基于端口的网络地址转换(PAT).doc

4.3.4 基于端口的网络地址转换（PAT）如果机构注册的IP地址池很小甚至只有一个IP地址，仍可以通过NAT重载（端口地址转换（PAT）机制，使多个用户可以同时访问公共网络。PAT将多个本地地址转换为一个全局IP地址。当源主机向目标主机发送消息时，将结合使用IP地址和端口号来跟踪与目标主机的会话。在PAT中，网关将分组中本地源地址和端口转换为一个全局IP地址和大于1024的端口号。虽然所有主机的IP地址都将转换为同一个全局IP地址，但与会话相关联的端口号是唯一的。响应数据流将发送到转换后的IP地址和主机使用的端口。路由器有一个表，其中列出了被转换为外部地址的内部IP地址和端口号组合。响应数据流被发送到外部地址，然后被转发到合适的内部地址和端口号。由于可用的端口超过64000个，因此路由器不太可能耗尽端口号。图4.20显示了一个使用PAT的私有网络，该网络包含40台主机，每台主机都使用同一个公有IP地址与Internet通信，该地址是分配给新ISR路由器的外部接口的。图4.20 PAT的工作原理由于转换是基于本地地址和本地端口的，因此对于使用新源端口的每条连接都需要使用不同的转换。例如，10.1.1.1:1025和10.1.1.1:1026需要使用不同的转换。转换只在连接期间有效，因此在会话结束后，用户不会继续使用相同的全局IP地址和端口号组合。当内部网络使用PAT时，外部用户将无法可靠建立到内部网络中主机的连接。这是因为外部用户无法知道主机的本地或全局端口号，且除非内部网络中的主机发起通信，否则网关不会创建转换。在如图4.21所示的私有内部网络中，主机H1需要使用PAT将分组发送给外部主机H2。该源主机的内部本地地址为192.168.1.106，源端口为7000。目的地主机H2是一台Web服务器，且目的地端口为著名端口80。在分组穿越路由器以前往服务器H2时，路由器将把源地址192.168.1.106转换为一个可用的公有IP地址，然后选择一个可用端口（端口号大于1024的任何端口），并将其绑定到公有地址209.165.202.129，再将分组转发到Web服务器。如图4.22所示，显示了对Web服务器的响应执行的相反转换。服务器将响应发送到它收到的分组使用的主机IP地址和端口组合。网关路由器收到响应并识别IP地址和端口组合，然后将该组合转换为正确的IP地址192.168.1.106和原始端口号，以便能够在本地转发分组。Packet Tracer练习 查看网络地址转换（4.2.3）在这个Packet Tracer练习中，读者将在分组穿越NAT边界时查看其IP报头的内容。请使用本书配套光盘中的文件d2-423.pka来完成该练习。图4.21 PAT：外出的分组实验4.2 确定PAT转换（4.2.4）在这个实验中，读者将确定执行的PAT转换数，详情请参阅本书第2部分的实验。可以现在就做，也可阅读完本章后再做。4.3.5 IP NAT存在的问题在大多数时候，NAT都是透明的，从私有网络访问Internet时用户觉察不到路由器为实现NAT而执行的操作。NAT的一大问题是，为支持IP地址和端口转换而增加了工作负担。有些应用程序将IP地址嵌入到封装数据中，这增加了路由器的工作负担。除IP报头中的源地址外，路由器还必须替换数据中包含的源IP地址和端口。使用NAT时，这些操作都由路由器执行，因此要在网络中实现NAT，必须采用良好的网络设计、小心选择设备、准确配置并定期进行维护。作为一种支持IPv4的协议，NAT推迟了IPv4地址空间耗尽的时间。NAT在家庭和小型企业使用的集成网络设备中非常普遍，对这些用户来说