NAT的優(yōu)點(diǎn)和缺陷的總結(jié)

NAT方案在一定程度上減緩了IP地址耗盡的周期和路由表規(guī)模越來越大的問題，提供了一種非常方便的方式來解決私有網(wǎng)絡(luò)與Internet的互連問題。

終端用戶可以透明地訪問Internet。

利用NAT可以做到對(duì)外部網(wǎng)絡(luò)隱藏內(nèi)部網(wǎng)絡(luò)的體系結(jié)構(gòu)，從外部網(wǎng)絡(luò)無法知道究竟是哪臺(tái)主機(jī)發(fā)送或接收數(shù)據(jù)，從另一個(gè)角度，它也是一個(gè)缺點(diǎn)。

為已建成的私有網(wǎng)絡(luò)方便地建立與Internet的連接，而不必去修改每臺(tái)主機(jī)的地址以及內(nèi)部路由器的配置。

在實(shí)現(xiàn)NAT時(shí)，可以加入一些服務(wù)器代理和包過濾的功能，可以獲得很好的安全性及其它性能，而不用增加管理的開銷。

以極少的全局地址實(shí)現(xiàn)一個(gè)較大型的私有網(wǎng)絡(luò)與Internet的互連。

但NAT方案含有很多消極特征，決定了它只能是一個(gè)臨時(shí)的解決方案，包括：

如果網(wǎng)絡(luò)規(guī)模增大，訪問Internet的主機(jī)增多，地址對(duì)應(yīng)表的規(guī)模必然會(huì)越來越大，這將導(dǎo)致效率的降低。

它會(huì)增加錯(cuò)誤尋址的可能性。

它隱藏了發(fā)送報(bào)文的主機(jī)的有關(guān)信息，使得外部網(wǎng)絡(luò)難于對(duì)它們進(jìn)行管理，例如，若內(nèi)部網(wǎng)絡(luò)中某臺(tái)主機(jī)在Internet上違反安全規(guī)則，Inter—net就無法查處“元兇”。

由于NAT要修改相應(yīng)的IP地址，這使得不能對(duì)包含IP地址或有關(guān)IP地址信息的內(nèi)容(如TCP報(bào)文頭的校驗(yàn)和)進(jìn)行加密，降低了安全性。

那些使用到IP地址的高層應(yīng)用將受到限制，除非NAT有可能修改其中包含的IP地址信息，即便如此，對(duì)這些高層應(yīng)用還是有所限制，如不能加密等。

ICMP，SNMP，DNS等等各種網(wǎng)絡(luò)上使用的協(xié)議在進(jìn)行地址翻譯時(shí)所帶來的問題，難予考慮周全。

使用NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)可以通過“私有地址” 來擴(kuò)充IP地址空間，解決目前IPV4地址資源不足的問題。文中介紹了Linux 下NAT的工作原理與實(shí)現(xiàn)SNAT和DNAT兩種方式。

本文由專業(yè)服務(wù)器租用——騰佑科技(http://mubashirfilms.com)提供。