。私有網絡地址不能出現在公用網絡上，這是因為所有ISP路由器都必須具有過濾私有網絡地址的功能。然后，為了使私有網絡地址發揮更強大的作用，它需要與NAT技術合作。真正能緩解IPV4地址危機的技術是PAT端口多路復用（Portaddress Translation），通常這種技術還要和DHCP配合取得更好的效果。事實上，網絡主機的連接數不能只有一個，因此IP地址可以在上網時提供數千臺主機。

正如我們前面看到的，NAT在使用NAT時發揮了強大的作用，因特網上的主機表面似乎是直接跟使用NAT技術轉換后的設備進行聯系，而不是與轉換前的真實設備進行通信。數據包發送到經過NAT設備轉換后的IP地址進行通信，NAT設備將目的地包頭地址從其自己的對外地址轉換到轉換前的真正目標主機的IP地址。因此，在上述分析的基礎上，我們將三種技術相結合，即專用網絡地址、DHCP、NAT（PAT），極大地緩解了IP地址的不足，我們所領導的IPv4仍在苦苦支撐著，所以IPv6現在并不是那么“必須”，因此，可以連接到數十萬甚至數百萬臺灣臺灣的私有地址主機，一個全球唯一的IP地址背后的理論。然而，NAT實際上破壞了許多設計原則，并且存在缺陷。

1 NAT打破了Internet端到端的連接模型

也就是說，任何主機都可以在任何時候向任何主機發送數據包。設想一個NAT技術的主機，當NAT盒（實現NAT的設備可以使路由器、防火墻等）崩潰時，無法與因特網進行正確的通信。另一種理解是，主要采用NAT側（一方）將數據發送給另一方（B方），另一方可以與使用NAT的一方通信。因為只有一個傳入的數據包告訴B方通知B方在一方和NAT（即轉換地址）之間的映射，B方根本不能將消息發送給該方。最后的問題是，如果外部的主機想使用內網的服務器，必須進行特殊的配置或者采用NAT穿越（NATtraversal）技術。

2 NAT將Internet從無連接網絡轉變為面向連接的網絡

更改此表單后，NAT框必須是每個連接維護后必需的信息（映射），面向網絡特性的面向連接的網絡，而不是無連接的網絡特性，維護連接狀態 。面向連接的網絡非常脆弱（尤其是保存連接上下文信息的NAT盒）。假設通信層的兩個方面在傳輸層使用TCP：如果沒有NAT，路由器崩潰只會導致未經驗證的數據包的重傳。但如果NAT盒子崩潰，那么所有的TCP連接都被摧毀。

3 NAT違反了IP的一個基本的理念與結構模型

IP的結構模型聲明IP地址唯一標識了世界上的一臺機器。但有了NAT之后，成千上萬的機器可能會使用同一個IP地址。不過，這有時候也是一種優勢，比如用在服務器的負載均衡上。

盡管NAT技術可以給我們帶來各種好處，但是NAT技術在技術上有其優點和缺點。我們可以同時擁有多臺計算機同時聯網，也可以隱藏內部地址，NAT從外部數據查看其NAT映射記錄，并拒絕沒有相應記錄的數據包，只是為了提高網絡安全性。另一方面，用于編輯數據包上的操作的NAT設備，降低了傳輸數據速率，且存在一定的網絡安全缺陷。所以就看我們是在什么情況下如何看待NAT技術了。

參考文獻：

[1]劉向東，李志潔.網絡地址轉換原理實驗的研究[J].實驗室研究與探索，2012，31（1）：5862.

[2]唐海濤.ip靜態路由實驗的研究.實驗室研究與探索，2010.

作者簡介：陳華，男，江西贛州人，講師，研究方向：計算機；蔡燕，女，江西贛州人，講師，研究方向：計算機通信，地理信息。