NAT的優(yōu)點和缺陷的總結(jié)

NAT方案在一定程度上減緩了IP地址耗盡的周期和路由表規(guī)模越來越大的問題，提供了一種非常方便的方式來解決私有網(wǎng)絡(luò)與Internet的互連問題。

終端用戶可以透明地訪問Internet。

利用NAT可以做到對外部網(wǎng)絡(luò)隱藏內(nèi)部網(wǎng)絡(luò)的體系結(jié)構(gòu)，從外部網(wǎng)絡(luò)無法知道究竟是哪臺主機(jī)發(fā)送或接收數(shù)據(jù)，從另一個角度，它也是一個缺點。

為已建成的私有網(wǎng)絡(luò)方便地建立與Internet的連接，而不必去修改每臺主機(jī)的地址以及內(nèi)部路由器的配置。

在實現(xiàn)NAT時，可以加入一些服務(wù)器代理和包過濾的功能，可以獲得很好的安全性及其它性能，而不用增加管理的開銷。

以極少的全局地址實現(xiàn)一個較大型的私有網(wǎng)絡(luò)與Internet的互連。

但NAT方案含有很多消極特征，決定了它只能是一個臨時的解決方案，包括：

如果網(wǎng)絡(luò)規(guī)模增大，訪問Internet的主機(jī)增多，地址對應(yīng)表的規(guī)模必然會越來越大，這將導(dǎo)致效率的降低。

它會增加錯誤尋址的可能性。

它隱藏了發(fā)送報文的主機(jī)的有關(guān)信息，使得外部網(wǎng)絡(luò)難于對它們進(jìn)行管理，例如，若內(nèi)部網(wǎng)絡(luò)中某臺主機(jī)在Internet上違反安全規(guī)則，Inter—net就無法查處“元兇”。

由于NAT要修改相應(yīng)的IP地址，這使得不能對包含IP地址或有關(guān)IP地址信息的內(nèi)容(如TCP報文頭的校驗和)進(jìn)行加密，降低了安全性。

那些使用到IP地址的高層應(yīng)用將受到限制，除非NAT有可能修改其中包含的IP地址信息，即便如此，對這些高層應(yīng)用還是有所限制，如不能加密等。

ICMP，SNMP，DNS等等各種網(wǎng)絡(luò)上使用的協(xié)議在進(jìn)行地址翻譯時所帶來的問題，難予考慮周全。

使用NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)可以通過“私有地址” 來擴(kuò)充IP地址空間，解決目前IPV4地址資源不足的問題。文中介紹了Linux 下NAT的工作原理與實現(xiàn)SNAT和DNAT兩種方式。

本文由專業(yè)服務(wù)器租用——騰佑科技(http://www.mubashirfilms.com)提供。