【技术转载】防火墙NAT优缺点和一些常见问题

 一。NAT的优势和缺点。

优势：

 

1.复用私网地址从而节约了IP地址

 

3.隐藏了私网地址使得网络排错更加困难

 

4.有些应用在有效载荷之中嵌入了地址信息,使得NAT没法转换载荷内部的地址信息形成通讯失败

 

 

   问题一：NAT在系统中的位置及处理流程

   答案：NAT处于TCP/IP的IP层底部。

   问题二：ICMP协议PAT方式是如何实现的？

   答案：TCP，UDP属于传输层协议，存在端口信息，因此PAT转换的时候直接转换端口既可，ICMP协议不存在端口信息，因此转换的时候就不能用PORT来标识不一样的源主机。具体实现的时候每每利用了ICMP identification字段进行转换。

   问题三：地址池中地址是怎么进行选择的？

   答案：通常地址池中的地址转换算法通常有两个：一个是轮询方式，另外一个是哈希算法。NAT其实仍然是一对一的转换，因此地址池中的地址都被占用以后其余的全部的链接就由于分配不到资源而使得链接失败。

   问题四：配置NAT以后要不要配路由呢？

   答案：NAT通常是屏蔽了路由，不须要配置路由就能够通讯，可是这种状况仅仅适用于转换后的地址网段跟出接口IP是同一网段的状况，若是转换后的IP跟接口IP处于不一样网段那该怎么办呢？该种状况出接口转换不存在任何的问题，问题会发生在返回的报文如何回来呢？由于不知道路由因此包将被丢弃，因此该种状况下就必须配置返回的路由保证返回的报文能够到达NAT设备。

   问题五：NAT实现负载分担的说明及简单的配置？

   答案：NAT负载分担通常用于内部服务器模式的，能够经过配置NAT SERVER的负载分担选项实现，固然在配置的过程当中还能够指定权值，这样一来就能够实现NAT负载分担了。

   问题六：NAT对分片报文的处理？

   答案：NAT对分片报文的处理首先须要搞清楚分片跟NAT的顺序，确定是先分片，每一个分片报文都复制了一份跟首包相同的IP报头，因此就能够直接交给NAT设备进行转换就能够了。返回报文就必须先转换后重组，这样可能就有一个问题了，返回的报文不可能同时到达，此时就可能存在问题。

   问题七：双向NAT的实现？

   答案：其实理解了前面讲述的SANT和DNAT就能够彻底经过配置实现双向NAT，两个私网用户都经过NAT实现访问，这样在报文出方向配置SANT而在报文入方向配置DNAT就能够了。

   问题八：NAT多实例？

   答案：NAT多实例是MPLS的典型应用，所谓的多实例instance就是一个×××网络用一个instance id来标识，这样就能够实现定义多实例的NAT转换方式。

2.对外隐藏了网络的内部结构

缺点：  

1.在执行NAT时,地址转换设备在数据流中引入了延迟,NAT设备必须改变数据包中的地址信息并从新计算校验和

2.地址转换设备支持越多的转换,越会给设备增长更大的负载,对转发性能也有一些影响