前几篇文章写了VLAN和VPN两个比较实用的技术，今天跟大家分享一篇有关内外网映射的NAT技术。

写NAT技术之前，有必要还是交代一些NAT技术诞生的背景。大家知道目前主流的IP地址协议是IPV4，就4段数字，每一段最大不超过255，从0.0.0.0-255.255.255.255。由于互联网的蓬勃发展，IP位址的需求量愈来愈大，实际情况是在2011年2月3日IPv4位地址分配完毕。

扣除私有类IP地址：A类 10.0.0.0--10.255.255.255；B类172.16.0.0--172.31.255.255；C类 192.168.0.0--192.168.255.255这些非注册地址。那么在IPV6普及之前，随着接入Internet的计算机数量的不断猛增，IP地址资源也就愈加显得捉襟见肘。即使是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有几个或十几个IP地址，当然申请越多的公网IP地址每年承担的费用是高昂的。显然，这样少的IP地址根本无法满足网络用户的需求，于是也就产生了NAT技术。

NAT不仅能解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

一对一的基本NAT地址转换原理：

内部网络的地址是192.168.0.0网段，而对外的公有网络IP地址是203.196.3.23。内部网络财务部主机192.168.8.88访问外部网络新浪网(IP222.76.214.60)，主机192.168.8.88发出一个数据报文，随机选择一个源端口4396，目的端口为80。在经过NAT设备后，该报文的源地址和端口可能改为203.196.3.23:32814，目的地址与端口不改变。在NAT设备中维护着一张地址和端口对应转换表，当外部网络的新浪网服务器返回数据包时，NAT设备检查转换表，将数据报文中目的IP地址及端口转化为192.168.8.88:4396。

这个交换的过程，实现了内部主机访问外部服务器，这样只要少量的公网IP地址就可以实现内网多台主机访问外部网络的过程，当然有些朋友注意到了，外网服务器由始至终都不知道是内网里哪台主机访问了它。地址转换NAT的有点在于，在为内部主机提供“隐私”保护的前提下，实现了内部网络的主机通过该功能访问外部网络资源的目的。

同理，如果NAT Router后面是若干台服务器，外部网络的访问者Client只需通过公网IP地址访问，不知道服务器内网IP和开放端口是什么，提高安全性。

多对一的NAT地址转换(NAPT)原理

当内部网络的多台主机并发地要求访问外部网络时，则一对一地址转换肯定满足不了要求。这是就要用到NAT的一种变形——NAPT网络地址端口转换，或地址复用。通过NAPT，一个合适的外部地址(203.196.3.23)就可以被多个内部用户(财务部、技术部和业务部)并发地访问外部网络资源，只要使用这个外部地址(203.196.3.23)不同的端口就行。

总结NAT的作用有：

1.节约IP地址，内部网络可以使用私有IP和外部网络通信；

2.增强了内部网络和外部网络通信的灵活性。

3.隐藏内部网络的细节，避免来自网络外部的端口扫描等指向攻击，可以起到一定的安全作用。