什么是 NAT?NAT 为什么如此重要?

IPv4 地址不够用？多设备怎么共享一个公网 IP？游戏、VoIP、视频会议为什么要“打洞”？——这一切，都绕不开 NAT 技术。

这项看似神秘的技术，实际上正默默支撑着我们的日常上网活动。本期我们就来揭开 NAT 的神秘面纱，了解它在网络世界中扮演的重要角色。

什么是 NAT?

NAT(Network Address Translation，网络地址转换)是一种网络技术，它能够在 IP 数据包通过路由器或防火墙时，重写源 IP 地址或目的 IP 地址的过程。简单来说，NAT 就像是网络世界的"翻译官"，负责在私有网络和公共网络之间进行地址转换。

可以这样理解：你家所在的小区有一套自己的门牌号系统（私有 IP），但对外只有一个统一的小区地址（公网 IP）。当你收发快递时，门卫（路由器）会根据快递单上的信息进行“地址转换”，把小区外的统一地址对应到你家具体的门牌号，确保快递准确送达。NAT 的工作原理正是如此。

NAT 为什么如此重要?

缓解 IPv4 地址枯竭问题

IPv4 地址空间有限，全球只有约 43 亿个地址。随着联网设备激增，如果每台设备都需要一个公网 IP，地址早就不够用了。NAT 技术允许多台设备共享一个公网 IP 地址，极大地延缓了 IPv4 地址耗尽的速度。更多信息请参考从“门牌号告急”到“无限新大陆”：IPv4到IPv6的跨时代迁徙

增强网络安全性

NAT 天然具有防火墙的功能。由于内网设备使用私有 IP 地址，外部网络无法直接访问内网设备，这为内网提供了一层保护屏障，有效降低了被直接攻击的风险。

网络管理更灵活

企业或家庭内部可以自由规划私有 IP 地址，无需向 ISP（Internet Service Provider，互联网服务提供商） 申请多个公网 IP，既节省成本，又方便管理。即使更换 ISP，内网 IP 架构也无需调整。

NAT 的实现方式

根据应用场景和需求不同，NAT有多种实现方式:

静态 NAT(Static NAT)

静态 NAT 建立私有 IP 与公网 IP 之间的一对一映射关系，这种映射是固定不变的。比如内网 IP 192.168.1.10 始终映射到公网 IP 203.0.113.10。这种方式常用于需要从外网访问的服务器，如企业邮件服务器或 Web 服务器。

优点：配置简单，外网访问稳定缺点：需要多个公网 IP，无法解决地址短缺问题

动态 NAT(Dynamic NAT)

动态 NAT 从公网 IP 地址池中动态选择一个空闲的 IP 地址，为内网设备建立临时映射。当内网设备停止通信后，占用的公网 IP 会被释放，供其他设备使用。

优点：公网IP利用率较高缺点：仍需要较多公网 IP，当地址池耗尽时，新连接无法建立

NAPT(端口多路复用 NAT)

NAPT 也称为 PAT(Port Address Translation)，是目前最常用的 NAT 方式。它通过 IP 地址加端口号的组合来区分不同的内网设备，多台设备可以共享一个公网 IP地址。

例如:

• • 192.168.1.10:3000 → 203.0.113.5:50001
• • 192.168.1.20:3000 → 203.0.113.5:50002

这就是为什么你家里所有设备都能同时上网，对外却只使用一个 IP 地址的原因。

优点：最大化节省公网 IP，一个公网 IP 可支持数千台设备缺点：某些需要特定端口的应用可能需要额外配置

部分运营商的"双重NAT"或"多层NAT"

中国移动(以及部分联通、电信用户)使用的是一种特殊的 NAT 类型,叫做"多层 NAT"或"大内网",也被称为CGN(Carrier-Grade NAT,运营商级NAT)或LSN(Large Scale NAT,大规模NAT)。

这种情况下的网络层级变成:

你的设备(192.168.1.x)    ↓家用路由器(第一次 NAT)    ↓运营商分配的"假公网"IP(100.x.x.x)    ↓运营商核心网关(第二次 NAT)    ↓真正的公网 IP(被几百上千用户共享)    ↓互联网

导致这些宽带用户在外使用 NAS 等家庭设备提供的服务时遇到更多困难。更好的解决方案就是使用 IPv6，更多信息请参考家庭网络升级秘籍：如何通过 IPv6 访问家里的设备？

NAT 的工作流程

让我们通过一个实际例子来理解 NAT 的工作过程：内网电脑(192.168.1.100)访问百度服务器(110.242.68.66)

1. 发起请求

电脑发送数据包，源地址为 192.168.1.100:5000，目标为 110.242.68.66:80

2. 地址转换

数据包到达路由器，NAT 设备将源地址改写为公网 IP 203.0.113.5:60001，并记录这个映射关系

3. 发送到互联网

转换后的数据包发送到百度服务器，服务器看到的源地址是 203.0.113.5:60001

4. 接收响应

百度服务器返回数据，目标地址为 203.0.113.5:60001

5. 反向转换

路由器查找映射表，将目标地址改回 192.168.1.100:5000

6. 送达内网

数据包最终到达内网电脑，整个过程对用户完全透明，用户感受不到地址转换的存在。

NAT 的局限性

虽然 NAT 解决了许多问题，同时也带来了一些挑战：

端到端通信受限

NAT 打破了互联网端到端的连接模型，内网设备无法被外网直接访问，这对 P2P 应用(如视频通话、文件共享)造成困难。

协议兼容性问题

某些将 IP 地址嵌入应用层数据的协议(如FTP、SIP)需要特殊处理才能穿透 NAT。

性能开销

NAT 设备需要维护大量的映射表，并对每个数据包进行地址转换，会带来一定的性能损耗。

追溯困难

多个用户共享同一公网 IP，为网络安全事件的追溯和取证带来挑战。

NAT 的未来

随着 IPv6 的逐步普及，每个设备都能拥有全球唯一的 IP 地址，理论上不再需要 NAT。但由于 IPv4 网络将长期存在，NAT 技术仍将发挥重要作用。同时，NAT 的安全隔离特性也让一些组织在 IPv6 环境中继续使用 NAT64 等变种技术。更多信息请参考IPv6 时代来临！从零开始掌握下一代互联网协议

写在最后

NAT 技术就像网络世界的幕后英雄，虽然不起眼，却在互联网的运作中发挥着不可或缺的作用。从解决地址短缺到提供安全防护，NAT 以其巧妙的设计，支撑起了我们今天的网络生活。

无论你是网络工程师还是普通用户，了解 NAT 的工作原理都能帮助你更好地理解网络世界的运作机制，解决日常上网中遇到的问题。即使我们正在向 IPv6 过渡，NAT 仍是目前网络不可替代的核心技术。