2016计算机网络基础教程：网络地址转换.docVIP

11.3 网络地址转换 图 11.5 在边界路由器上加装地址转换 如图11.5所示，如果在边界路由器上加装地址转换程序NAT(Network Address Translation)，每当在内部网络的主机需要连接外网时，NAT就会隐藏其源IP地址，并动态分配一个外部IP地址来取代。这样，外部用户就无法得知你的内部网络的地址，这个转换内部网络IP地址的动作就叫做网络地址转换NAT。 当内网主机10.0.0.2需要访问外网主机202.6.3.2，数据报在流经路由器时，路由器中的NAT程序会将数据报头里的源IP地址10.0.0.2更换为某个公开的IP地址，如179.9.8.20。并将转换情况保存到自己内存中如图11.6所示的NAT表中。外部主机202.6.3.2发网内网主机10.0.0.2的数据报中，其目标IP地址会是179.9.8.20，而不是10.0.0.2，因为它不知道10.0.0.2这个真实地址。从外网来的数据报，路由器中的NAT程序通过查NAT表，会更换目标地址为内网IP地址10.0.0.2，再发送到内网里来。 图11.6 NAT表 通过图11.6还可以看到10.0.0.4主机的数据报，源IP地址10.0.0.4已经被更换为公开的IP地址179.9.8.80。 可见，地址转换NAT技术的使用，也为网络提供了一种安全手段。 地址转换NAT技术不仅为网络提供了一种安全机制，也常用于没有足够的公开IP地址。例如一个单位只申请到100个公开IP地址，可是内网中有1000台主机需要连接到互联网。使用NAT技术，就可以在内网中使用内部IP地址。当数据报需要流出内网时，由NAT负责将源IP地址更换为互联网中合法的公开IP地址。当连接结束后，公开IP地址将被NAT程序收回，以备其它主机在与互联网通讯时使用。 NAT程序的工作，需要在路由器上为其配置一定的公开IP地址。当公开IP地址被全部占用的时候，无法分到公开IP地址的数据报将被终止传输。 一种称为端口地址转换PAT(Port Address Translation)的技术可以使有限的公开IP地址，为更多的内网主机同时提供与外网的通讯支持。极限的情况，可以用一个公开IP地址为数百台内网主机提供支持。 图11.7 PAT地址转换 在图11.7中，内网只有一个公开IP地址179.9.8.20。内网的主机只能以这一个地址连接互联网。虽然10.0.0.2主机和10.0.0.3主机同时访问外网，但是PAT能够很好地用端口号来判断是哪一个主机的报文包。 2