何谓 NAT

 NAT 就像大办公室中的前台接待员。假设您已指示接待员，除非经您要求，否则不要转接您的任何电话。稍后，您打电话给一位潜在客户并留言，请他回电给您。您告诉接待员，您正在等待这名客户打电话过来，要求接待员将他的电话转接给您。

 

客户拨打您办公室的总机号码，这是客户知道的唯一号码。当客户告诉接待员他找谁时，接待员会检查一分列表，该列表显示了与您的名字相对应的分机号。接待员知道您要求接听此电话，从而将它转接到您的分机。

 

因此，DHCP 服务器分配动态 IP 地址给网络内部的设备，而启用 NAT 的路由器则保留一个或多个有效 Internet IP 地址供网络外部访问使用。当客户端发送数据包到网络外部时，NAT 将客户端的内部 IP 地址转换为外部地址。对于外部用户来说，所有进出网络的流量均具有相同 IP 地址，或者是来自同一地址池。

 

NAT 有很多用途，但最主要的用途是让网络能使用私有 IP 地址以节省 IP 地址。NAT 将不可路由的私有内部地址转换成可路由的公有地址。NAT 还能在一定程度上增加网络的私密性和安全性，因为它对外部网络隐藏了内部 IP 地址。

 

启用 NAT 的设备通常工作在末节网络边界。本例中，R2 为边界路由器。末节网络是指通过单一连接与相邻网络相连的网络。对 ISP 来说，R2 构成末节网络。

 

当末节网络内部的主机（例如 PC1、PC2 或 PC3）希望传输数据包给外部主机时，数据包先是被转发给 R2，即边界网关路由器。R2 执行 NAT 过程，将主机的内部私有地址转换为公有、外部、可路由的地址。

 

在 NAT 术语中，内部网络是指需要经过转换的网络地址集。外部网络指所有其它地址。根据地址是在私有网络上还是在公有网络 (Internet) 上，以及流量是传入还是送出，不同的 IP 地址有不同的称谓。

 

内部本地地址 — 通常不是 RIR 或服务器提供商分配的 IP 地址，极有可能是 RFC 1918 私有地址。图中，IP 地址 192.168.10.10 被分配给内部网络上的主机 PC1。

内部全局地址 — 当内部主机流量流出 NAT 路由器时分配给内部主机的有效公有地址。当来自 PC1 的流量发往 Web 服务器 209.165.201.1 时，路由器 R2 必须进行地址转换。本例中，PC1 的内部全局地址使用 IP 地址 209.165.200.226。

外部全局地址 — 分配给 Internet 上主机的可达 IP 地址。例如，Web 服务器的可达 IP 地址为 209.165.201.1。

外部本地地址 — 分配给外部网络上主机的本地 IP 地址。大多数情况下，此地址与外部设备的外部全局地址相同。