PAT是如何工做的

從統計學觀點來看，與直接使用動態N AT相比，使用PAT發生衝突的機會會更小，有時甚至能夠忽略這種衝突。這就是PAT的出發點。也許你能從這個名字看出什麼，但要知道PAT是用於轉換端口號和I P地址的。當發送方向向外時，在轉換源地址的同時，也轉換源端口號。爲了不衝突，路由器每每要選擇一個新的源端口號。這種解決辦法至少對T C P和U D P來講能工做得很好，並可以避免衝突。對於沒有端口號的I C M P協議，還要使用一些其餘的技巧。如今，經過分組信息與鏈接表進行匹配，路由器可以找到一個惟一的端口號。PAT可以實現大量內部機器共享一個外部I P地址，它可以支持多少臺機器呢？因爲與使用方式相關，因此給出一個精確的數字是很困難的。如今讓咱們作一個假設。假設要限制一個Internet IP 地址在同一時刻同時通訊的內部機器臺數。最壞的狀況發生在U D P協議上，此時咱們不得不使用定時 器來仿真鏈接。假設定時器被設置成2分鐘，若是2分鐘以後仍然沒有分組傳送的話，鏈接將被停止。端口號的範圍從0開始到65 536結束，從原理上來說，同時鏈接的最大數量應爲65 536。這須要它們在某一時刻同時發生，產生這種狀況的緣由有兩個：一個緣由是它們在同一時刻開 始，而且已等待了兩分鐘；另外一個緣由是這些鏈接已經被激活很長時間，並達到了最大數量。這裏針對的是一個外部I P地址。若是使用動態I P地址的話，鏈接數量應爲帶有PAT功能的動態N AT所使用的I P地址數量乘以1個外部I P所能支持的鏈接數量。記住：這裏所講到的內容只針對於全部客戶同I n t e r n e t上的同一機器進行的通訊。若是考慮在I n t e r n e t上有多個機器，衝突會幾乎降低到零。這種狀況在實際應用中看起來很好。可是，當它達到理論上的極限時，你的N AT設備中的內存將會被所有消耗掉。PAT的安全狀況怎麼樣？狀況還比較好。一個外部地址再也不對應單個的內部I P地址，而是依靠鏈接來實現。這也就是說，若是有一個與外部地址相連的新鏈接，則在鏈接表中不會有與它相同的內容出現，因此也就不存在要鏈接的內部I P地址了。當一臺內部的計算機試圖鏈接一個外部地址時，這種狀況是最常出現的。理論上講，能夠設計出一個PAT，可以使一個特定的外部地址匹配特定的內部地址（將靜態N AT和PAT合在一塊兒）。但爲了安全起見，你可能不但願地這作。另一個要注意的問題是外部的I P地址並非N AT設備接口的那個I P地址。例如，有些路由器在實現PAT時使用路由器本身的外部I P地址。在這種狀況下，試圖與外部I P地址進行的鏈接將會連到路由器，這是咱們不但願的。 許多PAT的實現僅容許一個特定的內部地址緩衝池與一個外部I P地址匹配。產生這種狀況的緣由多是系統僅容許一部份內部網絡匹配一個外部地址。