PAT是如何工做的

从统计学观点来看，与直接使用动态N AT相比，使用PAT发生冲突的机会会更小，有时甚至能够忽略这种冲突。这就是PAT的出发点。也许你能从这个名字看出什么，但要知道PAT是用于转换端口号和I P地址的。当发送方向向外时，在转换源地址的同时，也转换源端口号。为了不冲突，路由器每每要选择一个新的源端口号。这种解决办法至少对T C P和U D P来讲能工做得很好，并可以避免冲突。对于没有端口号的I C M P协议，还要使用一些其余的技巧。如今，经过分组信息与链接表进行匹配，路由器可以找到一个惟一的端口号。PAT可以实现大量内部机器共享一个外部I P地址，它可以支持多少台机器呢？因为与使用方式相关，因此给出一个精确的数字是很困难的。如今让咱们作一个假设。假设要限制一个Internet IP 地址在同一时刻同时通讯的内部机器台数。最坏的状况发生在U D P协议上，此时咱们不得不使用定时 器来仿真链接。假设定时器被设置成2分钟，若是2分钟以后仍然没有分组传送的话，链接将被停止。端口号的范围从0开始到65 536结束，从原理上来说，同时链接的最大数量应为65 536。这须要它们在某一时刻同时发生，产生这种状况的缘由有两个：一个缘由是它们在同一时刻开 始，而且已等待了两分钟；另外一个缘由是这些链接已经被激活很长时间，并达到了最大数量。这里针对的是一个外部I P地址。若是使用动态I P地址的话，链接数量应为带有PAT功能的动态N AT所使用的I P地址数量乘以1个外部I P所能支持的链接数量。记住：这里所讲到的内容只针对于全部客户同I n t e r n e t上的同一机器进行的通讯。若是考虑在I n t e r n e t上有多个机器，冲突会几乎降低到零。这种状况在实际应用中看起来很好。可是，当它达到理论上的极限时，你的N AT设备中的内存将会被所有消耗掉。PAT的安全状况怎么样？状况还比较好。一个外部地址再也不对应单个的内部I P地址，而是依靠链接来实现。这也就是说，若是有一个与外部地址相连的新链接，则在链接表中不会有与它相同的内容出现，因此也就不存在要链接的内部I P地址了。当一台内部的计算机试图链接一个外部地址时，这种状况是最常出现的。理论上讲，能够设计出一个PAT，可以使一个特定的外部地址匹配特定的内部地址（将静态N AT和PAT合在一块儿）。但为了安全起见，你可能不但愿地这作。另一个要注意的问题是外部的I P地址并非N AT设备接口的那个I P地址。例如，有些路由器在实现PAT时使用路由器本身的外部I P地址。在这种状况下，试图与外部I P地址进行的链接将会连到路由器，这是咱们不但愿的。 许多PAT的实现仅容许一个特定的内部地址缓冲池与一个外部I P地址匹配。产生这种状况的缘由多是系统仅容许一部份内部网络匹配一个外部地址。