NAT (Network Address Translation) 网络地址转换及其扩展NAPT (Network Address Port Translation) 网络地址端口转换

NAT (Network Address Translation) 又称为网络地址转换，用于实现私有网络和公有网络之间的互访。

根据端口映射方式，NAT可分为如下4类,前3种NAT类型可统称为cone类型。 (1)全克隆( Full Cone) : NAT把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。任何一个外部主机均可通过该映射发送IP包到该内部主机。 (2)限制性克隆(Restricted Cone) : NAT把所有来自相同内部IP地址和端口的请求映射到相同的外部IP地址和端口。但是,只有当内部主机先给IP地址为X的外部主机发送IP包,该外部主机才能向该内部主机发送IP包。 (3)端口限制性克隆( Port Restricted Cone) :端口限制性克隆与限制性克隆类似,只是多了端口号的限制,即只有内部主机先向IP地址为X,端口号为P的外部主机发送1个IP包,该外部主机才能够把源端口号为P的IP包发送给该内部主机。 (4)对称式NAT ( Symmetric NAT) :这种类型的NAT与上述3种类型的不同,在于当同一内部主机使用相同的端口与不同地址的外部主机进行通信时, NAT对该内部主机的映射会有所不同。对称式NAT不保证所有会话中的私有地址和公开IP之间绑定的一致性。相反,它为每个新的会话分配一个新的端口号。

指在互联网上全球唯一的IP地址。2019年11月26日， 是人类互联网时代值得纪念的天，全球近43亿个IPv4地址已正式耗尽。

指内部网络或主机的IP地址，IANA (互联网数字分配机构)规定将下列的IP地址保留用作私网地址，不在Internet上被分配，可在一个单位或公司内部使用。RFC1918中规定 私有地址如下:

1、NAT用来将内网地址和端口号转换成合法的公网地址和端口号，建立一个会话，与公网主机进行通信 2、NAT外部的主机无法主动跟位于NAT内部的主机通信，NAT内部主机想要通信，必须主动和公网的一个IP通信， 路由器负责建立一个映射关系，从而实现数据的转发

NAT不仅能解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的入侵，隐藏并保护网络内部的计算机。 1、宽带分享: 这是NAT主机的最大功能。 2、安全防护: NAT之内的PC联机到Internet上面时，所显示的IP是NAT主机的公网IP，所以client端的PC就具有一定程度的安全，外界在进行portscan (端口扫描)的时候，就侦测不到源client端的PC 。

优点:节省公有合法IP地址、处理地址重叠、增强灵活性、安全性 缺点:延迟增大、配置和维护的复杂性、不支持某些应用(比如IVPN)

静态NAT实现私网地址和公网地址的一对一 转换。 有多少个私网地址就需要配置多少个公网地址。静态NAT不能节约公网地址，但可以起到隐藏内部网络的作用。

内部网络向外部网络发送报文时，静态NAT将报文的源IP地址替换为对应的公网地址；外部网络向内部网络发送响应报文时，静态NAT将报文的目的地址替换为相应的私网地址。

多个私网IP地址对应多个公网IP地址，基于地址池一对一映射。将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，是随机的，所有被授权访问Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。

NAPT (Network Address Port Translation) 网络地址端口转换，又称为PAT，实现一个公网地址和多个私网地址之间的映射，因此可以节约公网地址。

将不同私网地址的报文的源IP地址转换为同公网地址，但他们被转换为该地址的不同端口号，因而仍然能够共享同一地址。

1、改变数据包的ip地址和端口号: 2、能够大量节约公网IP地址。

①NAPT（Network Address Port Translation）网络地址端口转换 多个私网IP地址对应固定外网IP地址，NAPT不仅转换IP包中的IP地址，还对IP包中TCP和UDP的Port进行转换。这使得多台私有网主机利用1个NAT公共IP就可以同时和公共网进行通信。（NAPT多了对TCP和UDP的端口号的转换）

②Easy IP 多个私网IP地址对应外网口公网IP地址，与述地址池NAPT转换原理类似，可以算是NAPT的一种特例，不同的是Easy IP方式可以实现自动根据路由器上WAN接口的公网IP地址实现与私网IP地址之间的映射（无需创建公网地址池）。 Easy IP主要应用于通过路由器WAN接口IP地址作为要被映射的公网IP地址的情形，特别适合小型局域网接入Internet的情况。这里的小型局域网主要指中小型网吧、小型办公室等环境，一般具有以下特点：内部主机较少、出接口通过拨号方式获得临时（或固定）公网IP地址以供内部主机访问Internet。 （1）假设私网中的Host A主机要访问公网的Server服务器，首先向Router发送一个请求报文（即Outbound方向），此时报文中的源地址是10.1.1.100，端口号1540。

（2）Router在收到请求报文后自动利用公网侧WAN接口临时或者固定的“公网IP地址:端口号”（162.10.2.8:5480），建立与内网侧报文“源IP地址:源端口号”间的Easy IP转换表项（也包括正、反两个方向），并依据正向Easy IP表项的查找结果将报文转换后向公网侧发送。此时转换后的报文源地址和源端口号由原来的（10.1.1.100:1540）转换成了（162.10.2.8:5480）。

（3）Server服务器在收到请求报文后需要向Router发送响应报文（即Inbound方向），此时只需要将收到的请求报文中的源IP地址、源端口号和目的IP地址、目的端口号对调即可，即此时的响应报文中的目的IP地址、目的端口号为（162.10.2.8:5480）。

（4）Router在收到公网侧Server的回应报文后，根据其“目的IP地址:目的端口号”查找反向Easy IP表项，并依据查找结果将报文转换后向内网侧发送。即转换后的报文中的目的IP地址为10.1.1.100，目的端口号为1540，与Host A发送请求报文中的源IP地址和源端口完全一样。

如果私网中的Host B也要访问公网，则它所利用的公网IP地址与Host A一样，都是路由器WAN口的公网IP地址，但转换时所用的端口号一定要与Host A转换时所用的端口不一样。

①NAT Server：端口，映射，将私网地址端口映射到公网地址，实现内网服务器供外网用户访问。用于外网用户需要使用固定公网IP地址访问内部服务器的情形。通过事先配置好的服务器的“公网IP地址+端口号”与服务器的“私网IP地址+端口号”间的静态映射关系来实现。 （1）Router在收到外网用户发起的访问请求报文后（即Inbound方向），根据该请求的“目的IP地址:端口号”查找NAT Server转换映射表，找出对应的“私网IP地址:端口号”，然后用查找的结果直接替换报文的“目的IP地址:端口号”，最后向内网侧发送。如本示例中外网主机发送的请求报文中目的IP地址是209.102.1.68，端口号80，经Router转换后的目的IP地址和端口号为（192.168.1.68:80）。

（2）内网服务器在收到由Router转发的请求报文后，向Router发送响应报文（即Outbound方向），此时报文中的源IP地址、端口号与目的IP地址、端口号与所收到的请求报文中的完全对调即可，即响应报文中的源IP地址和端口号为前面的（192.168.1.68:80）。

（3）Router在收到内网服务器的回应报文后，又会根据该响应报文中的“源IP地址:源端口号”查找NAT Server转换表项，找出对应的“公网IP地址:端口号”，然后用查找结果替换报文的“源IP地址:源端口号”。如本示例中内网服务器响应外网主机的报文的源IP地址和端口号是（192.168.1.68:80），经Router转换后的源IP地址和端口号为（209.102.1.68:80）。

由外网向内网服务器发送的请求报文中转换的仅是其目的IP地址和目的端口号（源IP地址和源端口号不变），即仅需关心目的IP地址和目的端口号；而从内网向外网发送的响应报文中转换的仅是其源IP地址和源端口号（目的IP地址和目的端口号不变），即仅需关心源IP地址和源端口号。两个方向所转换的IP地址和端口号是相反的。