NAT類型

類別 A 10.0.0.1~10.255.255.254 類別 B 172.16.0.1~172.31.255.254 類別 C 192.168.0.1~192.168.255.254

NAT 裝置作用隱藏了內部網路 IP 位址，所有內部網路節點對於外部網路 (Internet)是不可見的，因此可保護內部網路主機不受外界攻擊，而內部網路用戶 通常不會意識而 NAT 裝置的存在。如圖 2.2 所示提到的內部網路位址，是指在 內部網路中分配給節點的私有 IP 位址，只適合於內部網路中使用，則私有 IP 位 址的路由資訊不能對外散播。當內部用戶欲存取外部網路服務時，所傳送的封包 經由 NAT 裝置在轉傳到外部網路的目的端，而在 NAT 裝置接收到內部用戶端傳 送的封包來源 IP:Port 為 192.168.0.200:1234 時，會使用本裝置的一個連接埠 (也 稱為 NAT 連接埠)來對應用戶端的 IP 位址與來源連接埠並將來源資訊儲存在 NAT translation table 內，然後根據這個連接埠，產生新的封包來源 IP:Port 為 210.32.166.58:7000 送到目的地 IP:Port 為 140.127.206.10:80；而當 NAT 裝置收到 傳回的訊息會比對 NAT translation table，比對過後發現目的地連接埠 7000 所對 應的內部 IP:Port，並把封包正確傳回到 NAT 用戶端。

圖 7 NAT 的運作流程

2.3.1. NAT 類型

依據 RFC 中的定義，有四種比較常見的 NAT 類型：全克隆(Full Cone NAT)、

限制性克隆(Restricted Cone NAT)、埠限制性克隆(Port Restricted Cone NAT)、對 稱式 NAT(Symmetric NAT)。

1. 全克隆 (Full Cone NAT)

首先要透過內部用戶網路IP位址和埠的請求映射到NAT裝置的外部網路IP 位址和連接埠。其次，任何一個外部主機通過把一個IP封包發送給已得到映射的 外部網路IP的方式，都能夠把封包發送給該內部主機。如圖 8所示，位於NAT內 IP:Port為 192.168.0.100:80 的用戶，所傳送封包訊息經NAT轉址後來源IP:Port變 為 140.127.206.10:12345，修改過後的封包再傳送到外部網路(Internet)，最後到達 目的端A用戶，而A用戶也可經由相同的路徑回傳封包給內部用戶，同時A用戶 只要告知B用戶得知的修改過後的來源IP:Port，同樣B用戶也可以傳送封包給內 部用戶。

圖 8 Full Cone NAT 運作方式

2. 限制性克隆 (Restricted Cone NAT)

有點類似Full Cone NAT，首先也是透過內部用戶網路IP位址和埠的請求映射 到NAT裝置的外部網路IP位址和連接埠。但不同的是只有當內部主機曾經給IP位 址為X的外部主機發送過封包時，IP位址為X的外部主機才能夠把封包傳送給內 部主機。如圖 9所示，內部用戶只傳送封包給外部用戶A、C，當用戶A、C接收 到所傳送的封包時，可透過接收的封包來源IP:Port再回傳給內部用戶，如果用戶 A將來源IP:Port告知給用戶B知道，而用戶B依照來源IP:Port傳送資料封包給內部 用戶，則NAT會封鎖來自用戶B的封包，主要原因是當內部用戶傳送封包給用戶 A時，此時NAT會記錄封包目的端的IP，所以當用戶B傳送封包到NAT時，NAT 查尋不到曾傳送過封包到目的端為用戶B的IP位址，因此將封包給封鎖。

圖 9 Restricted Cone NAT 運作方式

3. 埠限制性克隆 (Port Restricted Cone)

Port Restricted Cone與Restricted Cone NAT有點類似，與Restricted Cone NAT 不同的是：它同時記錄了外部主機的IP位址和Port。當NAT接收到封包時，會記 錄 內 部 網 路 用 戶 所 發 送 過 封 包 的 目 的 端 IP 位 元 址 和 Port ， 唯 有 被 紀 錄 的 Destination table集合中IP位元址和Port才允許進入內部網路，否則將被封鎖。如圖 10所示，內部用戶僅傳送封包給外部用戶A，則接下來NAT僅會允許來自IP:Port 為 222.111.90.2 的封包通過；若由相同的IP位址，但Port卻變為 2385， NAT將會 封鎖住；反之，相同的Port，但IP位址卻不同，還是會被NAT封鎖住。

圖 10 Port Restricted Cone NAT 運作方式

4. 對稱式 NAT (Symmetric NAT)

Symmetric NAT是所有NAT種類中最嚴謹的一個，除了擁有Port Restricted Cone的性質外，基於傳送封包目的地的不同會映射不同的連接埠。其中只允許 先由私有網域內的用戶發送封包到網際網路中的用戶可以回傳封包。如圖 11所 示，內部用戶各傳送封包給外部用戶A、B，並且得到二組不同映射的結果，用 戶A的是 140.127.206.10:6000，而用戶B的是 140.127.206.10:7000，二者用戶只能 透過各自映射的IP:Port與內部用戶傳送訊息。假如用戶B想經由用戶A所映射的 IP:Port傳送訊息給內部用戶，則會被NAT所封鎖；反之，也會得到相同的結果。

圖 11 Symmetric NAT 運作方式