PAT是如何工作的

从统计学观点来看,与直接使用动态N AT相比,使用PAT发生冲突的机会会更小,有时甚至可以忽略这种冲突。这就是PAT的出发点。也许你能从这个名字看出什么,但要知道PAT是用于转换端口号和I P地址的。当发送方向向外时,在转换源地址的同时,也转换源端口号。为了避免冲突,路由器往往要选择一个新的源端口号。这种解决办法至少对T C P和U D P来说能工作得很好,并能够避免冲突。对于没有端口号的I C M P协议,还要使用一些其他的技巧。现在,通过分组信息与连接表进行匹配,路由器能够找到一个唯一的端口号。PAT能够实现大量内部机器共享一个外部I P地址,它能够支持多少台机器呢?由于与使用方式相关,所以给出一个精确的数字是很困难的。现在让我们做一个假设。假设要限制一个Internet IP 地址在同一时刻同时通信的内部机器台数。最坏的情况发生在U D P协议上,此时我们不得不使用定时
器来仿真连接。假设定时器被设置成2分钟,如果2分钟之后仍然没有分组传送的话,连接将被中止。端口号的范围从0开始到65 536结束,从原理上来讲,同时连接的最大数量应为65 536。这需要它们在某一时刻同时发生,产生这种情况的原因有两个:一个原因是它们在同一时刻开
始,并且已等待了两分钟;另一个原因是这些连接已经被激活很长时间,并达到了最大数量。这里针对的是一个外部I P地址。如果使用动态I P地址的话,连接数量应为带有PAT功能的动态N AT所使用的I P地址数量乘以1个外部I P所能支持的连接数量。记住:这里所讲到的内容只针对于所有客户同I n t e r n e t上的同一机器进行的通信。如果考虑在I n t e r n e t上有多个机器,冲突会几乎下降到零。这种情况在实际应用中看起来很好。但是,当它达到理论上的极限时,你的N AT设备中的内存将会被全部消耗掉。PAT的安全情况怎么样?情况还比较好。一个外部地址不再对应单个的内部I P地址,而是依靠连接来实现。这也就是说,如果有一个与外部地址相连的新连接,则在连接表中不会有与它相同的内容出现,所以也就不存在要连接的内部I P地址了。当一台内部的计算机试图连接一个外部地址时,这种情况是最常出现的。理论上讲,可以设计出一个PAT,能够使一个特定的外部地址匹配特定的内部地址(将静态N AT和PAT合在一起)。但为了安全起见,你可能不希望地这做。另外一个要注意的问题是外部的I P地址并不是N AT设备接口的那个I P地址。例如,有些路由器在实现PAT时使用路由器自己的外部I P地址。在这种情况下,试图与外部I P地址进行的连接将会连到路由器,这是我们不希望的。
许多PAT的实现仅允许一个特定的内部地址缓冲池与一个外部I P地址匹配。产生这种情况的原因可能是系统仅允许一部分内部网络匹配一个外部地址。

你可能感兴趣的:(工作,职场,pat,休闲)