Win XP中网络地址转换(NAT)概述(3)

内部网络上的服务
　　很多网络服务或服务器假定，如果建立监听套接字，则 Internet 上的所有客户机都可以与之联系。如果在网络的边界上有 NAT 设备，为了将通信引入到内部网络服务，NAT 需要存在端口映射。但在网络边缘上有 NAT 设备时，NAT 却要求进行端口映射，以便将输入通讯转发给内部网络上的服务。因此，该服务仅对专用网络上的客户机有效。它对于 Internet 其余部分而言不可用。

　　该问题最常见的解决办法是手动配置端口映射，使 NAT 设备将定向给 NAT 特定外部 IP 地址和端口的通信转发给该服务所用的内部 IP 地址和端口。

　　利用该端口映射，服务可以接收输入数据包，从而使服务可被专用网络外部的客户机所使用。建立端口映射之前，网络是断开的。

　　手动配置映射通常很复杂，为了正确配置映射需要较有经验的用户。因此，除非是联系自己宽带 Internet 服务提供商、PC 制造商、零售商或 Internet 网关制造商的客户服务中心以尝试找到问题的根源及解决方案，否则许多一般用户或小型企业用户将无法使用所需的应用程序或服务。上述情况还会造成映射的不严格：许多外部客户机都可以使用该映射来连接服务器。

嵌入地址或端口

　　有些网络应用程序假定客户机所分配的 IP 地址和端口将始终可进行全局路由，并可直接在 Internet 上使用。许多情况下，它们属于 IETF 保留地址范围内的专用 IP 地址。应用程序会在发送给服务器的数据包的负载中包含该专用 IP 地址或端口。服务器可以将该嵌入地址用作联系客户机时所用的地址。

　　如果服务器试图用嵌入 IP 地址和端口进行回复，而非 NAT 提供的映射地址和端口，系统就会丢弃该数据包。这是因为嵌入 IP 地址是无法路由的。如果网络应用程序能找到 NAT 设备并检索到所要使用的外部 IP 地址和外部端口映射，应用程序就可以在数据包中嵌入正确的信息。

　使用分散套接字的应用程序

　　还有一些网络应用程序使用端口 " X " 上的套接字向服务器或对等计算机发送通讯信息，然后等待将服务器的通讯信息接收到端口 " Y " 的独立监听套接字上。NAT 将监视输出通讯并为端口 " X " 创建端口映射，但并不对寻址到端口 " Y " 的返回数据包进行端口映射。寻址到端口 " Y " 的输入数据包将被丢弃。

需要端口可用

　　有些网络协议假定始终有可全局路由的已知端口可用。当多个客户机共享 IP 地址时，每次将只有一个客户机能使用已知端口。例如，每次只有一个 Web 服务能使用本地网络上的端口 80。如果不是这样，NAT 设备将无法确定外部请求所适用的客户机。即使在配置端口映射的用户的帮助下，如果从本地网络的外部能找到多个客户机，也必须采取某些特殊的措施。

多个 NAT

　　对于客户机位于一个 NAT 后面的 NAT 的后面这个问题已经超出了本文所涵盖的范围。

对用户和行业的影响

　　上一段介绍了与 NAT 穿越有关的技术问题。从用户的角度讲，它所造成的影响比较简单：人们再也无法使用受 NAT 干扰的服务或应用程序。

　　现在，大多数用户甚至没有意识到自己已成为这种 NAT 问题的“受害者”。他们只是知道，当试图玩多人游戏或者使用对等应用程序 (例如进行实时通讯) 或其他某些应用程序时，却无法玩或无法使用。他们可能会在 PC 上看到类似“无法连接”等的错误消息，或者在试图使用应用程序时，程序却出现故障。

　　有时，具有拨号调制解调器 Internet 连接的用户在使用拨号调制解调器时不会出现上述问题。但当用户使用宽带服务并将 DSL 或电缆调制解调器设备与 NAT 一起使用时，却出现故障。在进行快速 Internet 连接的情况下，这些用户尤其会受到 NAT 问题的困扰：它们会突然导致用户无法玩游戏或使用其他服务。

　　这导致了用户的不满，矛头指向 PC 生产商、ISP、Internet 网关提供商等等。通常，用户并不知道问题的根源，而技术支持人员也并不总能知道如何通过电话解决这些问题。

　　这已不仅是用户的问题。它也成为向用户提供产品和服务的制造商的问题。用户在试图解决这些由 NAT 引起的问题时会拨打支持电话，而这部分费用会减少制造商或零售商的利润，甚至使其无利可图。这些问题会导致用户对试用服务的不满，从而使某些用户降低了对后续的新服务或新应用程序的兴趣。因此，NAT 会妨碍其他创新产品/服务的推出和使用。

　　鉴于上述因素，解决 NAT 问题已成为业界的一项重要任务。