NAT网络地址重叠是什么

① nat类型有哪些

1、静态NAT：

指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备（如服务器）的访问。

2、动态NAT：

将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。

3、综合NAT：

即端口地址转换采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。

NAT应用

静态NAT通过手动设置，使 Internet 客户进行的通信能够映射到某个特定的私有网络地址和端口。如果想让连接在 Internet 上的计算机能够使用某个私有网络上的服务器（如网站服务器）以及应用程序（如游戏），那么静态映射是必需的。静态映射不会从 NAT 转换表中删除。

如果在 NAT 转换表中存在某个映射，那么 NAT 只是单向地从 Internet 向私有网络传送数据。这样，NAT 就为连接到私有网络部分的计算机提供了某种程度的保护。但是，如果考虑到 Internet 的安全性，NAT 就要配合全功能的防火墙一起使用。

② 什么是NAT技术它的主要优点是什么

NAT是指网络地址转换

是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址（即仅在本专用网内使用的专用地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法。

优点：

1、节省合法的注册地址，

2、在地址重叠时提供解决方案，

3、提高连接到因特网的灵活性，

4、在网络发生变化时避免重新编址。

缺点：

1、地址转换将增加交换延迟，

2、导致无法进行端到端IP跟踪，

3、导致有些应用程序无法正常运行。

(2)NAT网络地址重叠是什么扩展阅读：

NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用。

NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。

③ NAT技术该怎么配置

（一）相关概念

为了更好地认识NAT技术，我们先了解一下它所涉及的几个概念。

1．内部局部地址 在内部网上分配到一个主机的IP地址。这个地址可能不是一个有网络信息中心（NIC）或服务提供商所分配的合法IP地址。

2．内部全局地址 一个合法的IP地址（由NIC或服务供应商分配），对应到外部世界的一个或多个本地IP地址。

3．外部局部地址 出现在网络内的一个外部主机的IP地址，不一定是合法地址，它可以在内部网上从可路由的地址空间进行分配。

4．外部全局地址 由主机拥有者在外部网上分配给主机的IP地址，该地址可以从全局路由地址或网络空间进行分配。图1展示了NAT相关术语的图解。

对于NAT技术，提供4种翻译地址的方式，如下所示。

（二）4种翻译方式

1．静态翻译 是在内部局部地址和内部全局地址之间建立一对一的映射。

2．动态翻译 是在一个内部局部地址和外部地址池之间建立一种映射。

3．端口地址翻译 超载内部全局地址通过允许路由器为多个局部地址分配一个全局地址，也就是将多个局部地址映射为一个全局地址的某一端口，因此也被称为端口地址翻译（PAT）。

4．重叠地址翻译 翻译重叠地址是当一个内部网中使用的内部局部地址与另外一个内部网中的地址相同，通过翻译，使两个网络连接后的通信保持正常。

在实际使用中，通常需要以上几种翻译方式配合使用。

二、让典型应用“说话”

现在，我们以常见Cisco路由器为例，阐述典型应用中NAT技术的实现。

1．配置共享IP地址

应用需求：当您需要允许内部用户访问Internet，但又没有足够的合法IP地址时，可以使用配置共享IP地址连接Internet的NAT转换方式。

图2是配置内部网络10.10.10.0/24通过重载一个地址172.16.10.1./24访问外部网络的全过程。如果有多个外部地址，可以利用动态翻译进行转换，这里就不多做说明了。清单1展示了具体配置方法。

NAT路由器配置清单1

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 172.16.10.64 255.255.255.0

ip nat outside

!-- 定义外部转换接口

ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24

!-- 定义名为ovrld的NAT地址池和地址池重的地址172.16.10.1

ip nat inside source list 1 pool ovrld overload

!--指出被 access-list 1 允许的源地址会转换成NAT地址池ovrld中的地址并且转换会被内部多个机器重载成一个相同的IP地址。

access-list 1 permit 10.10.10.0 0.0.0.31

!-- Access-list 1 允许地址10.10.10.0到10.10.10.255进行转换

NAT路由器配置清单2

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 172.16.20.254 255.255.255.0

ip nat outside

!-- 定义外部转换接口

ip nat inside source static 10.10.10.1 172.16.20.1

!-- 指定将地址10.10.10.1静态转换为172.16.20.1

适用范围：这种情况适合于通信都是由内部用户向Internet发起的应用。

例如小型企业多个用户通过共享xDSL连接Internet。另外，也可以用软件进行NAT转换，Windows 2000的操作系统就有这样的功能。至于内部用户数量较多的情况，建议使用代理服务器。

2．配置在Internet上发布的服务器

应用需求：当您需要将内部设备发布到Internet上时，可以使用配置在Internet上发布的服务器的NAT转换方式。

图3是将内部网络的邮件服务器（IP地址为10.10.10.1/24）发布到外部网络的全过程，使用静态翻译可以实现这种转换。清单2展示了具体配置方法。

适用范围：这种情况适合于访问是从外部网络向内部设备发起的应用。

3．配置端口映射

应用需求：假设您在Internet上发布一台在内部网络的Web服务器，服务器配置成监听8080端口，您需要把外部网络对Web服务器80端口的访问请求重定向。

图4为配置端口映射示意图，清单3展示了具体配置方法。

4．配置TCP传输

应用需求：TCP传输装载共享是与地址匮乏无关的问题，它将数个设备的地址映射成一个虚拟设备的地址，从而实现设备间的负载均衡。

图5是将地址从10.10.10.2到10.10.10.15的真实设备映射成虚拟10.10.10.1地址的全过程。清单4展示了具体配置方法。

5．真实应用案例

应用需求：笔者所在的单位内部的局域网已建成，并稳定运行着各种应用系统。随着业务的发展，需要实施一个数据中心在外单位的新应用。出于安全方面的考虑，不能够对现有网络结构进行大的调整和改动；另外，由于资金方面的原因，需要尽可能地节省设备等方面的投入。

应用现状：我单位内部网结构如下：具有3个VLAN。VLAN 1（即10.1.1.X），使用单位内部应用系统，与数据中心没有数据交换；VLAN 2（即10.2.2.X），使用数据中心提供的应用系统，约有100台机器；VLAN 3（即10.3.3.X），只用2台机器使用数据中心提供的应用，分别是10.3.3.1和10.3.3.2。

数据中心提供一台Cisco 3640，Serial口与数据中心通过HDSL连接，分配的地址分别是192.168.252.1和255.255.255.252，FastEthernet口与单位内部局域网连接，分配的地址分别是192.168.1.0和255.255.255.0。

实施方案：由于不打算更改内部网的结构，所以将内部网地址作为内部局部地址，数据中心分配的地址作为内部全局地址，实施NAT应用。另外NAT需要两个端口，一个做为inside，另一个做为outside，因此考虑使用FastEthernet口做inside，Serial口做outside。图6 为本单位NAT技术的应用图。

利用以上设置，我们成功实现了内部地址的翻译转换，并实现了在不改变现有网络结构的情况下与数据中心连网的目标。

三、有比较有选择

1．与代理服务器的比较

用户经常把NAT和代理服务器相混淆。NAT设备对源机器和目标机器都是透明的，地址翻译只在网络边界进行。代理服务器不是透明的，源机器知道它需要通过代理服务器发出请求，而且需要在源机器上做出相关的配置，目标机器则以为代理服务器就是发出请求的源机器，并将数据直接发送到代理服务器，由代理服务器将数据转发到源机器上。

NAT路由器配置清单3

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 172.16.30.254 255.255.255.0

ip nat outside

!-- 定义外部转换接口

ip nat inside source static tcp 10.10.10.8 8080 172.16.30.8 80

!-- 指定将地址10.10.10.8:8080静态转换为172.16.30.8:80

NAT路由器配置清单4

interface ethernet 0

ip address 10.10.10.17 255.255.255.0ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 10.10.10.254 255.255.255.0ip nat outside

!-- 定义外部转换接口

ip nat pool real-hosts 10.10.10.2 10.10.10.15 prefix-length 28 type rotaryip nat inside destination list 1 pool real-hosts

!--定义地址池real-hosts地址范围是从10.10.10.2到10.10.10.15

!--指定将地址将地址池real-hosts转换为10.10.10.1

access-list 1 permit 10.10.10.1

代理服务器工作在OSI模型的第4层传输层，NAT则是工作在第3层网络层，由于高层的协议比较复杂，通常来说，代理服务器比NAT要慢一些。

但是NAT比较占用路由器的CPU资源，加上NAT隐藏了IP地址，跟踪起来比较困难，不利于管理员对内部用户对外部访问的跟踪管理和审计工作。所有NAT技术只适用于内部用户数量较少的应用，如果访问外部网络的用户数量大，而且管理员对内部用户有访问策略设置和访问情况跟踪的应用，还是使用代理服务器较好一些。

NAT路由器配置清单5

interface fastethernet 1/0

ip nat inside

!-- 定义内部转换接口

interface serial 0/0

ip address 192.168.252.1 255.255.255.252

ip address 192.168.1.254 255.255.255.0 secondary

ip nat outside

!-- 为节省端口，将数据中心提供的地址全部绑在Serial口

ip nat pool ToCenter 192.168.1.1 192.168.1.253 prefix-length 24

ip nat inside source list 1 pool ToCenter

!-- 建立动态源地址翻译，指定在前一步定义的访问列表

access-list 1 permit 10.3.3.1

access-list 1 permit 10.3.3.2

access-list 1 permit 10.2.2.0 0.0.0.255

!-- 定义一个标准的访问列表，对允许访问数据中心的地址进行翻译

2．与防火墙比较

防火墙是一个或一组安全系统，它在网络之间执行访问控制策略。防火墙对流经它的网络通信数据进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口，禁止特定端口的流出通信，封锁特洛伊木马等。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

一般的防火墙都具有NAT功能，或者能和NAT配合使用。应用到防火墙技术中的NAT技术可以把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络设备。作为网络安全的一个重要手段，是选用单纯的NAT技术还是带NAT技术的防火墙，要从几个方面考虑：

一是您的企业和运营机构如何运用访问控制策略，是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务，还是为了访问提供一种计量和审计的方法；

二是您对企业网需要何种程度的监视、冗余度以及控制水平；

三则是财务上的考虑，一个高端完整的防火墙系统是十分昂贵的。是否采用防火墙需要在易用性、安全性和预算之间做出平衡的决策。

四、安全中的不安全

我们可以从以下几个方面窥视NAT技术的安全性问题。

1．NAT只对地址进行转换而不进行其他操作，因此，当您建立了与外部网络的连接时，NAT不会阻止任何从外部返回的恶意破坏信息。

2．虽然NAT隐藏了端到端的IP地址，但它并不隐藏主机信息。例如您通过NAT设备访问Windows Streaming Media服务器，您会发现服务器记录的不仅是您的主机名，还有您的内部IP地址和操作系统。

3．Internet上的恶意攻击通常针对机器的“熟知端口”，如HTTP的80端口、FTP的21端口和POP的110端口等。虽然NAT可以屏蔽不向外部网络开放的端口，但针对面向熟知端口的攻击，它是无能为力的。

4．许多NAT设备都不记录从外部网络到内部网络的连接，这会使您受到来自外部网络的攻击，但由于没有记录可以追查，您根本无法发觉自己受到过什么攻击。

NAT隐藏了内部IP地址，使其具有一定的安全性，但从上面的分析我们可以知道，不能将NAT作为网络单一的安全防范措施。

④ 什么是NAT(网络地址转换)计术

什么是 NAT？
网络地址转换 (NAT) 是一个 Internet 工程任务组 (Internet Engineering Task Force，IETF) 标准，用于允许专用网络上的多台 PC (使用专用地址段，例如 10.0.x.x、192.168.x.x、172.x.x.x) 共享单个、全局路由的 IPv4 地址。IPv4 地址日益不足是经常部署 NAT 的一个主要原因。Windows XP 和 Windows Me 中的“Internet 连接共享”及许多Internet 网关设备都使用 NAT，尤其是在通过 DSL 或电缆调制解调器连接宽带网的情况下。
NAT 对于解决 IPv4 地址耗费问题 (在 IPv6 部署中却没必要) 尽管很有效，但毕竟属于临时性的解决方案。这种 IPv4 地址占用问题在亚洲及世界其他一些地方已比较严重，且日渐成为北美地区需要关注的问题。这就是人们为什么长久以来一直关注使用 IPv6 来克服这个问题的原因所在。
除了减少所需的 IPv4 地址外，由于专用网络之外的所有主机都通过一个共享的 IP 地址来监控通信，因此 NAT 还为专用网络提供了一个隐匿层。NAT 与防火墙或代理服务器不同，但它确实有利于安全。

⑤ 简述nat（网络地址转换）工作原理

网络地址转换有多种形式和若干种工作方式：nbsp;nbsp;nbsp;nbsp;*nbsp;静态网络地址转换——以一对一的方式将一个未注册的nbsp;IPnbsp;地址映射到一个已注册的nbsp;IPnbsp;地址。在需要能够从网络外部访问某个设备时尤其有用。在静态网络地址转换中，IP地址为192.168.32.10的计算机将始终转换为213.18.123.110。nbsp;nbsp;nbsp;nbsp;*nbsp;动态网络地址转换——将一个未注册的IP地址映射到一组已注册的IP地址中的某个已注册的IP地址。动态网络地址转换中，IP地址为192.168.32.10的计算机将转换为213.18.123.100到213.18.123.150范围内的第一个可用的地址。nbsp;nbsp;nbsp;nbsp;*nbsp;重载——动态网络地址转换的一种形式，通过使用不同的端口，将多个未注册的IP地址映射到一个已注册的IP地址。这也称为端口地址转换nbsp;（PAT）、单地址网络地址转换或端口级复用网络地址转换。在重载中，专用网络中的每台计算机都被转换为同一个IP地址nbsp;（213.18.123.100），但分配的端口号不同。nbsp;nbsp;nbsp;nbsp;*nbsp;重叠——如果您在内部网络上使用的IP地址同时也是在其他网络上正在使用的已注册的IP地址，那么路由器必须维护这些地址的查找表，以便能够拦截它们，并将其替换成唯一的已注册IP地址。值得注意的是，网络地址转换路由器必须将“内部”地址转换为唯一的已注册地址，同时还必须将“外部”已注册的地址转换为对于专用网络而言独一无二的地址。要实现这一点可以通过静态网络地址转换，或者通过使用域名解析服务然后实施动态网络地址转换。内部IP范围（237.16.32.xx）同时也是其他网络使用的注册范围。因此，路由器要转换这些地址，以避免与其他网络产生冲突。当信息发送到内部网络时，路由器还会将已注册的全局IP地址重新转换为未注册的本地IP地址。内部网络通常是局域网（LAN），常被称作端域。端域是在其内部使用IP地址的局域网。端域中的大部分网络通信都是本地通信，因此它不会传播到内部网络之外。端域中可包括已注册的IP地址和未注册的IP地址。当然，所有使用未注册的IP地址的计算机必须使用网络地址转换才能与其他网络进行通信。网络地址转换可以用不同方法来配置。在下面的示例中，网络地址转换路由器被配置为将位于专用网络（内部网络）上的未注册的（本地内部）IP地址转换为已注册的IP地址。只要内部的某个设备（其地址是未注册的IP地址）需要与公用网络（外部网络）进行通信，就会发生上面的转换。nbsp;nbsp;nbsp;nbsp;*nbsp;互联网服务提供商为您的公司分配一个IP地址范围。范围内的地址是唯一的已注册的IP地址，被称为内部全局地址。未注册的专用IP地址被分成两组，其中一组（外部本地地址）比较小，由网络地址转换路由器来使用，另外一组（内部本地地址）就大得多了，在端域上使用。外部本地地址用于转换公用网络上的设备的唯一的IP地址（称为外部全局地址）。根据IP地址是位于专用网络上还是位于公用网络上，以及通信是传入还是传出，IP地址的名称会不一样。根据IP地址是位于专用网络（端域）上还是位于公用网络（互联网）上，以及通信是传入还是传出，IP地址的名称会不一样。nbsp;nbsp;nbsp;nbsp;*nbsp;端域上的大多数计算机使用内部本地地址来互相通信。nbsp;nbsp;nbsp;nbsp;*nbsp;端域上有些计算机要与外部网络进行大量的通信。这些计算机有内部全局地址，意味着它们不需要进行转换。nbsp;nbsp;nbsp;nbsp;*nbsp;如果端域上拥有内部本地地址的计算机要与外部网络进行通信，那么数据包将转到其中一个网络地址转换路由器。nbsp;nbsp;nbsp;nbsp;*nbsp;网络地址转换路由器会检查路由表，查看是否有目标地址的对应项。如果有，网络地址转换路由器将转换该数据包，并在地址转换表中为它创建对应项。如果路由表中没有目标地址，那么将丢弃该数据包。nbsp;nbsp;nbsp;nbsp;*nbsp;路由器使用内部全局地址将数据包继续发送到它的目标地址。nbsp;nbsp;nbsp;nbsp;*nbsp;公用网络上的计算机向专用网络发送数据包。数据包上的源地址是一个外部全局地址。目标地址是一个内部全局地址。nbsp;nbsp;nbsp;nbsp;*nbsp;网络地址转换路由器查看地址转换表，发现表中有目标地址，该地址被映射到端域上的一台计算机。nbsp;nbsp;nbsp;nbsp;*nbsp;网络地址转换路由器将数据包的内部全局地址转换成内部本地地址，然后将其发送到目标计算机。网络地址转换重载利用了TCP/IP协议栈的复用功能，该功能允许计算机使用不同的TCP或UDP 查看更多答案>>

⑥ nat是如何工作的

NAT 就像大型办公室中的前台接待员。 假设您已指示接待员，没有您的请求不要将任何电话转接给您。 稍后，您呼叫一个潜在客户并给他们留言，让他们回电话。 您告诉接待员，您在等这个客户的呼叫，并让接待员在客户来电时将电话转接给您。
该客户呼叫办公室的总机，该号码是客户知道的唯一号码。 当客户告诉接待员他们想与谁通话时，接待员检查匹配人名和分机的查找表。 接待员知道您请求过此呼叫，因此接待员将呼叫人转到您的分机上。
Cisco 开发的网络地址转换供位于内部网络和世界其他地方之间的设备（如防火墙、路由器或计算机）使用。 NAT 有多种形式，可通过以下几种方式运行：
静态 NAT – 按一对一的方式将未注册的 IP 地址映射到注册的 IP 地址。 在需要从网络外部访问设备时特别有用。
在静态 NAT 中，IP 地址为 192.168.32.10 的计算机将总是转换为 213.18.123.110：动态 NAT – 将未注册的 IP 地址映射到一组注册 IP 地址中的一个注册 IP 地址。 动态 NAT 也在未注册和已注册的 IP 地址之间建立一对一的映射，但在进行通信时，映射可能因池中提供的注册地址不同而有差异。
在动态 NAT 中，IP 地址为 192.168.32.10 的计算机将转换为从 213.18.123.100 到 213.18.123.150 范围内的第一个可用地址：超载 – 是一种通过使用不同端口将多个未注册的 IP 地址映射到单个已注册 IP 地址的动态 NAT 形式。 也称为 PAT（端口地址转换），即单个地址 NAT 或端口级多路复用的 NAT。
在超载中，专用网络中的每台计算机被转换为相同的 IP 地址 (213.18.123.100)，但具有不同的端口号分配：重叠 – 当您的内部网络中使用的 IP 地址是另一网络中使用的已注册 IP 地址时，路由器必须维护这些地址的查找表，以便可以拦截这些地址并将其替换为已注册的唯一 IP 地址。 值得注意的是，NAT 路由器必须将“内部”地址转换为注册的唯一地址，并且还必须将“外部”注册地址转换为专用网络的唯一地址。 这可以通过静态 NAT 实现，也可以使用 DNS 并实现动态 NAT。
内部 IP 范围 (237.16.32.xx) 也是另一网络使用的注册范围。 因此，路由器将转换地址以避免与另一网络产生潜在的冲突。 向内部网络发送信息时，还会将注册的全局 IP 地址转换回未注册的本地 IP 地址：内部网络通常是 LAN（局域网），通常称作残域。 残域是在内部使用 IP 地址的 LAN。 残域中的大多数网络流量都是本地流量，不在内部网络之外传输。 残域可以包括注册的和未注册的 IP 地址。 当然，使用未注册 IP 地址的所有计算机都必须使用网络地址转换才能与世界其他地方通信。
可通过多种方式配置 NAT。 在下例中，NAT 路由器被配置为将驻留在专用（内部）网络的未注册 IP 地址（在本地地址内部）转换为注册的 IP 地址。 每当内部网络中具有未注册地址的设备需要与公共（外部）网络通信时，就会发生这种情况。
ISP 向您的公司分配一个 IP 地址范围。 分配的地址块是注册的唯一 IP 地址，称为内部全局地址。 未注册的专用 IP 地址分为两组，小部分（外部本地地址）用于NAT 路由器；大部分是内部本地地址，用于残域。 外部本地地址用于转换公共网络设备的唯一 IP 地址，即外部全局地址。 有关本地和全局地址的定义的详细信息，请参阅 NAT： 本地和全局定义中找到。 NAT 只转换在内部和外部网络之间传输并指定要转换的数据流。 从不转换与转换标准不匹配或在路由器上其他接口之间转发的任何数据流，但这些数据流会被转发。
根据是在专用网络（残域）还是在公共网络 (Internet)，以及数据流是传入还是传出，IP 地址有不同的标识：残域上的多数计算机使用内部本地地址彼此通信。
残域上的一些计算机在网络外部进行大量通信。 这些计算机具有内部全局地址，这表示它们不需要转换。
当残域上具有内部本地地址的计算机要与网络外部通信时，数据包通过正常路由到默认网关的方式传入一个 NAT 路由器。
NAT 路由器检查路由表，查看它是否具有目标地址的对应条目。 如果目标地址不在路由表中，数据包将被丢弃。 如果条目可用，它会验证数据包是否从内部网络传输到外部网络，并且检查数据包是否与指定的转换标准匹配。 然后，路由器检查地址转换表，查找具有相应内部全局地址的内部本地地址是否存在条目。 如果找到条目，则通过使用内部全局地址转换数据包。 如果只配置了静态 NAT 并且没有找到任何条目，则无需转换即可发送数据包。
使用内部全局地址，路由器可向其目标发送数据包。
公共网络上的计算机向专用网络发送数据包。 数据包的源地址是外部全局地址。 目标地址是内部全局地址。
当数据包到达外部网络时，NAT 路由器查看地址转换表并确定目标地址存在并映射到残域上的计算机。
NAT 路由器将数据包的内部全局地址转换为内部本地地址，然后检查路由表，再将其发送到目标计算机。 只要没有在转换表中找到地址的对应条目，就不进行转换，并继续验证路由表以确定目标地址。 如果在路由表中未找到到达目标的路由，数据包将被丢弃。
有关使用 NAT 处理事务的顺序的详细信息，请参阅 NAT 运行顺序。
NAT 超载利用 TCP/IP 协议栈的多路复用功能，使计算机可以使用不同的 TCP 或 UDP 端口维护与远程计算机的多个并发连接。 IP 数据包具有包含以下信息的报头：
源地址 — 起始计算机的 IP 地址，例如，201.3.83.132。
源端口 — 起始计算机为此数据包分配的 TCP 或 UDP 端口号，例如，端口 1080。
目标地址 — 接收计算机的 IP 地址。 例如，145.51.18.223。
目标端口 — 起始计算机请求接收计算机打开的 TCP 或 UDP 端口号，例如，端口 3021。
地址在每个末端指定两台计算机，同时端口号确保这两台计算机之间的连接有唯一的标识符。 这四个号码的组合定义了一个 TCP/IP 连接。 每个端口号使用16位，这意味着可能有65,536 (216)个值。 实际上，由于不同的制造商映射端口的方式略有不同，您可以拥有大约4,000个可用端口。
动态 NAT 和超载示例
Flash 动画： 动态 NAT
以下是动态 NAT 的工作原理：
转到动态 NAT Flash 动画，单击其中一个绿色按钮，向残域发送或从残域接收成功的数据包。 单击其中一个红色按钮，发送由于地址无效而被路由器丢弃的数据包。
已为内部网络（残域）提供 IP 地址，这些地址并非由 IANA（Internet 地址分配机构）（分配 IP 地址的全球授权机构）专门分配给该公司。 由于这些地址不是唯一的，因此应将其视为不可路由。 这些是内部本地地址。
公司设置启用了 NAT 的路由器。 该路由器具有一组由 IANA 为公司指定的唯一 IP 地址。 这些是内部全局地址。
残域上的计算机尝试连接到网络外部的计算机，例如 Web 服务器。
路由器从残域上的计算机接收数据包。
在检查路由表并对转换进行验证后，路由器将计算机不可路由的 IP 地址保存到地址转换表中。 路由器用唯一 IP 地址范围外的第一个可用 IP 地址替换发送计算机的不可路由 IP 地址。 现在，转换表具有与一个唯一 IP 地址匹配的计算机不可路由 IP 地址的映射。
当数据包从目标计算机返回时，路由器检查数据包的目标地址。 然后，路由器查找地址转换表，查看数据包属于残域的哪台计算机。 它将目标地址更改为地址转换表中保存的地址，并将其发送到该计算机。 如果没有在表中找到匹配项，将丢弃该数据包。
只要计算机与外部系统进行通信，计算机就会从路由器接收数据包，并且重复该流程。
以下是超载的工作原理：
已为内部网络（残域）提供不可路由的 IP 地址，这些地址不是由 IANA 专门分配给该公司。
公司设置启用了 NAT 的路由器。 该路由器具有一个由 IANA 为公司指定的唯一 IP 地址。
残域上的计算机尝试连接到网络外部的计算机，例如 Web 服务器。
路由器从残域上的计算机接收数据包。
在路由并验证用于转换的数据包之后，路由器将计算机不可路由的 IP 地址和端口号保存到地址转换表中。 路由器用路由器的 IP 地址替换发送计算机不可路由的 IP 地址。 路由器用与路由器保存在地址转换表中的发送计算机的地址信息匹配的端口号替换发送计算机的源端口。 现在，转换表具有计算机不可路由的 IP 地址、端口号以及路由器的 IP 地址的映射。
当数据包从目标计算机返回时，路由器检查数据包的目标地址。 然后，路由器查找地址转换表，查看数据包属于残域的哪台计算机。 它将目标地址和目标端口更改为地址转换表中保存的地址和端口，并将其发送到该计算机。
只要计算机与外部系统进行通信，计算机就会从路由器接收数据包，并且重复该流程。
由于 NAT 路由器现在将计算机的源地址和源端口保存到地址转换表中，因此它将在连接期间继续使用该端口号。 每当路由器访问表中的条目时，都会重置计时器。 如果在计时器到期前没有再次访问该条目，该条目将从表中删除。

⑦ NAT内部本地IP地址与IP外部全局地址重叠！互访！

你是说内部本地地址与外部全局地址IP在同一网段吗？那是不可能的，同一个路由器的每个路由端口，都不能在同一网段！即使路由器能支持这样的网络设计，那你的的内部电脑在访问外部电脑的时候，它会发现这是一个内部同一网段的地址，根本不会把数据发送给网关，而是直接发广播寻找，而它肯定也不会找到的。

⑧ 什么是NAT以及NAT的工作原理

原理：

a，内部地址翻译（Translation inside local addresses)：

这是比较通用的一种方法，将内部IP一对一的翻译成外部地址。

在内部主机连接到外部网络时，当第一个数据包到达NAT路由器时，router检查它的NAT表，因为是NAT是静态配置的，故可以查询出来（simply entry），然后router将数据包的内部局部IP（源地址）更换成内部全局地址，再转发出去。外部主机接受到数据包用接受到的内部全局地址来响应，NAT接受到外部回来的数据包，再根据NAT表把地址翻译成内部局部IP，转发过去。

b，内部全局地址复用（overloading inside glogal addresses）

使用地址和端口pair将多个内部地址影射到比较少的外部地址。这也是所谓的PAT。和内部地址翻译一样，NAT router同样也负责查表和翻译内部IP地址，唯一的区别就是由于使用了overloading，router将复用同样的内部全局IP地址，并存储足够的信息以区分它和其他地址，这样查询出来的是extended entry。NAT router和外部主机的通讯采用翻译过的内部全局地址，故同一般的通信没有差别，router到内部主机通讯时，同样要查NAT表。

c，TCP负载重分配（TCP load distributing）和以上两种操作不同，这是NAT由外到内的翻译，所以那种以为WEB server一定要放置到

NAT外部的说法是错误的。

工作原理：外部主机向虚拟主机（定义为内部全局地址）通讯，NAT router接受外部主机的请求并依据NAT表建立与内部主机的连接，把内部全局地址（目的地址）翻译成内部局部地址，并转发数据包到内部主机，内部主机接受包并作出响应。NAT router再使用内部局部地址和端口查询数据表，根据查询到的外部地址和端口做出响应。

此时，如果同一主机再做第二个连接，NAT router将根据NAT表将建立与另一虚拟主机的连接，并转发数据。

d，处理重叠网络。

这种方法主要用于两个intranet的互连，同样给我们处理两个重叠网络提供了方法。它的实现要求DNS server的支持（用于区别两个不同的主机）。

1，主机A要求向主机C建立连接，先象DNS server做地址查询。

2，NAT router截获DNS的响应，如果地址有重叠，将翻译返回的地址。它将创建一个simply entry把重叠的外部全局地址（目的地址）翻译成外部局部地址。

3，路由器转发DNS响应到主机A，它已经把主机C的地址（外部全局地址）翻译成外部局部地址。

4，当路由器接受到主机C的数据包时，它将建立内部局部、全局，外部全局、局部地址间的转换，主机A将由内部局部地址（源地址）翻译成内部全局地址，主机C将由外部全局地址（目的地址）翻译成外部局部地址。

5，主机C接受数据包并继续通讯。