全部博文(116)
分类: LINUX
2014-03-22 20:26:40
网络地址转换(Network Address Translation或简称NAT),是一种在IP封包通过时修改其头部信息过(重写源IP地址或目的)的技术,最终目的是把一个IP地址映射为另一个IP地址。
NAT最初的应用是:把一个地址空间中的每个地址映射到另一个地址空间的一个对应地址。现在NAT的大部分应用是:网络伪装与IP伪装技术(network masquerading or
IP masquerading)相结合使用,IP伪装是一项隐藏整个IP地址空间的技术,这里的地址空间常常是指私有地址空间,这个私有空间通常处于一个属于另外一个公共地址空间的IP地址的背后。路由器就是实现了这种机制的设备,路由器使用状态转换表(stateful translation tables)把“隐藏”地址映射为单一的IP地址,并在出口改写外出IP封包头部的源地址信息,使得这些IP封包似乎是源自路由器。在反向的通信路径中,来自外部的响应封包,通过查询状态转换表中的rule条目,就被映射回源IP地址。状态转换表中的rule条目,如果在规定的时间内没有更新过,就会被冲刷掉。
最简单的NAT类型是提供一对一的IP地址转换。RFC 2663指定这类NAT作为基本NAT,也常常叫做一对一NAT。这类NAT,仅仅是改变IP地址、IP报头校验以及更高级的校验(由于是一对一的转换,所以没有必要添加其它的信息来帮助返回包识别回来的路)。基本NAT可以用于互连具有不相容寻址的两个IP网络。
简单地说,一对一NAT,仅仅是IP地址转换,无须端口号。
将整个由私有IP地址构成的IP地址空间隐藏在一个单一的公共IP地址背后是常见的做法。该公共IP地址属于另一个地址空间(该地址空间通常是公共地址空间)的。为了避免处理(转发)返回数据包时出现模糊(不知道送到哪里),必须修改额外的信息(比如外出通信的TCP/UDP端口号)和维护一张转换表,这样返回数据包就可以正确寻址到最初发起会话的源主机,这类NAT被叫做一对多NAT。RFC 2663 使用术语“网络地址和端口转换(NAPT)”来命名这类NAT。还有其它叫法:端口地址转换(PAT)、IP伪装、NAT overload和many-to-one NAT。NAPT是NAT的最常见的类型,并在一般的应用中已成为术语NAT的代名词。
简单地理解,一对多NAT,必须添加端口号,以识别不同的连接。因此,也叫做网络地址和端口转换(NAPT),包含了N和A两种转换。这些转换一般都是NAT路由器自动执行的,但是生存期是有限的。当然,也可以手动进行永久配置,手动配置NAT,也叫做“静态NAT”或者“端口转发”,现在的家用路由器一般都支持手动配置NAT。值得注意的是,还有其它叫法:端口地址转换(PAT)、IP伪装、NAT overload和many-to-one NAT。不要被这些名称弄糊涂了,它们表达的是同一个意思。NAPT是最常用的NAT,现在几乎每一个家庭的路由器都是采用这一方案实现家里的多台电脑共享同一个外部IP地址上网。
