網絡地址轉換 (NAT)：簡介

已發表: 2022-08-24

網絡地址轉換 (NAT) 是一種強大的方法，個人和組織可以使用它來建立安全、經濟、簡單的 Internet 連接。

NAT 不僅提供安全性，還提供與 Web 通信的靈活性、可擴展性和速度。

使用 NAT 還可以確保您為保護公共 IP 地址做出貢獻。

但究竟什麼是 NAT，您為什麼要費心去理解或使用它呢？

在這篇文章中，我將回答這個問題。

所以，讓我們從定義 NAT 開始。

什麼是網絡地址轉換 (NAT)？

網絡地址轉換 (NAT) 通過在傳輸過程中更改網絡地址數據將一系列 IP 地址映射到另一個地址。

換言之，NAT 使唯一的（互聯網協議）IP 地址能夠代表一台或一組計算機。這意味著多個設備在網絡中公開共享一個 IP 地址，即使它們在同一網絡中具有私有 IP 地址。

最初，此方法用於消除在上游 ISP（Internet 服務提供商）更改或網絡遷移的情況下單獨為每個主機分配新 IP 地址的需要。儘管如此，網絡的 IP 地址仍然保持不變。

有趣的是，一個 NAT 網關可以提供一個單一的、可路由的 IP 地址，可以很容易地用於整個私有網絡。由於 NAT 會在傳輸過程中更改 IP 地址數據，因此在不同的尋址情況下會有不同的 NAT 實現不同的行為，並對網絡流量產生其他影響。

NAT 做什麼？

在 NAT 中，諸如 NAT 防火牆或路由器之類的網絡設備將公共 IP 地址分配給專用網絡中的一台計算機或一組計算機。這樣，NAT 允許一個設備在公共、私有和本地網絡之間進行調解。

NAT 可以通過允許私有 IP 使用未註冊的地址上網來保存 IP 地址。在連接的網絡之間轉發數據包之前，NAT 將本地、私有網絡地址轉換為唯一的、全局的和合法的地址。

使用 NAT 配置，外部世界只能看到一個 IP 地址，儘管它代表整個網絡。因此，它可以隱藏完整的內部網絡並提供更高的安全性和隱私性。 NAT 實施最適合遠程訪問環境。

NAT 是如何工作的？

網絡地址轉換允許像 NAT 路由器或防火牆這樣的設備充當內部網絡（本地網絡）和外部網絡（互聯網）之間的中介。這允許整個設備組在網絡外執行某些操作時反映相同的 IP 地址。

NAT 就像組織中的接待員一樣，根據特定指令決定發送、等待或阻止哪些訪客或呼叫。 NAT 的工作方式類似。所有請求都來自公共端口和 IP 地址。在這裡，NAT 指令決定了請求應該去哪裡，同時隱藏了目的地的私有 IP 地址。

NAT 在兩個不同的本地網絡（外部網絡和內部網絡）之間選擇網關。內部的所有系統都將具有無法路由到外部網絡的 IP 地址。此外，一些外部有效 IP 將分配給網關，從而使出站流量看起來來自有效的外部 IP 地址。

接下來，它使用入站流量並將其傳輸到正確的內部系統。這樣，就建立了安全性。由於傳入和傳出請求需要跨越轉換過程，因此它提供了一種驗證傳入流量並將其與傳出流匹配的好方法。

NAT 進程示例

這是 NAT 在現實世界中如何工作的示例。

用戶將他們的設備連接到他們的家庭 Wi-Fi 網絡。家庭路由器將為設備分配一個專用 IP 地址，該地址只能在該網絡中使用。

因此，當用戶嘗試加載給定網頁時，該地址將通過其路由器請求目標網頁。現在，NAT 路由器會將請求的源地址從其設備的私有 IP 地址更改為其網絡的公共 IP。 NAT 表將存儲此轉換，網關將在其中查找以確定數據包是否滿足轉換條件。

此外，用戶嘗試訪問的服務器會將請求的數據包返回到其網絡的公共地址。接下來，路由器會將目標地址修改為設備的私有IP，同時將數據包路由到用戶的設備。

NAT 的類型

NAT 具有不同的類型，您可以將其用於各種目的。

#1 。 SNAT

靜態 NAT (SNAT) 是一種將私有 IP 地址轉換為公共 IP 地址的 NAT。它在執行轉換時始終使用相同的公共 IP 地址。

SNAT 可以藉助一對一的 NAT 映射未註冊的 IP 地址以匹配已註冊的 IP 地址。這意味著該網絡上的所有設備都將具有相同的公共地址。在這種情況下，網絡地址中只有兩件事發生了變化——標頭和 IP 地址。

這對於用戶需要從外部網絡訪問的設備很有用。它還用於互連兩個具有不兼容地址的不同 IP 網絡時。此外，它還用於網絡託管。通常，個人和較小的組織使用具有較少設備的 SNAT 以保持成本最低。

#2 。脫氧核糖核酸

動態 NAT (DNAT) 是一種將私有 IP 地址映射到公共 IP 地址池的 NAT。與 SNAT 不同的是，它每次執行轉換時不使用相同的 IP 地址，而是使用不同的 IP 地址，但它使用像 SNT 一樣的一對一連接。

在這種情況下，DNAT 防火牆或路由器有一個可用的公共註冊 IP 池。因此，當 DNAT 將網絡地址從私有轉換為公共時，它允許路由器從該池中選擇任何可用的公共 IP 地址。接下來，它開始將未註冊的 IP 地址映射到已註冊的 IP 地址。

因此，DNAT 使設備能夠為每次翻譯使用不同的 IP。這意味著您無法知道私有地址已映射到哪個全局 IP 地址。這是一種有效的解決方案，因為您可以將更多設備連接到網絡。

但是，這可能會很昂貴，因為您需要投資公共 IP 池。另外，可以傳輸的數據包的數量是有限的。您只能發送和接收與池中可用公共 IP 地址總數相等的數據包。

它適用於具有多個內部網絡的大型組織。如果您有固定數量的用戶想要訪問 Internet，這也很棒。

#3 。拍

端口地址轉換 (PAT)，也稱為 NAT 過載，是每個內部設備使用公共公共 IP 地址的地方。但是，每個私有 IP 地址都將分配一個不同的端口。

在 PAT 中，不同的端口用於將不同的本地、未註冊和私有 IP 地址映射到僅一個已註冊 IP 地址。它還區分了哪些網絡流量對應於哪個 IP 地址。

PAT 是一種 NAT，其中數據包在從專用網絡傳輸到公共網絡時將具有更改的源地址。此外，當它們從公共網絡恢復到專用網絡時，它們將具有更改的目標地址。

此外，數據包之間將更改端口號以確保轉換清晰。更改後的 IP 地址和端口號的組合使用已註冊的私有 IP 地址進行映射。

許多人認為 PAT 比 NAT 更具成本效益。原因是許多用戶只需使用一個公共 IP 地址即可連接到網絡。因此，無論您是大型、小型還是中型組織。你可以使用它。

除了 SNAT、DNAT 和 PAT，您還可以看到 RNAT 和重疊 NAT。

RNAT允許您使用公共互聯網或互聯網連接到您的網絡。
當使用 RFC 1918 IP 的兩個組織的網絡合併時，會發生重疊 NAT 。當註冊的 IP 分配給多個設備或在多個內部網絡中使用時，也會發生這種情況。在這裡，重疊 NAT 連接網絡而無需重新尋址每個設備。

為什麼 NAT 很重要？

設備或網絡系統需要一個 IP 地址，即一組以句點分隔的唯一數字，以建立與 Web 的通信。此編號用於識別和定位網絡設備，並使用戶能夠與 Web 進行通信。

IP有兩種類型——IPv4和IPv6。在互聯網誕生之初，僅創建了大約 43 億個 IPv4 地址。然而，並不是每個都可以分配給設備來建立通信。一些用於測試、軍事和廣播，而剩餘的 3B IP 可用於通信。

2019 年，RIPE NCC 分配了可用池中剩餘的最終 IPv4 地址，IPv4 用完。引入了 IPv6 尋址來解決這個問題。 IPv6 重新創建 IP 尋址並提供更多選項來分配 g 地址。然而，改變或實施網絡系統需要多年時間。

輸入 NAT。思科同時引入了 NAT，現已廣泛部署。

NAT 已成為節省全球地址空間的一種有價值且流行的方式，尤其是在 IPv4 地址用盡時。 NAT 還用於隱藏專用網絡 IP 地址範圍，以提高成本效益和安全性。

NAT 的優勢

IP 地址保護

NAT 有助於保護合法註冊的 IP 地址並防止其耗盡。鑑於全球互聯網用戶數量不斷增長，這是一項使網絡成為每個人都可以訪問的空間的偉大舉措。

安全

使用 NAT，您可以以增強的安全性和隱私性訪問網絡，因為它可以從公共網絡中隱藏您設備的 IP，即使在數據包正在傳輸時也是如此。 NAT 速率限制還允許您限制路由器上同時發生的 NAT 操作的最大數量。

這樣，您可以更好地控制 NAT 地址的使用，並可以最大限度地減少病毒、蠕蟲、拒絕服務 (DoS) 攻擊等的影響。實施動態 NAT (DNAT) 將自動在 Internet 和內部網絡之間創建防火牆。此外，一些 NAT 路由器可以提供流量過濾和日誌記錄等安全功能。

多個連接

建立多個互聯網連接有助於保持網絡可靠性並減少連接失敗期間關閉的可能性。它還通過減少使用單個連接的設備數量來促進負載平衡。

此外，多宿主網絡通常連接到為組織分配單個或多個 IP 地址的多個 ISP。此外，路由器可以使用 NAT 來路由具有不同 NAT 協議的網絡。

此外，多宿主網絡通過使路由器能夠利用 TCP 或 IP 協議的一部分，即邊界網關協議 (BGP) 進行通信。同樣，子域站點在內部 BGP (IBGP) 的幫助下共享，而路由器則使用外部 BGP (EBGP) 進行交互。如果連接失敗，多宿主將通過另一個路由器重新路由數據。

速度

NAT 對源計算機和目標計算機都比代理服務器更透明。這允許快速直接交易。代理服務器通常也工作在第四層或 OSI 模型的傳輸層，甚至更高。這使得它們比位於第三層或網絡層的 NAT 慢。

可擴展性

當您的需求增長時，您的用戶和設備將需要更多 IP。因此，您可以利用 NAT 而不是向 IANA 請求更多 IP。當您將 NAT 與動態主機配置協議 (DHCP) 結合使用時，擴展將變得更加容易。

原因是 NAT 和 DHCP 可以很好地協同工作，根據您的要求從可用列表中為子域分配未註冊的 IP。這樣，您可以擴展可用的 IP 地址範圍，並且 DHCP 可以快速配置並為更多網絡計算機騰出空間。

靈活性和簡單性

NAT 在部署和建立連接方面提供了靈活性。您可以將其部署在無線公共 LAN 中。有時，通過靜態 NAT (SNAT) 和入站映射，您可以啟用外部設備在子域上建立設備連接。

此外，NAT 降低了複雜性並支持簡單的 Internet 連接，因為它不需要您在更改或合併網絡後重新編號 IP 地址。 NAT 還允許您在內部網絡中構建一個虛擬主機來協調 TCP 負載平衡。

NAT 的局限性

NAT 的一些限制是：

消耗資源：NAT 會消耗大量的處理器空間和內存資源。這是因為它為您的傳入和傳出 IPv4 數據報翻譯所有 IPv4 地址，並將所有翻譯詳細信息保存在內存中。
功能：啟用 NAT 可能會導致某些技術和應用程序的功能減少。
隧道複雜化：NAT 會使隧道協議複雜化。為此，您可以使用 IPsec 進行安全的網絡地址轉換。
層問題：當路由器作為 NAT 設備工作時，它可以乾預第 4 層或傳輸層作為端口號，因為它是用於第 3 層或網絡層的。
延遲：翻譯過程中可能會發生路徑延遲。

NAT 中的一些常用術語

源地址：它是啟動主機的 IP 地址。
源端口：它是發起主機分配的 TCP/UDP 端口號。
目的地址：接收者的IP地址。
目標端口：它是發起主機請求接收方打開的 TCP 或 UDP 端口。

內部本地地址：它是分配給本地（內部）網絡上的主機的私有 IP 地址。服務提供商不會分配它。它是內部網絡的內部主機。
內部全局地址：表示一個或多個本地 IP 的 IP 地址。它是外部/外部網絡的內部主機。
外部本地地址：轉換結束後，目標主機的真實 IP 地址位於本地網絡中。
外部全局地址：轉換前外部目標主機的 IP 地址。它是外部/外部網絡的外部主機。
子域：這是一個未註冊的私有 IP 地址，包括：

NAT 路由器部署的外部本地地址，以及
在本地地址內部，局域網使用

NAT 表：NAT 重新分配端口號和 IP 地址，並使用 NAT 轉換錶跟踪它們。

假設路由器從分配了公共 IP 地址的本地設備接收到數據包。路由器現在將更改源設備的 IP 地址，使其能夠利用其 IP 地址。接下來，它更改源的端口號以確保它具有有關必須將接收到的數據包傳遞到何處的信息。 IP 地址的重新分配記錄到 NAT 轉換錶中。

結論

隨著互聯網用戶的不斷增長和安全問題在全球範圍內的蔓延，需要一種更安全、更高效的連接方法。 NAT 旨在做到這一點。它將有助於節省公共 IP 地址，同時為您提供連接到 Internet 時的安全性、速度、靈活性和可擴展性的好處。