文档介绍:AT是将IP地址从一组地址映射到另一组地址,而对终端用户透明的一种方法。网络地址端口转换(NAPT)是将多个网络地址和端口转换为一个地址和端口的方法。以上两种操作都被认为是传统NAT,提供私有地址域到外部地址域的连接。采用地址转换的局限性在于:属于同一个会话的请求和响应都必须经过同一个NAT。如果一个私有网络有两个NAT来加强网络的健壮性时,如果一个NAT坏了,在会话从一个NAT转到另一个NAT时,会出现暂时会话失败现象,因此需要采取措施使得两个NAT保持相同的会话信息。地址转换是独立于应用的,通常需要与ALGs(applicationspecificgateways)相互配合来监视净荷并对其作响应的转换。FTP是NAT上最流行的ALG,需要ALG干预的应用不能对净荷进行加密编码,除非ALG可以对封装的净荷解码。但是这种方法不能保证端到端的安全性,如对IPSec。传统NAT允许私有网络中的主机与外部网络中的主机透明传输数据。在传统NAT中,会话流是单向的,只是从私有网络向外部网络传输数据。基本NAT(AT)和NAPT是传统NAT的两个变种。在基本NAT中,转换仅限于IP地址,而在NAPT中,转换包括IP地址和端口。如TCP/UDP端口或ICMP请求ID等。:私有网络中的主机地址的集合被映射到外部网中的全球唯一地址的一个子集中以实现私有网络与外部网络间的通信。如果私有网络中的节点数小于或等于全局地址集合中的地址数,可以保证每个内部地址都可以唯一的被映射到一个外部地址。否则内部网中同时访问外部网的主机数受限于全局地址集合中的地址数。,私有网络的出口路由器需要有一个全球唯一有效的IP地址,而在私有网内部采用保留IP地址,内部地址只在本地有效。在这种情况下,内部网可以采用NAPT来提供内部网访问外部的机制。NAPT将把(本地IP地址,本地TU端口号)映射到(注册IP地址,分配的TU端口号)。如上图,,。,,并将包发到它的首选路由器。经过NAPT转换,,如1024。在这种过程中,只允许建立TCP/UDP会话,并且会话要求由内部主机发起。然而有些服务如DNS,外部主机要求对内部主机进行访问。可以通过今天配置TU端口服务来定向访问内部主机。除TCP/UDP会话,ICMP消息,NAPT路由器还需要监视重定向类型消息。ICMP询问类型包的转换类似于TCP/UDP包,ICMP消息头中的标志域被唯一的映射到注册IP地址的询问标志。ICMP消息中的标志由发送者设置,在返回过程中,该标志应保持不变。因此(本地IP地址,本地ICMP询问标志)映射为(注册IP地址,分配的询问标志)。在NAPT过程中,注册IP地址和端路由器(stubrouter)的广域网地址相同。路由器需要分辨TCP、UDP、和ICMP询问会话是由内部主机