NAT讲解work Address Translation，网络地址转换，是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。

在实际应用中，NAT 主要用于实现私有网络访问公共网络的功能。

这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用IP地址空间的枯竭。

2.NAT功能：NAT不仅能解决IP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

1.宽带分享：这是 NAT 主机的最大功能。

2.安全防护：NAT 之内的 PC 联机到 Internet 上面时，它所显示的 IP 是NAT 主机的公共 IP，所以 Client 端的 PC 当然就具有一定程度的安全了，外界在进行 portscan（端口扫描）的时候，就侦测不到源Client 端的 PC 。

3.NAT实现方式：NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。

静态转换是指将内部网络的私有IP地址永久固定得转换为公有IP地址，借助于静态转换，可以实现外部网络对内部网络中某些特定设备的访问。

多用于服务器动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。

即只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。

动态转换可以使用多个合法外部地址集。

当ISP提供的合法IP地址略少于网络内部的计算机数量时。

可以采用动态转换的方式。

端口多路复用（Port Address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，Port Address Translation).采用端口多路复用方式。

内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。

同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。

因此，目前网络中应用最多的就是端口多路复用方式。

4.现在IP地址的适用情况，私有 IP 地址是指内部网络或主机的IP 地址，公有IP 地址是指在因特网上全球唯一的IP 地址。

RFC 1918 为私有网络预留出了三个IP 地址块，如下：A 类：10.0.0.0～10.255.255.255B 类：172.16.0.0～172.31.255.255C 类：192.168.0.0～192.168.255.255上述三个范围内的地址不会在因特网上被分配，因此可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。

5.虽然NAT可以借助于某些代理服务器来实现，但考虑到运算成本和网络性能，很多时候都是在路由器上来实现的。

6.NAPT（Network Address Port Translation），即网络端口地址转换，可将多个内部地址映射为一个合法公网地址，但以不同的协议端口号与不同的内部地址相对应，也就是<内部地址+内部端口>与<外部地址+外部端口>之间的转换。

NAPT普遍用于接入设备中，它可以将中小型的网络隐藏在一个合法的IP地址后面。

NAPT也被称为“多对一”的NAT，或者叫PAT（Port Address Translations，端口地址转换）、地址超载（address overloading）。

7.NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。

NAPT算得上是一种较流行的NAT变体，通过转换TCP或UDP协议端口号以及地址来提供并发性。

除了一对源和目的IP地址以外，这个表还包括一对源和目的协议端口号，以及NAT盒使用的一个协议端口号。

NAT-PT(Network Address Translation-Protocol)附带协议转换器的网络地址转换器。

是一种纯IPv6节点和IPv4节点间的互通方式，所有包括地址、协议在内的转换工作都由网络设备来完成。

8.PAT的主要优势在于，能够使用一个全球有效IP地址获得通用性。

主要缺点在于其通信仅限于TCP或UDP。

当所有通信都采用TCP或UDP，PAT允许一台内部计算机访问多台外部计算机，并允许多台内部主机访问同一台外部计算机，相互之间不会发生冲突。

9.NAT工作原理借助于NAT，私有（保留）地址的"内部"网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求。

NAT将自动修改IP报文的源IP地址和目的IP地址，IP地址校验则在NAT处理过程中自动完成。

有些应用程序将源IP地址嵌入到IP报文的数据部分中，所以还需要同时对报文的数据部分进行修改，以匹配IP头中已经修改过的源IP地址。

否则，在报文数据部分嵌入IP地址的应用程序就不能正常工作。

10.Nat-工作流程①上图这个 client（终端）的 gateway （网关）设定为 NAT 主机，所以当要连上 Internet 的时候，该封包就会被送到 NAT 主机，这个时候的封包 Header 之 source IP（源IP）为 192.168.1.100 ；②透过这个 NAT 主机，它会将 client 的对外联机封包的 source IP( 192.168.1.100 ) 伪装成 ppp0 ( 假设为拨接情况 )这个接口所具有的公共 IP ，因为是公共 IP 了，所以这个封包就可以连上 Internet 了，同时NAT 主机并且会记忆这个联机的封包是由哪一个( 192.168.1.100 ) client 端传送来的；③由 Internet 传送回来的封包，当然由 NAT主机来接收了，这个时候， NAT主机会去查询原本记录的路由信息，并将目标 IP 由 ppp0 上面的公共 IP 改回原来的 192.168.1.100 ；④最后则由 NAT 主机将该封包传送给原先发送封包的 Client 。

11.常见问题1. NAT的作用是什么？答：NAT的作用是把内网的私有地址，转化成外网的公有地址，解决IP地址数量紧缺问题。

使得内部网络上的（被设置为私有IP地址的）主机可以访问Internet。

NAT还可以防止外部主机攻击内部主机（或服务器）2. NAT分为哪几种？答：NAT可以分为Basic NAT和PAT：- Basic NAT只转化IP，不映射端口。

- PAT除了转化IP，还做端口映射，可以用于多个内部地址映射到少量（甚至一个）外部地址。

NAT还可以分为静态NAT和动态NAT：- 静态NAT，将内部网络中的每个主机都永久映射成外部网络中的某个合法的地址，多用于服务器。

- 动态NAT，则是在外部网络中定义了一个或多个合法地址，采用动态分配的方法映射到内部网络。

12.怎样映射？如何将大量的内部地址，映射成少量的外部地址？对于第四层是TCP或UDP的数据包，NAT通过更改源端口号，来实现多对少的映射。

例如：内部IP1~IP4，4个地址映射成外部一个地址IP5。

（IP1，Port1）映射成（IP5，Port1）（IP2，Port1）映射成（IP5，Port2）（IP3，Port2）映射成（IP5，Port3）（IP4，Port2）映射成（IP5，Port4）对于ICMP包，NAT通过更改ICMP的ID，来实现多对少的映射。

13.NAT有什么弊端？在一个具有NAT功能的路由器下的主机并没有建立真正的端对端连接，并且不能参与一些因特网协议。

一些需要初始化从外部网络建立的TCP连接和使用无状态协议（比如UDP）的服务将被中断。

除非NAT路由器作一些具体的努力，否则送来的数据包将不能到达正确的目的地址。

（一些协议有时可以在应用层网关的辅助下，在参与NAT的主机之间容纳一个NAT的实例，比如FTP。

）NAT也会使安全协议变的复杂。

14.NAT局限性（1）NAT违反了IP地址结构模型的设计原则。

IP地址结构模型的基础是每个IP地址均标识了一个网络的连接。

Internet的软件设计就是建立在这个前提之上，而NAT使得有很多主机可能在使用相同的地址，如10.0.0.1。

（2）NAT使得IP协议从面向无连接变成面向连接。

NAT必须维护专用IP地址与公用IP地址以及端口号的映射关系。

在TCP/IP协议体系中，如果一个路由器出现故障，不会影响到TCP协议的执行。

因为只要几秒收不到应答，发送进程就会进入超时重传处理。

而当存在NAT时，最初设计的TCP/IP协议过程将发生变化，Internet可能变得非常脆弱。

（3）NAT违反了基本的网络分层结构模型的设计原则。

因为在传统的网络分层结构模型中，第N层是不能修改第N+1层的报头内容的。

NAT破坏了这种各层独立的原则。

（4）有些应用是将IP地址插入到正文的内容中，例如标准的FTP协议与IP Phone协议H.323。

如果NAT与这一类协议一起工作，那么NAT协议一定要做适当地修正。

同时，网络的传输层也可能使用TCP与UDP协议之外的其他协议，那么NAT协议必须知道并且做相应的修改。

由于NAT的存在，使得P2P 应用实现出现困难，因为P2P的文件共享与语音共享都是建立在IP协议的基础上的。

（5）NAT同时存在对高层协议和安全性的影响问题。

NAT配置1.内部本地地址:私有IP，不能直接用于互连网。

内部全局地址：用来代替内部本地IP地址的，对外或在互联网上是合法的的IP地址。

复用内部的全局地址：将一个内部全局地址用于同时代表多个内部局部地址。

主要用IP地址和端口号的组合来唯一区分各个内部主机。

目前在公司内普遍应用。

2.静态nat的语法第一步，设置外部端口。

interface serial 0ip address 61.159.62.129 255.255.255.248ip nat outside第二步，设置内部端口。

interface ethernet 0ip address 192.168.0.1 255.255.255.0ip nat inside第三步，在内部本地与外部合法地址之间建立静态地址转换。

ip nat inside source static 内部本地地址内部合法地址。

示例：ip nat inside source static 192.168.0.2 61.159.62.130//将内部网络地址192.168.0.2转换为合法IP地址61.159.62.130至此，静态地址转换配置完毕。