计算机网络nat网关

‘壹’ 网络中NAT是什么意思

NAT即为Network Address Translation，中文意思是“网络地址转换”。

NAT是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址，但现在又想和因特网上的主机通信（并时，可使用NAT方法。

这种方法需要在专用网连接到因特网的路由器上安装NAT软件。

装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球IP地址。

另外，这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用的IP地址空间的枯竭。在RFC 2663中有对NAT的说明。

3、端口多路复用（Port address Translation,PAT)：

是指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，Port Address Translation).采用端口多路复用方式。

内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。

通常我们使用的如下应用就可以直接利用传统的NAT技术：HTTP、TELNET、FINGER、NTP、NFS、ARCHIE、RLOGIN、RSH、RCP等。

‘贰’ 计算机网络-网络层-网终地址转换NAT

网终地址转换NAT (Network Address Translation)需要在专用网连接到互联网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器，它至少有一个有效的外部全球P地址。这样，所有使用本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球P地址，才能和互联网连接。

图4-60给出了NAT路由器的工作原理。在图中，专用网192.168.0.0内所有主机的P地址都是本地P地址192.168.x.x。NAT路由器至少要有一个全球P地址，才能和互联网相连。图4-60表示出NAT路由器有一个全球IP地址172.38.1.5（当然，NAT路由器可以有多个全球IP地址)。

NAT路由器收到从专用网内部的主机A发往互联网上主机B的IP数据报：源IP地址是192.168.0.3，而目的IP地址是213.18.2.4。NAT路由器把IP数据报的源IP地址192.168.0.3,转换为新的源IP地址（即NAT路由器的全球IP地址）172.38.1.5，然后转发出去。因此，主机B收到这个IP数据报时，以为A的IP地址是172.38.1.5。当B给A发送应答时，IP数据报的目的IP地址是NAT路由器的IP地址172.38.1.5。B并不知道A的专用地址192.168.0.3。当NAT路由器收到互联网上的主机B发来的IP数据报时，还要进行一次IP地址的转换。通过NAT地址转换表，就可把IP数据报上的旧的目的IP地址172.38.1.5，转换为新的目的IP地址192.168.0.3（主机A真正的本地IP地址)。

由此可见，当NAT路由器具有n个全球P地址时，专用网内最多可以同时有n台主机接入到互联网。这样就可以使专用网内较多数量的主机，轮流使用NAT路由器有限数量的全球IP地址。

显然，通过NAT路由器的通信必须由专用网内的主机发起。设想互联网上的主机要发起通信，当IP数据报到达NAT路由器时，NAT路由器就不知道应当把目的P地址转换成专用网内的哪一个本地IP地址。这就表明，这种专用网内部的主机不能充当服务器用，因为互联网上的客户无法请求专用网内的服务器提供服务。

为了更加有效地利用NAT路由器上的全球IP地址，现在常用的NAT转换表把运输层的端口号也利用上。这样，就可以使多个拥有本地地址的主机，共用一个NAT路由器上的全球IP地址，因而可以同时和互联网上的不同主机进行通信。

使用端口号的NAT也叫做网络地址与端口号转换NAPT (Network Address and Port  Translation),而不使用端口号的NAT就叫做传统的NAT(traditional NAT)。

从表4-12可以看出，在专用网内主机192.168.0.3向互联网发送IP数据报，其TCP端口号选择为30000。NAPT把源IP地址和TCP端口号都进行转换（如果使用UDP,则对UDP的端口号进行转换原理是一样的)。另一台主机192.168.0.4也选择了同样的TCP端口号30000。这纯属巧合（端口号仅在本主机中才有意义）。现在NAPT把专用网内不同的源IP地址都转换为同样的全球IP地址。但对源主机所采用的TCP端口号（不管相同或不同)，则转换为不同的新的端口号。因此，当NAPT路由器收到从互联网发来的应答时，就可以从IP数据报的数据部分找出运输层的端口号，然后根据不同的目的端口号，从NAPT转换表中找到正确的目的主机。

应当指出，从层次的角度看，NAPT的机制有些特殊。普通路由器在转发P数据报时，对于源IP地址或目的P地址都是不改变的。但NAT路由器在转发IP数据报时，一定要更换其IP地址（转换源IP地址或目的IP地址）。其次，普通路由器在转发分组时，是工作在网络层，并且NAPT路由器还要查看和转换运输层的端口号。

‘叁’ 计算机网络（二）| IP协议

IP协议（Internet Protocol，互联网协议），是TCP/IP协议栈中最核心的协议之一，通过IP地址，保证了联网设备的唯一性，实现了网络通信的面向无连接和不可靠的传输功能。
IP协议的主要作用是在相互连通的网络之间传输IP数据报，最重要的部分是IP寻址、路由选择、数据分段与重组。

我们可以使用wireshark抓包分析一下IP的头部信息。

我们可以将几个常用的头部信息组合起来：

IP地址分为五个类别：分别为A类，B类，C类，D类，E类。

然而，这种划分方案的局限性很明显，大多数都申请的是B类地址，就会导致B类地址很快就分配完了，而A类却浪费了大量地址。
因此引入了一个新的划分方案（CIDR）：引入一个子网掩码的概念来区分网络好和主机号，子网掩码本身也是一个32的正整数。子网掩码对应IP地址的网络号全为1，主机号全为0。 将IP地址与子网掩码进行按位与操作，得到的结果就是网络号。

虽然CIDR一定程度上减少了IP地址的浪费，但是IPv4地址只有43亿左右，怎么都是不够用的，因此需要解决方案来解决IPv4枯竭的问题，目前有三种方案。

接下来主要介绍一下NAT技术：

如果一个内部主机唯一占用一个公网IP，这种方式被称为一对一模型。此种方式下，转换上层协议就是不必要的，因为一个公网IP就能唯一对应一个内部主机。显然，这种方式对节约公网IP没有太大意义，主要是为了实现一些特殊的组网需求。比如用户希望隐藏内部主机的真实IP，或者实现两个IP地址重叠网络的通信。

它能够将未注册的IP地址映射到注册IP地址池中的一个地址。不像使用静态NAT那样，你无需静态地配置路由器，使其将每个内部地址映射到一个外部地址，但必须有足够的公有因特网IP地址，让连接到因特网的主机都能够同时发送和接收分组。

这是最常用的NAT类型。NAT重载也是动态NAT，它利用源端口将多个私网ip地址映射到一个公网ip地址(多对一)。那么，它的独特之处何在呢?它也被称为端口地址特换(PAT)。通过使用PAT(NAT重载)，只需使用一个公网ip地址，就可将数千名用户连接到因特网。其核心之处就在于利用端口号实现公网和私网的转换。
面对私网内部数量庞大的主机，如果NAT只进行IP地址的简单替换，就会产生一个问题：当有多个内部主机去访问同一个服务器时，从返回的信息不足以区分响应应该转发到哪个内部主机。此时，需要NAT设备根据传输层信息或其他上层协议去区分不同的会话，并且可能要对上层协议的标识进行转换，比如TCP或UDP端口号。这样NAT网关就可以将不同的内部连接访问映射到同一公网IP的不同传输层端口，通过这种方式实现公网IP的复用和解复用。这种方式也被称为端口转换PAT、NAPT或IP伪装，但更多时候直接被称为NAT，因为它是最典型的一种应用模式。

‘肆’ 什么是NAT技术它的主要优点是什么

NAT是指网络地址转换

是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。

优点：

1、节省合法的注册地址，

2、在地址重叠时提供解决方案，

3、提高连接到因特网的灵活性，

4、在网络发生变化时避免重新编址。

缺点：

1、地址转换将增加交换延迟，

2、导致无法进行端到端IP跟踪，

3、导致有些应用程序无法正常运行。

(4)计算机网络nat网关扩展阅读：

NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用。

NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。

‘伍’ 关于NAT的一些总结

标签： tcp/ip

网络地址转换又称网络掩蔽、IP掩蔽（英语：Network Address Translation，缩写：NAT），在计算机网络中是一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。它是一个方便且得到了广泛应用的技术。当然，NAT也让主机之间的通信变得复杂，导致了通信效率的降低。

NAT是作为一种 解决IPv4地址短缺 以避免保留IP地址困难的方案而流行起来的。
在一个典型的配置中，一个 本地网络 使用一个专有网络的指定子网（比如192.168.x.x或10.x.x.x）和连在这个网络上的一个路由器。这个 路由器 占 有这个网络地址空间的一个 专有地址 （比如192.168.0.1），同时它还通过一个或多个因特网服务提供商提供的 公有的IP地址（叫做“过载”NAT ）连接到因特网上。 当信息由本地网络向因特网传递时，源地址从专有地址转换为公用地址。由路由器跟踪每个连接上的基本数据，主要是目的地址和端口。当有回复返回路由器时，它通过输出阶段记录的连接跟踪数据来决定该转发给内部网的哪个主机；如果有多个公用地址可用，当数据包返回时，TCP或UDP客户机的端口号可以用来分解数据包。对于因特网上的通信，路由器本身充当源和目的。

流行在网络上的一种看法认为，IPv6的广泛采用将使得NAT不再需要，因为NAT只是一个处理IPv4的地址空间不足的方法。

原文： https://blog.csdn.net/gui951753/article/details/79593307

在一个具有NAT功能的路由器下的主机并 没有创建真正的IP地址 ，并且不能参与一些因特网协议。一些需要初始化从外部网络创建的TCP连接和无状态协议（比如UDP）无法实现。除非NAT路由器管理者预先设置了规则，否则送来的数据包将不能到达正确的目的地址。一些协议有时可以在应用层网关（见下）的辅助下，在参与NAT的主机之间容纳一个NAT的实例，比如FTP。NAT也会使安全协议变的复杂，比如IPsec。

端对端连接是被IAB委员会（Internet Architecture Board）支持的核心因特网协议之一，因此有些人据此认为NAT是对公用因特网的一个破坏。一些因特网服务提供商（ISP）只向他们的客户提供本地IP地址，所以他们必须通过NAT来访问ISP网络以外的服务，并且这些公司能不能算的上真正的提供了因特网服务的话题也被谈起。

NAT除了带来方便和代价之外，对全双工连接支持的缺少在一些情况下可以看作是一个有好处的特征而不是一个限制。在一定程度上，NAT依赖于本地网络上的一台机器来初始化和路由器另一边的主机的任何连接，它可以阻止外部网络上的主机的恶意活动。这样就可以阻止网络蠕虫病毒来提高本地系统的可靠性，阻挡恶意浏览来提高本地系统的私密性。很多具有NAT功能的防火墙都是使用这种功能来提供核心保护的。另外，它也为UDP的跨局域网的传输提供了方便。

基本NAT和端口号转换
基本网络地址转换（Basic NAT）
这一种也 可称作NAT或“静态NAT” ，在RFC 2663中提供了信息。它在技术上比较简单 ，仅支持地址转换，不支持端口映射 。Basic NAT要求对 每一个当前连接都要对应一个公网IP地址 ，因此要维护一个公网的地址池。宽带（broadband）路由器通常使用这种方式来允许一台指定的设备去管理所有的外部链接，甚至当路由器本身只有一个可用外部IP时也如此，这台路由器有时也被标记为DMZ主机。由于改变了IP源地址，在重新封装数据包时候必须重新计算校验和，网络层以上的只要涉及到IP地址的头部校验和都要重新计算。

网络地址端口转换（NAPT）
这种方式支持端口的映射，并允 许多台主机共享一个公网IP地址 。
支持端口转换的NAT又可以分为两类： 源地址转换和目的地址转换 。前一种情形下发起连接的计算机的IP地址将会被重写，使得内网主机发出的数据包能够 到达外网主机 。后一种情况下被连接计算机的IP地址将被重写，使得外网主机发出的数据包能够 到达内网主机 。实际上， 以上两种方式通常会一起被使用以支持双向通信。

利用端口号的唯一性实现了公网ip转换为私网ip的这一步。PAT（NAT重载）能够使用 传输层端口号来标识主机 ，因此，从理论上说， 最多可让大约65000台主机共用一个公有IP地址

NAPT维护一个带有IP以及端口号的NAT表，结构如下。
内网IP 外网IP
192.168.1.55:5566 219.152.168.222:9200
192.168.1.59:80 219.152.168.222:9201
192.168.1.59:4465 219.152.168.222:9202

不同类型的NAT：

完全圆锥型NAT（Full cone NAT），即一对一（one-to-one）NAT
一旦一个内部地址（iAddr:port）映射到外部地址（eAddr:port），所有发自iAddr:port的包都经由eAddr:port向外发送。任意外部主机都能通过给eAddr:port发包到达iAddr:port（注：port不需要一样）

端口受限圆锥型NAT（Port-Restricted cone NAT）
类似受限制锥形NAT（Restricted cone NAT），但是还有端口限制。
一旦一个内部地址（iAddr:port1）映射到外部地址（eAddr:port2），所有发自iAddr:port1的包都经由eAddr:port2向外发送。
在受限圆锥型NAT基础上增加了外部主机源端口必须是固定的 。

对称NAT（Symmetric NAT）
每一个 来自相同内部IP与端口，到一个特定目的地地址和端口的请求， 都映射到一个独特的外部IP地址和端口。
同一内部IP与端口发到不同的目的地和端口的信息包，都使用不同的映射 只有曾经收到过内部主机数据的外部主机，才能够把数据包发回

‘陆’ 什么是内网、公网以及NAT，有什么作用

1. 内网的计算机以NAT（网络地址转换）协议，通过一个公共的网关访问Internet。内网的计算机可向Internet上的其他计算机发送连接请求，但Internet上其他的计算机无法向内网的计算机发送连接请求。

2. 公网即指外网，是通过MODEM拨号或专线等访问互联网，或通过VPN、路由器等与因特网相通的大范围网络。

   公网接入方式：上网的计算机得到的IP地址是Inetnet上的非保留地址。公网的计算机和Internet上的其他计算机可随意互相访问。

3. NAT（Network Address Translator）是网络地址转换，它实现内网的IP地址与公网的地址之间的相互转换，将大量的内网IP地址转换为一个或少量的公网IP地址，减少对公网IP地址的占用。NAT的最典型应用是：在一个局域网内，只需要一台计算机连接上Internet，就可以利用NAT共享Internet连接，使局域网内其他计算机也可以上网。使用NAT协议，局域网内的计算机可以访问Internet上的计算机，但Internet上的计算机无法访问局域网内的计算机。

4. 区别：外网、内网是两种Internet的接入方式。 通常情况下，网关或路由器对内部向外发出的信息不会进行拦截，但对来自外部想进入内部网络的信息则会进行识别、筛选，认为是安全的、有效的，才会转发给内网电脑。

‘柒’ NAT网关怎么设置

这种都是需要电脑有两块网卡的
其中一个网卡是内网网卡，另一个是外网网卡；
1、将外网网卡共享：“开始”—“控制面板”—“网络和共享中心”—“更改设备器设置”；
这时能看到两个网卡，下面有两个情况：（）
A、如果是外网网卡直接连接外网
右键单击 连接外网网卡 属性，在网卡属性框里，点击“共享”，在“允许其他网络用户通过此计算机的Internet连接来连接”前，打勾、点确定。
B、如果是ADSL拨号
右键单击adsl拨号网络属性，在属性框里点“高级”，在“允许其他网络用户通过此计算机的Internet连接来连接”前和“每当网络上的计算机试图访问Internet时建立一个拨号连接”，打勾、点确定。（重新拨号才能使设置生效）
2、内网其余计算机，将网关设置为nat计算机的内网ip地址。