NAT 的作用是什么

一句话总结

NAT（网络地址转换）在路由器/网关上将内网私有地址与端口映射为公网地址与端口，实现私有网络访问互联网、节约 IPv4 地址、隐藏内网结构并提供端口转发等功能。

详细解析

1. NAT 的定位与作用

• 所属层级：网络层（L3），并延伸到传输层（L4）做端口映射
• 核心功能：地址复用：让大量私有 IP 主机共用一个或少量公网 IP地址/端口转换：将私有 IP:端口替换为公网 IP:端口，并记录映射关系安全隔离：隐藏内网结构，外部无法直接访问私有地址（除非预先做端口映射）灵活管理：可配置静态或动态映射、端口转发等策略

生动比喻：NAT 就像办公大楼的总机接线员。

大楼住户（私网主机）用内线分机互通；外部来电只打总机（公网 IP），总机根据来电端口（外线端口）转到对应住户；住户外拨电话时，用的是总机外线号，且总机会记下“外线端口 ↔ 分机号”的映射，方便回拨。

2. 常见 NAT 类型与映射方式

2.1 静态 NAT（Static NAT）

• 一对一映射：内网 IP 永久对应某个公网 IP
• 适用于需要固定公网访问的服务器

私网 10.0.0.10  ↔  公网 203.0.113.10

比喻：VIP 客户有专属外线号，来电直通分机。

2.2 动态 NAT（Dynamic NAT）

• 动态一对一：内网主机拨出时，从公网 IP 池中临时分配一个地址
• 用完即还，供其他主机复用

10.0.0.5 → 203.0.113.20（暂用）
10.0.0.6 → 203.0.113.21（暂用）

比喻：访客随机使用空闲外线，通话结束后释放。

2.3 端口地址转换（PAT/NAPT）

• 多对一映射：内网多个 IP:端口 → 同一公网 IP，不同端口
• 最常见于家庭/企业网关

10.0.0.2:3456 → 203.0.113.5:62000
10.0.0.3:4567 → 203.0.113.5:62001

比喻：总机只有一条外线，用不同外线分机号（端口）同时和多个住户通话。

3. NAT 转换流程示意

私网                      NAT 设备                   互联网
10.0.0.2:50000 ──▶ [203.0.113.5:61000] ──▶ 93.184.216.34:80
                     （SNAT 映射表记录 10.0.0.2:50000 ↔ 203.0.113.5:61000）

93.184.216.34:80 ──▶ [203.0.113.5:61000] ──▶ 10.0.0.2:50000
                     （DNAT 反向查表还原私网地址）

• 出站（SNAT）：修改源 IP/端口 → 保存映射
• 入站（DNAT）：匹配目的 IP/端口 → 查表还原

4. 关键难点与生动比喻

4.1 连接跟踪（Conntrack）

• NAT 需维护海量连接映射并定期清理过期条目
• 比喻：总机小姐要一本本登记来电线路，并定期抄去过期记录

4.2 协议兼容性

• 某些协议（FTP、SIP、IPsec）在报文内携带 IP 信息，需 ALG（应用层网关）支持
• 比喻：当住户地址写在通话内容中时，总机小姐还得额外抄录并转换，才能正确转接

4.3 端口耗尽

• PAT 使用公网 IP 的 65K 端口，若并发太多可能用尽
• 比喻：外线分机号有限，访客太多时可能找不到空闲分机

4.4 安全与策略

• 默认只允许内向外连接，外部主动访问需预先配置端口映射或 DMZ
• 比喻：总机只允许住户打外线，外部电话要接入住户需提前申请热线直通