NET网络地址转换

什么是NA TNA T‎——网络地址转换，是‎通过将专用网络地址（‎如企业内部网Intr‎a net）转换为公用‎地址（如互联网Int‎e rnet），从而对‎外隐藏了内部管理的‎I P 地址。

这样，通‎过在内部使用非注册的‎IP地址，并将它‎们转换为一小部分外部‎注册的IP 地址，‎从而减少了IP地址‎注册的费用以及节省了‎目前越来越缺乏的地址‎空间（即IPV4）。

‎同时，这也隐藏了内部‎网络结构，从而降低了‎内部网络受到攻击的风‎险。

NAT功能通‎常被集成到路由器、防‎火墙、单独的NAT设‎备中，当然，现在比较‎流行的操作系统或其他‎软件（主要是代理软件‎，如WINROUTE‎），大多也有着NAT‎的功能。

NAT设备（‎或软件）维护一个状态‎表，用来把内部网络的‎私有IP地址映射到外‎部网络的合法IP地址‎上去。

每个包在NAT‎设备（或软件）中都被‎翻译成正确的IP地址‎发往下一级。

与普通路‎由器不同的是，NAT‎设备实际上对包头进行‎修改，将内部网络的源‎地址变为NAT设备自‎己的外部网络地址，而‎普通路由器仅在将数据‎包转发到目的地前读取‎源地址和目的地址。

‎N AT分为三种类型：‎静态NAT（stat‎i cNAT）、NAT‎池（pooledNA‎T）和端口NAT（P‎A T）。

其中静态NA‎T将内部网络中的每个‎主机都被永久映射成外‎部网络中的某个合法的‎地址，而NAT池则是‎在外部网络中定义了一‎系列的合法地址，采用‎动态分配的方法映射到‎内部网络，端口NAT‎则是把内部地址映射到‎外部网络的一个IP地‎址的不同端口上。

‎废话说了不少，让我‎们转入正题，看一下如‎何利用NAT保护内部‎网络。

使用网络地址‎转换NAT，使得外部‎网络对内部网络的不可‎视，从而降低了外部网‎络对内部网络攻击的风‎险性。

在我们将内部‎网络的服务使用端口映‎射到NAT设备（或是‎软件）上时，NAT设‎备看起来就像一样对外‎提供服务器一台服务器‎一样（如图一）。

nat是对路由器网络地址转换注：进行配置任务一、静态NA T配置要求：路由器内部IP ：192.168.100.1/24 ，外部IP：211.101.3.1/24；将内部主机192.168.100.2/24转换成211.101.3.10/24，将内部主机192.168.100.3/24转换为211.101.3.11/24。

router(config)#interface fa0/0router(config-if)#ip address192.168.100.1 255.255.255.0router(config-if)#no shutrouter(config)#interface ser1/0router(config-if)#ip address 211.101.3.1 255.255.255.0router(config-if)#no shutrouter(config)#0.0.0.0 0.0.0.0 211.101.3.2router(config)#ip nat inside source static192.168.100.2 211.101.3.10router(config)#ip nat inside source static 192.168.100.3 211.101.3.11router(config)#interface fa0/0router(config-if)#ip nat insiderouter(config)#interface ser1/0router(config-if)#ip nat outside测试ping 211.101.3.2router#show ip nat translations任务二、动态nat配置要求：路由器内部IP 192.168.100.1/24 ，外部IP：211.101.3.1/24；将内部主机192.168.100.0/24转换成211.101.3.100/24——211.101.3.150/24router(config)#interface fa0/0router(config-if)#ip address 192.168.100.1 255.255.255.0router(config-if)#no shutrouter(config)#interface ser1/0router(config-if)#ip address 211.101.3.1 255.255.255.0router(config-if)#no shutrouter(config)#0.0.0.0 0.0.0.0 211.101.3.2定义地址池router(config)#ip nat pool dyn 211.101.3.100 211.101.3.150 netmask 255.255.255.0注：dyn是地址池的名字定义访问控制列表router(config)#access-list 1 permit 192.168.100.0 0.0.0.255启动动态natrouter(config)#ip nat inside source list 1 pool dynrouter(config)#interface fa0/0router(config-if)#ip nat insiderouter(config)#interface ser1/0router(config-if)#ip nat outside测试ping 211.101.3.2router#show ip nat translations任务三、PAT的配置要求：路由器内部IP 192.168.100.1/24 ，外部IP：211.101.3.1/24；将内部主机192.168.100.0/24转换成211.101.3.100/24——211.101.3.150/24注：PAT是NAT的一个子集前面配置和动态nat一样区别在：定义地址池：router(config)#ip nat pool dyn 211.101.3.100 211.101.3.100 netmask 255.255.255.0启动动态nat:router(config)#ip nat inside source list 1 pool dyn overload 其他一样。

解决虚拟机上网问题要保证虚拟机系统可以上网，得先解决虚拟机和真实主机的连接关系。

VMware给出3种模式，我们常用的有“bridge（桥接）”和“Net（网络地址转换）”方式。

设置方法：单击“虚拟机”→“设置”→“以太网，然后选择连接方式。

1.bridge（桥接）:将虚拟机网卡（本地连接）的IP地址和真实主机要设在同一IP段，其余与主机相同:例如主机ip是10.70.54.31,设置虚拟机ip为10.70.54.22。

netmask,broadcast,gateway,dns 都与主机相同即可实现虚拟机<--->主机；虚拟机<---->互联网通信。

这种情况适合局域网，而且网内没有特别限制的情形下使用，也适合与真实主机或局域网内主机进行网络共享。

如果ADSL单机拨号用户使用这个模式的话，要登录互联网，先得断开真实主机的ADSL连接，再在虚拟机系统建立ADSL拨号连接，并使用ADSL线路的帐号和密码登录才可以上网。

即虚拟机与真实主机不能同时上网。

即：主机和虚拟机桥接共享式上网VMware虚拟机桥接方式与真实主机共享上网1、安装虚拟机，网络连接方式选择“桥接”2、在VMware菜单里，选择“编辑”---“虚拟网络设置”---“主机虚拟网络映射”---“VMnet0”，选择一个真实的网络适配器进行桥接（不要自动选择）3、在真实主机上，“网上邻居”右键属性，找到上一步选择的网络适配器相应的网络连接，更改其IP地址为“192.168.0.1”，子网掩码“255.255.255.0”，其他为空即可4、在虚拟机上更改本地连接的IP地址为“192.168.0.2”，子网掩码“255.255.255.0”，，网关“192.168.0.1”，DNS服务器“202.102.224.68”5、在主机上将用来上互联网的连接共享即可实现虚拟机通如果想让虚拟主机拨号主机共享，就把3、4两步在虚拟机对调设置2.nat :这种模式下虚拟机系统经过虚拟机网络的特别转换，共享真实主机的IP上网。

《网络互联技术》练习题第八章：网络地址转换参考答案一、填空题1、_网络地址转换_是用于将一个地址域（如企业内部网Intranet）映射到另一个地址域（如国际互联网Internet）的标准方法。

2、网络地址转换共有四种类型，它们是：静态地址转换、动态地址转换、_端口地址转换_和TCP负载均衡。

二、选择题1、网络地址和端口翻译（NAPT）用（ C ），这样做的好处是（ D ）。

（1）A、把内部的大地址空间映射到外部的小地址空间B、把外部的大地址空间映射到内部的小地址空间C、把内部的所有地址映射到一个外部地址D、把外部的所有地址映射到一个内部地址（2）A、可以快速访问外部主机B、限制了内部对外部主机的访问C、增强了访问外部资源的能力D、隐藏了内部网络的IP配置2、NAT（网络地址转换）的功能是什么？（ D ）A、将IP协议改为其它网络协议B、实现ISP（因特网服务提供商）之间的通讯C、实现拨号用户的接入功能、D、实现私有IP地址与公共IP地址的相互转换3、如果企业内部需要连接入Internet的用户一共有400个，但该企业只申请到一个C类的合法IP地址，则应该使用哪种NAT方式实现（ C ）。

A、静态NATB、动态NATC、PATD、TCP负载均衡4、Tom的公司申请到5个IP地址，要使公司的20台主机都能联到INTERNET上，他需要防火墙的那个功能？( B )A、假冒IP地址的侦测B、网络地址转换技术C、内容检查技术D、基于地址的身份认证三、多项选择题1、下列关于地址转换的描述，正确的是（ ABD ）。

A、地址转换有效地解决了因特网地址短缺所面临的问题B、地址转换实现了对用户透明的网络外部地址的分配C、使用地址转换后，对IP包加密、快速转发不会造成什么影响D、地址转换为内部主机提供了一定的“隐私”保护E、地址转换使得网络调试变得更加简单2、下面有关NAT叙述正确的是（ ABD ）。

A、NAT是英文“地址转换”的缩写，又称地址翻译B、NAT用来实现私有地址与公用网络地址之间的转换C、当内部网络的主机访问外部网络的时候，一定不需要NATD、地址转换的提出为解决IP地址紧张的问题提供了一个有效途径3、下列关于地址池的描述，正确的说法是（ BC ）。

不错的。

如何将两个好技术共用但又使它们相安无事,是很多人正在思考的问题。

网络安全IPsec(IP Security)和网络地址转换NAT（Net Address Translation）应用已经十分广泛了，但是要使它们运行在一起，却不是一件容易的事。

从IP的角度来看，NAT对IP的低层进行了修改，对IP是一种背叛；而从应用的角度来看，网络管理人员必须要处理网络地址的问题，NAT使用户可以采取多种方式把自己的网络和主机对外部公共网络隐藏起来，是一种好的工具，现在，无论是大企业还是中小企业都在使用它。

与NAT类似，IPsec也是一种好工具，它使用户可以安全地通过Internet联接到远程终端。

然而，由于IPsec协议架构本身以及缺乏支持IPsec的NAT设备，当IPsec和NAT在一起运行时就会出现很多问题。

解决这些问题最简单的办法，就是再增加一个路由器来运行NAT和虚拟专用网VPN。

可是，对于多数情况来说并没有多余的路由器来执行这一功能，因此，要解决两者共存的问题，就必须对IPsec和NAT 有一定的了解。

NAT的基本原理和类型NAT能解决令人头痛的IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。

它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。

NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。

NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。

每个包在NAT设备中都被翻译成正确的IP地址，发往下一级，这意味着给处理器带来了一定的负担。

但对于一般的网络来说，这种负担是微不足道的。

NAT有三种类型：静态NAT、动态地址NAT、网络地址端口转换NAPT。

其中静态NAT 设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。

NET-“src-nat”和“dst-nat”其中dst指：destination ：目的，目标其中src指：source：来源, 根源网络地址转换(NAT,Network Address Translation)src-nat是源地址转换,其作用是将ip数据包的源地址转换成另外一个地址,首先我们说一下snat中几个参数的含义,action，这是说明用的哪种转换方式,通常我们用masqurade，nat这两种,在特殊情况下用accept(主要是内网中有公网地址存在的情况)方法，protocol说明对哪些传输协进行转换(通常有tcp,udp等),out-interface说明通过哪一个网卡进行转换(通常是外网卡outside)，to-src-address是将源地址伪装成哪些地址(可以是一个也可以是很多个),to-src-pot是将源端口伪装成哪些端口(可以是一个也可以是很多个),dst-address是指发向哪些主机的数据包要进行伪装(可以一个可以多个)，dst-port是指发向哪些端口的数据包进行伪装(可以一个可以多个)，src-address是指对哪些源地址进行伪装(可以一个可以多个),src-port是指从哪些源端口发出的数据包进行伪装(可以一个可以多个)下面的论述中,ACTION(转换方式)都是以NAT为例.再综合网上其它的相关资料，以我现有的理解，和具体的试验,再作些补充：要做src-nat，除了指明协议\端口\转换成什么地址外,还要谈到是在那块网卡(接口)上做这个“源地址地址转换”。

比如，要让内网的电脑通过ros访问外网，那么就由与公网连接的网卡做snat，在添加src-nat 规则时，general页的out-interface就应选"外网卡",当然,用默认设置"all"也就包含了"外网卡",但这不利于理解src-nat理解了src-nat ,dst-nat就很好理解了,src-nat是ros将内网电脑发出的数据包的地址中的源地址进行转换然后发往外网,在数据包中,被转换的地址是源地址,所以叫源地址转换.而dst-nat则刚好相反,它是ros将公网发来的数据包的地址中的目的地址进行转换(当然这个目的地址就是ros的公网ip),然后发给内网的电脑,在数据包中,被转换的地址是目的地址,所以叫目的地址转换.同样,dst-nat除了指定转换后的地址外,也将涉及是在那块网卡(接口)上进行,例如,要将公网发给ros的a端口的数据包转给内网ip为b的c端口,那么设置好a\b\c的值后,在dst-nat规则general 页的in-interface里,应选择与b地址网段相连的网卡(接口),显然这是一块内网卡,当然,用默认设置"all"也就包含了这块"内网卡",但这不利于理解DST-nat到这里可以明白什么是端口映射了,它就是dst-nat中的一条转换规则.再来谈"回流",引用一段文字--"什么叫回流呢，就是当内网有服务映射到网关后,内网主机也可以用网关外部地址访问"由上面的定义可以清楚"回流"要完成的操作:1、内网电脑向ros发送目的地址为公网ip的数据包（当然这个IP就是ROS的公网IP）.2、ros通过源地址转换规则(SRC-NAT)中选定的A网卡(接口)将数据包地址中的源地址转换为公网IP(目的地址不变,仍为公网IP)3、ROS通过目的地址转换规则(DST-NAT)中选定的B网卡(接口)将数据包地址中的目的地址转换为内网地址,然后发给相应的内网电脑.但是问题来了,如果A网卡(接口)将数据包地址转换后就往公网发送,那么数据包就无法再回到路由器并转发给内网了.如果能让数据包不出路由器,在路由器内完成SRC-NAT和DST-NAT这两种地址转换,那么就可以实现回流了.呵呵,让A=B就可以实现了.就是说,添加一条SRC-NAT和一条DST-NAT规则,而这两条规则中所指定的网卡都是与内网相连的同一块网卡.ROS限速讲解[告诉你英文的意思是什么]一般我们用ros限速只是使用了max-limit，其实ros限速可以更好的运用。

NAT （net address translation）网络地址转换静态地址转换：全局配置模式下，配置静态地址转换（红色为内网地址，PC上的IP。

绿色为外网地址，路由器外网口上的IP）：Router(config)#ip nat inside source static 192.168.0.1115.232.6.2进入内网接口后执行：Router(config-if)#ip nat inside进入外网接口后执行：Router(config-if)#ip nat outsideNAT地址池转换首先为路由器外网口添加多个IPRouter(config-if)#ip address 115.232.6.1 255.255.255.0 secondary定义可用转换IP地址池红色为起始IP，绿色为结束IPRouter(config)#ip nat pool ext 115.232.6.1115.232.6.3 netmask 255.255.255.0定义访问控制列表允许那些网段进行NAT转换Router(config)#access-list 1 permit 192.168.0.0 0.0.0.255将可以NAT转换的内网IP与外网地址池进行关联Router(config)#ip nat inside source list 1 pool ext进入内网接口后执行：Router(config-if)#ip nat inside进入外网接口后执行：Router(config-if)#ip nat outsidePAT地址转换（重载公网IP，基于端口重载）：Router(config)#ip nat inside source list 1 pool ext overload。

什么是NATNA T——网络地址转换，是通过将专用网络地址（如企业内部网Intranet）转换为公用地址（如互联网Internet），从而对外隐藏了内部管理的IP 地址。

这样，通过在内部使用非注册的IP 地址，并将它们转换为一小部分外部注册的IP 地址，从而减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPV4）。

同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。

NAT功能通常被集成到路由器、防火墙、单独的NAT设备中，当然，现在比较流行的操作系统或其他软件（主要是代理软件，如WINROUTE），大多也有着NAT的功能。

NAT设备（或软件）维护一个状态表，用来把内部网络的私有IP地址映射到外部网络的合法IP地址上去。

每个包在NAT设备（或软件）中都被翻译成正确的IP地址发往下一级。

与普通路由器不同的是，NAT设备实际上对包头进行修改，将内部网络的源地址变为NAT设备自己的外部网络地址，而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。

NAT分为三种类型：静态NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。

其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址，而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络，端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。

废话说了不少，让我们转入正题，看一下如何利用NAT保护内部网络。

使用网络地址转换NAT，使得外部网络对内部网络的不可视，从而降低了外部网络对内部网络攻击的风险性。

在我们将内部网络的服务使用端口映射到NAT设备（或是软件）上时，NAT设备看起来就像一样对外提供服务器一台服务器一样（如图一）。

这样对于攻击者来讲，具有一定的难度，首先他要攻破NAT设备，再根据NAT设备连接到内部网络进行破坏。

图一由图一我们可以看出，内部网络中的A、B和C提供相应的MAIL、FTP和HTTP服务。

实验九：地址转换配置实验【实验目的】：掌握地址转换的配置方法，理解地址转换的实用性，【实验内容】：把内部私有地址转换成公有地址【实验环境】：一台路由器和三台以上PC机和服务器【实验相关知识】：一、NAT简介NAT（Network Address Translation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。

在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。

这种通过使用少量的公有 IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用 IP 地址空间的枯竭。

说明：私有 IP 地址是指内部网络或主机的 IP 地址，公有 IP 地址是指在因特网上全球唯一的 IP 地址。

RFC 1918 为私有网络预留出了三个 IP 地址块，如下：A 类：10.0.0.0～10.255.255.255B 类：172.16.0.0～172.31.255.255C 类：192.168.0.0～192.168.255.255上述三个范围内的地址不会在因特网上被分配，因此可以不必向 ISP 或注册中心申请而在公司或企业内部自由使用。

图1-1描述了一个基本的NAT应用。

图9-1地址转换的基本过程a) NAT网关处于私有网络和公有网络的连接处。

b) 当内部PC（192.168.1.3）向外部服务器（10.1.1.2）发送一个数据报1时，数据报将通过NAT网关。

c) NAT网关查看报头内容，发现该数据报是发往外网的，那么它将数据报1的源地址字段的私有地址192.168.1.3换成一个可在Internet上选路的公有地址20.1.1.1，并将该数据报发送到外部服务器，同时在NAT网关的网络地址转换表中记录这一映射。

d) 外部服务器给内部PC发送的应答报文2（其初始目的地址为20.1.1.1）到达NAT网关后，NAT网关再次查看报头内容，然后查找当前网络地址转换表的记录，用内部PC的私有地址192.168.1.3替换初始的目的地址。

网络地址转换（NAT）实验实验拓扑：实验要求：在R1，R2上实现内网与外网的地址转换。

R1，R2通过各自的E0口各连接着一个局域网；R1连接的局域网有五台PC机子，可通过给R1的E0口配置5个第二IP地址来模拟局域网；R2连接的局域网我们看成是一台机子（做为代表），要求实现R1连接的局域网能与R2连接的局域网进行通信！实验IP地址表：路由器接口IP地址R1 E0 10.1.1.1/24R1 E0 10.1.1.2/24 SECR1 E0 10.1.1.3/24 SECR1 E0 10.1.1.4/24 SECR1 E0 10.1.1.5/24 SECR1 S0 202.101.98.5/24R2 S0 202.101.98.6/24R2 E0 172.16.18.1/24实验配置如下：一、基本配置：配置R1：Router>enRouter#conf tRouter(config)#hostname R1R1(config)#int E0R1(config-if)#ip add 10.1.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#ip add 10.1.1.2 255.255.255.0 sec //在E0口上配置多个第二IP模拟R1所连局域网R1(config-if)#ip add 10.1.1.3 255.255.255.0 sec福州SPOTO TM（思博）计算机高级技术培训中心福州SPOTO TM （思博）计算机高级技术培训中心R1(config-if)#ip add 10.1.1.4 255.255.255.0 sec R1(config-if)#ip add 10.1.1.5 255.255.255.0 sec R1(config)#no keepalive //禁止端口更新R1(config)#ip route 0.0.0.0 0.0.0.0 S0 //添加到R2的路由 R1(config)#int S0R1(config-if)#ip add 202.101.98.5 255.255.255.0 R1(config-if)#no shut R1(config-if)#end R1#sh run配置R2： Router>enRouter#conf tRouter(config)#hostname R2 R2(config)#ine E0R2(config-if)#ip add 172.16.18.1 255.255.255.0 R2(config-if)#no shutR2(config-if)#no keepalive R2(config-if)#exit R2(config)#int S0R2(config-if)#ip add 202.101.98.6 255.255.255.0 R2(config-if)#no shutR2(config-if)#clock rate 64000 //设置DCE 时钟同步，为DTE 端提供时钟 R2(config-if)#no keepalive R2(config-if)#end R2#sh run二、配置静态NA T （一对一映射）配置R1： R1#conf tR1(config)#ip nat inside source static 10.1.1.1 202.101.98.1 //后者为下一网段的IP R1(config)#ip nat inside source static 10.1.1.2 202.101.98.1 R1(config)#ip nat inside source static 10.1.1.3 202.101.98.1 R1(config)#ip nat inside source static 10.1.1.4 202.101.98.1 R1(config)#ip nat inside source static 10.1.1.5 202.101.98.1 R1(config)#int E0R1(config-if)#ip nat inside R1(config-if)#int S0R1(config-if)#ip nat outsideS P O T O 实验报告福州SPOTO TM （思博）计算机高级技术培训中心R1(config-if)#end R1#debug ip natR1#ping //此处使用扩展PING三、配置动态NA T ： 1.通过接口： 配置R1： R1#conf tR1(config)#no ip nat inside source static 10.1.1.1 202.101.98.1 //删除原先设置的静态NA T 映射 R1(config)#no ip nat inside source static 10.1.1.2 202.101.98.1 R1(config)#no ip nat inside source static 10.1.1.3 202.101.98.1 R1(config)#no ip nat inside source static 10.1.1.4 202.101.98.1R1(config)#no ip nat inside source static 10.1.1.5 202.101.98.1 R1(config)#ip nat inside source list 110 interface S0R1(config)#access-list 110 permit ip 10.1.1.0 0.0.0.255 any //建立一ACL ，匹配内网所有主机 R1(config)#endR1#ping //此处使用扩展PING2.动态池： R1#conf tR1(config)#no ip nat inside source list 110 interface S0 /删除上面通过接口设置的映射 R1(config)#ip nat pool chinalion 202.101.98.5（//开始IP ） 202.101.98.6（//结束IP ） netmask 255.255.255.0 //建立IP 动态池 R1(config)#ip nat inside source list 110 pool chinalion overload R1(config)#end R1#sh runR1#ping //此处使用扩展PING实验总结：1.配置动态 IP 地址池不能使用已经使用在接口上的 IP ，最好选择其它同一网段的 IP （这里排除了10.1.20.1 和 10.1.20.2 而使用了 10.1.20.3 和 10.1.20.4）；2.配置 NA T 的原则是让内网可以访问外网，保护内网，所以与内网连接的端口为 inside ， 与外网连接的端口为outside ；3.配置访问控制列表的时候，permit 的是内网的IP 地址，而非外网的地址；4.配置静态NA T 时候，是一一映射关系，即一个公网IP 对应一个内网主机，使用此方式需要保证有足够的公网IP 地址；5. 配置PAT 方式，在应用NAT 语句结尾打上OVERLOAD ，路由器会立即开启过载功能，使用端口转发S P O T O 实验报告福州SPOTO TM （思博）计算机高级技术培训中心的方式进行内外网地址互相转换。

UPNP通用即插即用简介随着越来越多的家庭和小型企业添置计算机，它们会发现网络是一种非常强大的计算机资源共享工具。

连接是网络上较为珍贵的资源之一，有可能进行共享。

为共享Internet 连接，同时利用价格便宜、管理简单的家庭或小型办公室网络，需要部署Internet 网关。

Internet 网关通常将NAT（网络地址转换）作为将多个主机连接到Internet 以共享单个公共IP 地址的途径。

但不幸的是，该解决方案却会破坏多种网络应用程序。

我们将在本文中对此加以说明。

现有的NAT Traversal 技术允许网络应用程序检测是否存在本地NAT 设备。

检测到后，应用程序随即对NAT 进行配置，定义相应的映射来解决兼容性问题。

本文属于概述性文章，将向网络应用程序的用户和开发人员简要介绍一下NAT，介绍如何识别常见NAT 问题，同时介绍应用程序如何使用NAT Traversal 来解决这些问题。

Windows 中所提供的NAT Traversal API 的详细技术资料有望于2001 年初夏开始在Windows Platform SDK 中得到。

建议开发人员查阅这些资源，了解有关如何充分利用这些新的操作系统功能（也已扩展到第三方网关设备上）的详细说明。

NAT Traversal 依赖于提供UpnP（通用即插即用）支持的NAT 设备，其定义由UPnP 论坛的Internet Gateway Device Working Committee 给出。

有关UPnP 的信息，可见UPnP Web 站点。

特别详细的资料位于UPnP 站点中仅限成员访问的部分内。

支持UPnP 和NAT Traversal 是Internet 网关设备中比较重要的功能，需要加以确认。

对于购买或租用服务提供商Internet 网关设备的用户，我们强烈建议只考虑使用那些为NAT Traversal 提供UPnP 支持的设备，这是因为该功能对于满足用户、降低支持费用及使用更有创新性的服务和应用程序而言至关重要。