NAT转换你知多少

NAT，Network Address Translation，也叫网络地址转换，是一种局域网与广域网通信的手段。因为**IPv4地址不够的原因，因此有了局域网地址这个概念，局域网地址规定只能在局域网内使用，但不能直接跟外网（Internet）IP地址通信，当要交流的时候就需要将内网私有地址转换成可以路由的公网地址，反过来，公网访问内网地址也会在路由器上先转换成内网IP再将数据包发给内网主机，这就是NAT的作用，不仅暂缓IP地址不足的问题，而且隐藏保护内部主机，有效的避免来自网络外部的攻击。

NAT应用*多的情况就是多台内网主机要对外访问互联网资源时，如果有多个可以路由的外部IP地址，那么可以通过静态绑定或者动态分配从IP地址池里面选取一个地址给内网IP使用。如果只有一个可以路由地址，那么就要实现端口复用，将不同的端口配置给要上网的主机，实现访问共享。

NAT的端口转换有四种主要方法：

Full Cone NAT：一对一的转换。所有内部IP+端口的二元字段（TupleX）都被转换成同一外部IP+端口值（TupleY），并不区分来自内网请求是否属于同个应用，而当其他外部主机想要访问此台内部主机，只需向TupleY发送报文即可，这种NAT好处是简单易操作但缺点是不安全，它没有对外部主机来源做限制，容易受到攻击。

Restricted Cone NAT：它是在Full Cone NAT的基础上，对外部主机来源做了限制，规定只有当内部主机曾经发送报文给外部主机（IP为Z），那么这台外部主机才能通过TupleY对内部主机进行访问。

Port Restricted Cone NAT：对Restricted Cone NAT做了更加严格的限制。Port Restricted Cone NAT规定，只有当内部主机曾经发送报文给外部主机（IP为Z,端口为P）之后，外部主机才能通过TupleY对内部主机进行访问，并且此时的请求报文的源端口必须为P，这样更进一步对外部主机来源做了限制，提高了安全性。

Symmetric NAT：这是四种端口映射方法中*严格也*安全的方法。只有来自同一个内部Tuple且针对同一个外部Tuple的请求才会被NAT转换，也就是说TupleX跟TupleY是配对使用的，如果此时还有其他外部主机需要访问内部主机，那么NAT会为其分配另一个TupleZ，下次这台外部主机要跟内部主机进行通信的时候，就通过TupleZ来进行。由于对外部请求报**了*严格的规定，Symmetric NAT在安全性能方面也较之其他三种NAT强。

虽然NAT能够起到保护内部主机的作用，但NAT还是带来了一些问题：

地址复用：是优点也是缺点，优点就是使得多台内部IP只用一个公网IP就可以上网，但破坏了IP地址结构模型的设计原则，它的基础就是建立在每个IP地址标识了一个网络连接。

网络分层结构：NAT在转换过程中破坏了网络协议的分层*立原则。使得不同层的报文头部内容可以被修改。

面向连接：因为NAT将公用IP地址与端口号进行了映射，那么如果网络出现故障，由于TCP/IP协议过程发生改变，那么Internet会变得非常脆弱。