NAT網路地址重疊是什麼

① nat類型有哪些

1、靜態NAT：

指將內部網路的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。藉助於靜態轉換，可以實現外部網路對內部網路中某些特定設備（如伺服器）的訪問。

2、動態NAT：

將內部網路的私有IP地址轉換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。

3、綜合NAT：

即埠地址轉換採用埠多路復用方式。內部網路的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，從而可以最大限度地節約IP地址資源。

NAT應用

靜態NAT通過手動設置，使 Internet 客戶進行的通信能夠映射到某個特定的私有網路地址和埠。如果想讓連接在 Internet 上的計算機能夠使用某個私有網路上的伺服器（如網站伺服器）以及應用程序（如游戲），那麼靜態映射是必需的。靜態映射不會從 NAT 轉換表中刪除。

如果在 NAT 轉換表中存在某個映射，那麼 NAT 只是單向地從 Internet 向私有網路傳送數據。這樣，NAT 就為連接到私有網路部分的計算機提供了某種程度的保護。但是，如果考慮到 Internet 的安全性，NAT 就要配合全功能的防火牆一起使用。

② 什麼是NAT技術它的主要優點是什麼

NAT是指網路地址轉換

是1994年提出的。當在專用網內部的一些主機本來已經分配到了本地IP地址（即僅在本專用網內使用的專用地址），但現在又想和網際網路上的主機通信（並不需要加密）時，可使用NAT方法。

優點：

1、節省合法的注冊地址，

2、在地址重疊時提供解決方案，

3、提高連接到網際網路的靈活性，

4、在網路發生變化時避免重新編址。

缺點：

1、地址轉換將增加交換延遲，

2、導致無法進行端到端IP跟蹤，

3、導致有些應用程序無法正常運行。

(2)NAT網路地址重疊是什麼擴展閱讀：

NAT就是在區域網內部網路中使用內部地址，而當內部節點要與外部網路進行通訊時，就在網關（可以理解為出口，打個比方就像院子的門一樣）處，將內部地址替換成公用地址，從而在外部公網（internet）上正常使用。

NAT可以使多台計算機共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法，可以只申請一個合法IP地址，就把整個區域網中的計算機接入Internet中。

③ NAT技術該怎麼配置

（一）相關概念

為了更好地認識NAT技術，我們先了解一下它所涉及的幾個概念。

1．內部局部地址 在內部網上分配到一個主機的IP地址。這個地址可能不是一個有網路信息中心（NIC）或服務提供商所分配的合法IP地址。

2．內部全局地址 一個合法的IP地址（由NIC或服務供應商分配），對應到外部世界的一個或多個本地IP地址。

3．外部局部地址 出現在網路內的一個外部主機的IP地址，不一定是合法地址，它可以在內部網上從可路由的地址空間進行分配。

4．外部全局地址 由主機擁有者在外部網上分配給主機的IP地址，該地址可以從全局路由地址或網路空間進行分配。圖1展示了NAT相關術語的圖解。

對於NAT技術，提供4種翻譯地址的方式，如下所示。

（二）4種翻譯方式

1．靜態翻譯 是在內部局部地址和內部全局地址之間建立一對一的映射。

2．動態翻譯 是在一個內部局部地址和外部地址池之間建立一種映射。

3．埠地址翻譯 超載內部全局地址通過允許路由器為多個局部地址分配一個全局地址，也就是將多個局部地址映射為一個全局地址的某一埠，因此也被稱為埠地址翻譯（PAT）。

4．重疊地址翻譯 翻譯重疊地址是當一個內部網中使用的內部局部地址與另外一個內部網中的地址相同，通過翻譯，使兩個網路連接後的通信保持正常。

在實際使用中，通常需要以上幾種翻譯方式配合使用。

二、讓典型應用「說話」

現在，我們以常見Cisco路由器為例，闡述典型應用中NAT技術的實現。

1．配置共享IP地址

應用需求：當您需要允許內部用戶訪問Internet，但又沒有足夠的合法IP地址時，可以使用配置共享IP地址連接Internet的NAT轉換方式。

圖2是配置內部網路10.10.10.0/24通過重載一個地址172.16.10.1./24訪問外部網路的全過程。如果有多個外部地址，可以利用動態翻譯進行轉換，這里就不多做說明了。清單1展示了具體配置方法。

NAT路由器配置清單1

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定義內部轉換介面

interface serial 0

ip address 172.16.10.64 255.255.255.0

ip nat outside

!-- 定義外部轉換介面

ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24

!-- 定義名為ovrld的NAT地址池和地址池重的地址172.16.10.1

ip nat inside source list 1 pool ovrld overload

!--指出被 access-list 1 允許的源地址會轉換成NAT地址池ovrld中的地址並且轉換會被內部多個機器重載成一個相同的IP地址。

access-list 1 permit 10.10.10.0 0.0.0.31

!-- Access-list 1 允許地址10.10.10.0到10.10.10.255進行轉換

NAT路由器配置清單2

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定義內部轉換介面

interface serial 0

ip address 172.16.20.254 255.255.255.0

ip nat outside

!-- 定義外部轉換介面

ip nat inside source static 10.10.10.1 172.16.20.1

!-- 指定將地址10.10.10.1靜態轉換為172.16.20.1

適用范圍：這種情況適合於通信都是由內部用戶向Internet發起的應用。

例如小型企業多個用戶通過共享xDSL連接Internet。另外，也可以用軟體進行NAT轉換，Windows 2000的操作系統就有這樣的功能。至於內部用戶數量較多的情況，建議使用代理伺服器。

2．配置在Internet上發布的伺服器

應用需求：當您需要將內部設備發布到Internet上時，可以使用配置在Internet上發布的伺服器的NAT轉換方式。

圖3是將內部網路的郵件伺服器（IP地址為10.10.10.1/24）發布到外部網路的全過程，使用靜態翻譯可以實現這種轉換。清單2展示了具體配置方法。

適用范圍：這種情況適合於訪問是從外部網路向內部設備發起的應用。

3．配置埠映射

應用需求：假設您在Internet上發布一台在內部網路的Web伺服器，伺服器配置成監聽8080埠，您需要把外部網路對Web伺服器80埠的訪問請求重定向。

圖4為配置埠映射示意圖，清單3展示了具體配置方法。

4．配置TCP傳輸

應用需求：TCP傳輸裝載共享是與地址匱乏無關的問題，它將數個設備的地址映射成一個虛擬設備的地址，從而實現設備間的負載均衡。

圖5是將地址從10.10.10.2到10.10.10.15的真實設備映射成虛擬10.10.10.1地址的全過程。清單4展示了具體配置方法。

5．真實應用案例

應用需求：筆者所在的單位內部的區域網已建成，並穩定運行著各種應用系統。隨著業務的發展，需要實施一個數據中心在外單位的新應用。出於安全方面的考慮，不能夠對現有網路結構進行大的調整和改動；另外，由於資金方面的原因，需要盡可能地節省設備等方面的投入。

應用現狀：我單位內部網結構如下：具有3個VLAN。VLAN 1（即10.1.1.X），使用單位內部應用系統，與數據中心沒有數據交換；VLAN 2（即10.2.2.X），使用數據中心提供的應用系統，約有100台機器；VLAN 3（即10.3.3.X），只用2台機器使用數據中心提供的應用，分別是10.3.3.1和10.3.3.2。

數據中心提供一台Cisco 3640，Serial口與數據中心通過HDSL連接，分配的地址分別是192.168.252.1和255.255.255.252，FastEthernet口與單位內部區域網連接，分配的地址分別是192.168.1.0和255.255.255.0。

實施方案：由於不打算更改內部網的結構，所以將內部網地址作為內部局部地址，數據中心分配的地址作為內部全局地址，實施NAT應用。另外NAT需要兩個埠，一個做為inside，另一個做為outside，因此考慮使用FastEthernet口做inside，Serial口做outside。圖6 為本單位NAT技術的應用圖。

利用以上設置，我們成功實現了內部地址的翻譯轉換，並實現了在不改變現有網路結構的情況下與數據中心連網的目標。

三、有比較有選擇

1．與代理伺服器的比較

用戶經常把NAT和代理伺服器相混淆。NAT設備對源機器和目標機器都是透明的，地址翻譯只在網路邊界進行。代理伺服器不是透明的，源機器知道它需要通過代理伺服器發出請求，而且需要在源機器上做出相關的配置，目標機器則以為代理伺服器就是發出請求的源機器，並將數據直接發送到代理伺服器，由代理伺服器將數據轉發到源機器上。

NAT路由器配置清單3

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定義內部轉換介面

interface serial 0

ip address 172.16.30.254 255.255.255.0

ip nat outside

!-- 定義外部轉換介面

ip nat inside source static tcp 10.10.10.8 8080 172.16.30.8 80

!-- 指定將地址10.10.10.8:8080靜態轉換為172.16.30.8:80

NAT路由器配置清單4

interface ethernet 0

ip address 10.10.10.17 255.255.255.0ip nat inside

!-- 定義內部轉換介面

interface serial 0

ip address 10.10.10.254 255.255.255.0ip nat outside

!-- 定義外部轉換介面

ip nat pool real-hosts 10.10.10.2 10.10.10.15 prefix-length 28 type rotaryip nat inside destination list 1 pool real-hosts

!--定義地址池real-hosts地址范圍是從10.10.10.2到10.10.10.15

!--指定將地址將地址池real-hosts轉換為10.10.10.1

access-list 1 permit 10.10.10.1

代理伺服器工作在OSI模型的第4層傳輸層，NAT則是工作在第3層網路層，由於高層的協議比較復雜，通常來說，代理伺服器比NAT要慢一些。

但是NAT比較佔用路由器的CPU資源，加上NAT隱藏了IP地址，跟蹤起來比較困難，不利於管理員對內部用戶對外部訪問的跟蹤管理和審計工作。所有NAT技術只適用於內部用戶數量較少的應用，如果訪問外部網路的用戶數量大，而且管理員對內部用戶有訪問策略設置和訪問情況跟蹤的應用，還是使用代理伺服器較好一些。

NAT路由器配置清單5

interface fastethernet 1/0

ip nat inside

!-- 定義內部轉換介面

interface serial 0/0

ip address 192.168.252.1 255.255.255.252

ip address 192.168.1.254 255.255.255.0 secondary

ip nat outside

!-- 為節省埠，將數據中心提供的地址全部綁在Serial口

ip nat pool ToCenter 192.168.1.1 192.168.1.253 prefix-length 24

ip nat inside source list 1 pool ToCenter

!-- 建立動態源地址翻譯，指定在前一步定義的訪問列表

access-list 1 permit 10.3.3.1

access-list 1 permit 10.3.3.2

access-list 1 permit 10.2.2.0 0.0.0.255

!-- 定義一個標準的訪問列表，對允許訪問數據中心的地址進行翻譯

2．與防火牆比較

防火牆是一個或一組安全系統，它在網路之間執行訪問控制策略。防火牆對流經它的網路通信數據進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠，禁止特定埠的流出通信，封鎖特洛伊木馬等。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

一般的防火牆都具有NAT功能，或者能和NAT配合使用。應用到防火牆技術中的NAT技術可以把個別IP地址隱藏起來不被外界發現，使外界無法直接訪問內部網路設備。作為網路安全的一個重要手段，是選用單純的NAT技術還是帶NAT技術的防火牆，要從幾個方面考慮：

一是您的企業和運營機構如何運用訪問控制策略，是為了明確地拒絕除對於連接到網路至關重的服務之外的所有服務，還是為了訪問提供一種計量和審計的方法；

二是您對企業網需要何種程度的監視、冗餘度以及控制水平；

三則是財務上的考慮，一個高端完整的防火牆系統是十分昂貴的。是否採用防火牆需要在易用性、安全性和預算之間做出平衡的決策。

四、安全中的不安全

我們可以從以下幾個方面窺視NAT技術的安全性問題。

1．NAT只對地址進行轉換而不進行其他操作，因此，當您建立了與外部網路的連接時，NAT不會阻止任何從外部返回的惡意破壞信息。

2．雖然NAT隱藏了端到端的IP地址，但它並不隱藏主機信息。例如您通過NAT設備訪問Windows Streaming Media伺服器，您會發現伺服器記錄的不僅是您的主機名，還有您的內部IP地址和操作系統。

3．Internet上的惡意攻擊通常針對機器的「熟知埠」，如HTTP的80埠、FTP的21埠和POP的110埠等。雖然NAT可以屏蔽不向外部網路開放的埠，但針對面向熟知埠的攻擊，它是無能為力的。

4．許多NAT設備都不記錄從外部網路到內部網路的連接，這會使您受到來自外部網路的攻擊，但由於沒有記錄可以追查，您根本無法發覺自己受到過什麼攻擊。

NAT隱藏了內部IP地址，使其具有一定的安全性，但從上面的分析我們可以知道，不能將NAT作為網路單一的安全防範措施。

④ 什麼是NAT(網路地址轉換)計術

什麼是 NAT？
網路地址轉換 (NAT) 是一個 Internet 工程任務組 (Internet Engineering Task Force，IETF) 標准，用於允許專用網路上的多台 PC (使用專用地址段，例如 10.0.x.x、192.168.x.x、172.x.x.x) 共享單個、全局路由的 IPv4 地址。IPv4 地址日益不足是經常部署 NAT 的一個主要原因。Windows XP 和 Windows Me 中的「Internet 連接共享」及許多Internet 網關設備都使用 NAT，尤其是在通過 DSL 或電纜數據機連接寬頻網的情況下。
NAT 對於解決 IPv4 地址耗費問題 (在 IPv6 部署中卻沒必要) 盡管很有效，但畢竟屬於臨時性的解決方案。這種 IPv4 地址佔用問題在亞洲及世界其他一些地方已比較嚴重，且日漸成為北美地區需要關注的問題。這就是人們為什麼長久以來一直關注使用 IPv6 來克服這個問題的原因所在。
除了減少所需的 IPv4 地址外，由於專用網路之外的所有主機都通過一個共享的 IP 地址來監控通信，因此 NAT 還為專用網路提供了一個隱匿層。NAT 與防火牆或代理伺服器不同，但它確實有利於安全。

⑤ 簡述nat（網路地址轉換）工作原理

網路地址轉換有多種形式和若干種工作方式：nbsp;nbsp;nbsp;nbsp;*nbsp;靜態網路地址轉換——以一對一的方式將一個未注冊的nbsp;IPnbsp;地址映射到一個已注冊的nbsp;IPnbsp;地址。在需要能夠從網路外部訪問某個設備時尤其有用。在靜態網路地址轉換中，IP地址為192.168.32.10的計算機將始終轉換為213.18.123.110。nbsp;nbsp;nbsp;nbsp;*nbsp;動態網路地址轉換——將一個未注冊的IP地址映射到一組已注冊的IP地址中的某個已注冊的IP地址。動態網路地址轉換中，IP地址為192.168.32.10的計算機將轉換為213.18.123.100到213.18.123.150范圍內的第一個可用的地址。nbsp;nbsp;nbsp;nbsp;*nbsp;重載——動態網路地址轉換的一種形式，通過使用不同的埠，將多個未注冊的IP地址映射到一個已注冊的IP地址。這也稱為埠地址轉換nbsp;（PAT）、單地址網路地址轉換或埠級復用網路地址轉換。在重載中，專用網路中的每台計算機都被轉換為同一個IP地址nbsp;（213.18.123.100），但分配的埠號不同。nbsp;nbsp;nbsp;nbsp;*nbsp;重疊——如果您在內部網路上使用的IP地址同時也是在其他網路上正在使用的已注冊的IP地址，那麼路由器必須維護這些地址的查找表，以便能夠攔截它們，並將其替換成唯一的已注冊IP地址。值得注意的是，網路地址轉換路由器必須將「內部」地址轉換為唯一的已注冊地址，同時還必須將「外部」已注冊的地址轉換為對於專用網路而言獨一無二的地址。要實現這一點可以通過靜態網路地址轉換，或者通過使用域名解析服務然後實施動態網路地址轉換。內部IP范圍（237.16.32.xx）同時也是其他網路使用的注冊范圍。因此，路由器要轉換這些地址，以避免與其他網路產生沖突。當信息發送到內部網路時，路由器還會將已注冊的全局IP地址重新轉換為未注冊的本地IP地址。內部網路通常是區域網（LAN），常被稱作端域。端域是在其內部使用IP地址的區域網。端域中的大部分網路通信都是本地通信，因此它不會傳播到內部網路之外。端域中可包括已注冊的IP地址和未注冊的IP地址。當然，所有使用未注冊的IP地址的計算機必須使用網路地址轉換才能與其他網路進行通信。網路地址轉換可以用不同方法來配置。在下面的示例中，網路地址轉換路由器被配置為將位於專用網路（內部網路）上的未注冊的（本地內部）IP地址轉換為已注冊的IP地址。只要內部的某個設備（其地址是未注冊的IP地址）需要與公用網路（外部網路）進行通信，就會發生上面的轉換。nbsp;nbsp;nbsp;nbsp;*nbsp;互聯網服務提供商為您的公司分配一個IP地址范圍。范圍內的地址是唯一的已注冊的IP地址，被稱為內部全局地址。未注冊的專用IP地址被分成兩組，其中一組（外部本地地址）比較小，由網路地址轉換路由器來使用，另外一組（內部本地地址）就大得多了，在端域上使用。外部本地地址用於轉換公用網路上的設備的唯一的IP地址（稱為外部全局地址）。根據IP地址是位於專用網路上還是位於公用網路上，以及通信是傳入還是傳出，IP地址的名稱會不一樣。根據IP地址是位於專用網路（端域）上還是位於公用網路（互聯網）上，以及通信是傳入還是傳出，IP地址的名稱會不一樣。nbsp;nbsp;nbsp;nbsp;*nbsp;端域上的大多數計算機使用內部本地地址來互相通信。nbsp;nbsp;nbsp;nbsp;*nbsp;端域上有些計算機要與外部網路進行大量的通信。這些計算機有內部全局地址，意味著它們不需要進行轉換。nbsp;nbsp;nbsp;nbsp;*nbsp;如果端域上擁有內部本地地址的計算機要與外部網路進行通信，那麼數據包將轉到其中一個網路地址轉換路由器。nbsp;nbsp;nbsp;nbsp;*nbsp;網路地址轉換路由器會檢查路由表，查看是否有目標地址的對應項。如果有，網路地址轉換路由器將轉換該數據包，並在地址轉換表中為它創建對應項。如果路由表中沒有目標地址，那麼將丟棄該數據包。nbsp;nbsp;nbsp;nbsp;*nbsp;路由器使用內部全局地址將數據包繼續發送到它的目標地址。nbsp;nbsp;nbsp;nbsp;*nbsp;公用網路上的計算機向專用網路發送數據包。數據包上的源地址是一個外部全局地址。目標地址是一個內部全局地址。nbsp;nbsp;nbsp;nbsp;*nbsp;網路地址轉換路由器查看地址轉換表，發現表中有目標地址，該地址被映射到端域上的一台計算機。nbsp;nbsp;nbsp;nbsp;*nbsp;網路地址轉換路由器將數據包的內部全局地址轉換成內部本地地址，然後將其發送到目標計算機。網路地址轉換重載利用了TCP/IP協議棧的復用功能，該功能允許計算機使用不同的TCP或UDP 查看更多答案>>

⑥ nat是如何工作的

NAT 就像大型辦公室中的前台接待員。 假設您已指示接待員，沒有您的請求不要將任何電話轉接給您。 稍後，您呼叫一個潛在客戶並給他們留言，讓他們回電話。 您告訴接待員，您在等這個客戶的呼叫，並讓接待員在客戶來電時將電話轉接給您。
該客戶呼叫辦公室的總機，該號碼是客戶知道的唯一號碼。 當客戶告訴接待員他們想與誰通話時，接待員檢查匹配人名和分機的查找表。 接待員知道您請求過此呼叫，因此接待員將呼叫人轉到您的分機上。
Cisco 開發的網路地址轉換供位於內部網路和世界其他地方之間的設備（如防火牆、路由器或計算機）使用。 NAT 有多種形式，可通過以下幾種方式運行：
靜態 NAT – 按一對一的方式將未注冊的 IP 地址映射到注冊的 IP 地址。 在需要從網路外部訪問設備時特別有用。
在靜態 NAT 中，IP 地址為 192.168.32.10 的計算機將總是轉換為 213.18.123.110：動態 NAT – 將未注冊的 IP 地址映射到一組注冊 IP 地址中的一個注冊 IP 地址。 動態 NAT 也在未注冊和已注冊的 IP 地址之間建立一對一的映射，但在進行通信時，映射可能因池中提供的注冊地址不同而有差異。
在動態 NAT 中，IP 地址為 192.168.32.10 的計算機將轉換為從 213.18.123.100 到 213.18.123.150 范圍內的第一個可用地址：超載 – 是一種通過使用不同埠將多個未注冊的 IP 地址映射到單個已注冊 IP 地址的動態 NAT 形式。 也稱為 PAT（埠地址轉換），即單個地址 NAT 或埠級多路復用的 NAT。
在超載中，專用網路中的每台計算機被轉換為相同的 IP 地址 (213.18.123.100)，但具有不同的埠號分配：重疊 – 當您的內部網路中使用的 IP 地址是另一網路中使用的已注冊 IP 地址時，路由器必須維護這些地址的查找表，以便可以攔截這些地址並將其替換為已注冊的唯一 IP 地址。 值得注意的是，NAT 路由器必須將「內部」地址轉換為注冊的唯一地址，並且還必須將「外部」注冊地址轉換為專用網路的唯一地址。 這可以通過靜態 NAT 實現，也可以使用 DNS 並實現動態 NAT。
內部 IP 范圍 (237.16.32.xx) 也是另一網路使用的注冊范圍。 因此，路由器將轉換地址以避免與另一網路產生潛在的沖突。 向內部網路發送信息時，還會將注冊的全局 IP 地址轉換回未注冊的本地 IP 地址：內部網路通常是 LAN（區域網），通常稱作殘域。 殘域是在內部使用 IP 地址的 LAN。 殘域中的大多數網路流量都是本地流量，不在內部網路之外傳輸。 殘域可以包括注冊的和未注冊的 IP 地址。 當然，使用未注冊 IP 地址的所有計算機都必須使用網路地址轉換才能與世界其他地方通信。
可通過多種方式配置 NAT。 在下例中，NAT 路由器被配置為將駐留在專用（內部）網路的未注冊 IP 地址（在本地地址內部）轉換為注冊的 IP 地址。 每當內部網路中具有未注冊地址的設備需要與公共（外部）網路通信時，就會發生這種情況。
ISP 向您的公司分配一個 IP 地址范圍。 分配的地址塊是注冊的唯一 IP 地址，稱為內部全局地址。 未注冊的專用 IP 地址分為兩組，小部分（外部本地地址）用於NAT 路由器；大部分是內部本地地址，用於殘域。 外部本地地址用於轉換公共網路設備的唯一 IP 地址，即外部全局地址。 有關本地和全局地址的定義的詳細信息，請參閱 NAT： 本地和全局定義中找到。 NAT 只轉換在內部和外部網路之間傳輸並指定要轉換的數據流。 從不轉換與轉換標准不匹配或在路由器上其他介面之間轉發的任何數據流，但這些數據流會被轉發。
根據是在專用網路（殘域）還是在公共網路 (Internet)，以及數據流是傳入還是傳出，IP 地址有不同的標識：殘域上的多數計算機使用內部本地地址彼此通信。
殘域上的一些計算機在網路外部進行大量通信。 這些計算機具有內部全局地址，這表示它們不需要轉換。
當殘域上具有內部本地地址的計算機要與網路外部通信時，數據包通過正常路由到默認網關的方式傳入一個 NAT 路由器。
NAT 路由器檢查路由表，查看它是否具有目標地址的對應條目。 如果目標地址不在路由表中，數據包將被丟棄。 如果條目可用，它會驗證數據包是否從內部網路傳輸到外部網路，並且檢查數據包是否與指定的轉換標准匹配。 然後，路由器檢查地址轉換表，查找具有相應內部全局地址的內部本地地址是否存在條目。 如果找到條目，則通過使用內部全局地址轉換數據包。 如果只配置了靜態 NAT 並且沒有找到任何條目，則無需轉換即可發送數據包。
使用內部全局地址，路由器可向其目標發送數據包。
公共網路上的計算機向專用網路發送數據包。 數據包的源地址是外部全局地址。 目標地址是內部全局地址。
當數據包到達外部網路時，NAT 路由器查看地址轉換表並確定目標地址存在並映射到殘域上的計算機。
NAT 路由器將數據包的內部全局地址轉換為內部本地地址，然後檢查路由表，再將其發送到目標計算機。 只要沒有在轉換表中找到地址的對應條目，就不進行轉換，並繼續驗證路由表以確定目標地址。 如果在路由表中未找到到達目標的路由，數據包將被丟棄。
有關使用 NAT 處理事務的順序的詳細信息，請參閱 NAT 運行順序。
NAT 超載利用 TCP/IP 協議棧的多路復用功能，使計算機可以使用不同的 TCP 或 UDP 埠維護與遠程計算機的多個並發連接。 IP 數據包具有包含以下信息的報頭：
源地址 — 起始計算機的 IP 地址，例如，201.3.83.132。
源埠 — 起始計算機為此數據包分配的 TCP 或 UDP 埠號，例如，埠 1080。
目標地址 — 接收計算機的 IP 地址。 例如，145.51.18.223。
目標埠 — 起始計算機請求接收計算機打開的 TCP 或 UDP 埠號，例如，埠 3021。
地址在每個末端指定兩台計算機，同時埠號確保這兩台計算機之間的連接有唯一的標識符。 這四個號碼的組合定義了一個 TCP/IP 連接。 每個埠號使用16位，這意味著可能有65,536 (216)個值。 實際上，由於不同的製造商映射埠的方式略有不同，您可以擁有大約4,000個可用埠。
動態 NAT 和超載示例
Flash 動畫： 動態 NAT
以下是動態 NAT 的工作原理：
轉到動態 NAT Flash 動畫，單擊其中一個綠色按鈕，向殘域發送或從殘域接收成功的數據包。 單擊其中一個紅色按鈕，發送由於地址無效而被路由器丟棄的數據包。
已為內部網路（殘域）提供 IP 地址，這些地址並非由 IANA（Internet 地址分配機構）（分配 IP 地址的全球授權機構）專門分配給該公司。 由於這些地址不是唯一的，因此應將其視為不可路由。 這些是內部本地地址。
公司設置啟用了 NAT 的路由器。 該路由器具有一組由 IANA 為公司指定的唯一 IP 地址。 這些是內部全局地址。
殘域上的計算機嘗試連接到網路外部的計算機，例如 Web 伺服器。
路由器從殘域上的計算機接收數據包。
在檢查路由表並對轉換進行驗證後，路由器將計算機不可路由的 IP 地址保存到地址轉換表中。 路由器用唯一 IP 地址范圍外的第一個可用 IP 地址替換發送計算機的不可路由 IP 地址。 現在，轉換表具有與一個唯一 IP 地址匹配的計算機不可路由 IP 地址的映射。
當數據包從目標計算機返回時，路由器檢查數據包的目標地址。 然後，路由器查找地址轉換表，查看數據包屬於殘域的哪台計算機。 它將目標地址更改為地址轉換表中保存的地址，並將其發送到該計算機。 如果沒有在表中找到匹配項，將丟棄該數據包。
只要計算機與外部系統進行通信，計算機就會從路由器接收數據包，並且重復該流程。
以下是超載的工作原理：
已為內部網路（殘域）提供不可路由的 IP 地址，這些地址不是由 IANA 專門分配給該公司。
公司設置啟用了 NAT 的路由器。 該路由器具有一個由 IANA 為公司指定的唯一 IP 地址。
殘域上的計算機嘗試連接到網路外部的計算機，例如 Web 伺服器。
路由器從殘域上的計算機接收數據包。
在路由並驗證用於轉換的數據包之後，路由器將計算機不可路由的 IP 地址和埠號保存到地址轉換表中。 路由器用路由器的 IP 地址替換發送計算機不可路由的 IP 地址。 路由器用與路由器保存在地址轉換表中的發送計算機的地址信息匹配的埠號替換發送計算機的源埠。 現在，轉換表具有計算機不可路由的 IP 地址、埠號以及路由器的 IP 地址的映射。
當數據包從目標計算機返回時，路由器檢查數據包的目標地址。 然後，路由器查找地址轉換表，查看數據包屬於殘域的哪台計算機。 它將目標地址和目標埠更改為地址轉換表中保存的地址和埠，並將其發送到該計算機。
只要計算機與外部系統進行通信，計算機就會從路由器接收數據包，並且重復該流程。
由於 NAT 路由器現在將計算機的源地址和源埠保存到地址轉換表中，因此它將在連接期間繼續使用該埠號。 每當路由器訪問表中的條目時，都會重置計時器。 如果在計時器到期前沒有再次訪問該條目，該條目將從表中刪除。

⑦ NAT內部本地IP地址與IP外部全局地址重疊！互訪！

你是說內部本地地址與外部全局地址IP在同一網段嗎？那是不可能的，同一個路由器的每個路由埠，都不能在同一網段！即使路由器能支持這樣的網路設計，那你的的內部電腦在訪問外部電腦的時候，它會發現這是一個內部同一網段的地址，根本不會把數據發送給網關，而是直接發廣播尋找，而它肯定也不會找到的。

⑧ 什麼是NAT以及NAT的工作原理

原理：

a，內部地址翻譯（Translation inside local addresses)：

這是比較通用的一種方法，將內部IP一對一的翻譯成外部地址。

在內部主機連接到外部網路時，當第一個數據包到達NAT路由器時，router檢查它的NAT表，因為是NAT是靜態配置的，故可以查詢出來（simply entry），然後router將數據包的內部局部IP（源地址）更換成內部全局地址，再轉發出去。外部主機接受到數據包用接受到的內部全局地址來響應，NAT接受到外部回來的數據包，再根據NAT表把地址翻譯成內部局部IP，轉發過去。

b，內部全局地址復用（overloading inside glogal addresses）

使用地址和埠pair將多個內部地址影射到比較少的外部地址。這也是所謂的PAT。和內部地址翻譯一樣，NAT router同樣也負責查表和翻譯內部IP地址，唯一的區別就是由於使用了overloading，router將復用同樣的內部全局IP地址，並存儲足夠的信息以區分它和其他地址，這樣查詢出來的是extended entry。NAT router和外部主機的通訊採用翻譯過的內部全局地址，故同一般的通信沒有差別，router到內部主機通訊時，同樣要查NAT表。

c，TCP負載重分配（TCP load distributing）和以上兩種操作不同，這是NAT由外到內的翻譯，所以那種以為WEB server一定要放置到

NAT外部的說法是錯誤的。

工作原理：外部主機向虛擬主機（定義為內部全局地址）通訊，NAT router接受外部主機的請求並依據NAT表建立與內部主機的連接，把內部全局地址（目的地址）翻譯成內部局部地址，並轉發數據包到內部主機，內部主機接受包並作出響應。NAT router再使用內部局部地址和埠查詢數據表，根據查詢到的外部地址和埠做出響應。

此時，如果同一主機再做第二個連接，NAT router將根據NAT表將建立與另一虛擬主機的連接，並轉發數據。

d，處理重疊網路。

這種方法主要用於兩個intranet的互連，同樣給我們處理兩個重疊網路提供了方法。它的實現要求DNS server的支持（用於區別兩個不同的主機）。

1，主機A要求向主機C建立連接，先象DNS server做地址查詢。

2，NAT router截獲DNS的響應，如果地址有重疊，將翻譯返回的地址。它將創建一個simply entry把重疊的外部全局地址（目的地址）翻譯成外部局部地址。

3，路由器轉發DNS響應到主機A，它已經把主機C的地址（外部全局地址）翻譯成外部局部地址。

4，當路由器接受到主機C的數據包時，它將建立內部局部、全局，外部全局、局部地址間的轉換，主機A將由內部局部地址（源地址）翻譯成內部全局地址，主機C將由外部全局地址（目的地址）翻譯成外部局部地址。

5，主機C接受數據包並繼續通訊。