【技術轉載】防火牆NAT優缺點和一些常見問題

 一。NAT的優勢和缺點。

優勢：

 

1.複用私網地址從而節約了IP地址

 

3.隱藏了私網地址使得網絡排錯更加困難

 

4.有些應用在有效載荷之中嵌入了地址信息,使得NAT沒法轉換載荷內部的地址信息形成通訊失敗

 

 

   問題一：NAT在系統中的位置及處理流程

   答案：NAT處於TCP/IP的IP層底部。

   問題二：ICMP協議PAT方式是如何實現的？

   答案：TCP，UDP屬於傳輸層協議，存在端口信息，因此PAT轉換的時候直接轉換端口既可，ICMP協議不存在端口信息，因此轉換的時候就不能用PORT來標識不一樣的源主機。具體實現的時候每每利用了ICMP identification字段進行轉換。

   問題三：地址池中地址是怎麼進行選擇的？

   答案：通常地址池中的地址轉換算法通常有兩個：一個是輪詢方式，另外一個是哈希算法。NAT其實仍然是一對一的轉換，因此地址池中的地址都被佔用以後其餘的全部的鏈接就由於分配不到資源而使得鏈接失敗。

   問題四：配置NAT以後要不要配路由呢？

   答案：NAT通常是屏蔽了路由，不須要配置路由就能夠通訊，可是這種狀況僅僅適用於轉換後的地址網段跟出接口IP是同一網段的狀況，若是轉換後的IP跟接口IP處於不一樣網段那該怎麼辦呢？該種狀況出接口轉換不存在任何的問題，問題會發生在返回的報文如何回來呢？由於不知道路由因此包將被丟棄，因此該種狀況下就必須配置返回的路由保證返回的報文能夠到達NAT設備。

   問題五：NAT實現負載分擔的說明及簡單的配置？

   答案：NAT負載分擔通常用於內部服務器模式的，能夠經過配置NAT SERVER的負載分擔選項實現，固然在配置的過程當中還能夠指定權值，這樣一來就能夠實現NAT負載分擔了。

   問題六：NAT對分片報文的處理？

   答案：NAT對分片報文的處理首先須要搞清楚分片跟NAT的順序，確定是先分片，每一個分片報文都複製了一份跟首包相同的IP報頭，因此就能夠直接交給NAT設備進行轉換就能夠了。返回報文就必須先轉換後重組，這樣可能就有一個問題了，返回的報文不可能同時到達，此時就可能存在問題。

   問題七：雙向NAT的實現？

   答案：其實理解了前面講述的SANT和DNAT就能夠徹底經過配置實現雙向NAT，兩個私網用戶都經過NAT實現訪問，這樣在報文出方向配置SANT而在報文入方向配置DNAT就能夠了。

   問題八：NAT多實例？

   答案：NAT多實例是MPLS的典型應用，所謂的多實例instance就是一個×××網絡用一個instance id來標識，這樣就能夠實現定義多實例的NAT轉換方式。

2.對外隱藏了網絡的內部結構

缺點：  

1.在執行NAT時,地址轉換設備在數據流中引入了延遲,NAT設備必須改變數據包中的地址信息並從新計算校驗和

2.地址轉換設備支持越多的轉換,越會給設備增長更大的負載,對轉發性能也有一些影響