公网-内网IP分配及NAT地址转换协议
什么是内网
什么是内网、公网、NAT?公网、内网是两种Internet的接入方式。
内网接入方式:上网的计算机得到的IP地址是Inetnet上的保留地址,保留地址有如下3种形式: 10.x.x.x172.16.x.x至172.31.x.x192.168.x.x内网的计算机以NAT(网络地址转换)协议,通过一个公共的网关访问Internet。
内网的计算机可向Internet上的其他计算机发送连接请求,但Internet上其他的计算机无法向内网的计算机发送连接请求。
公网接入方式:上网的计算机得到的IP地址是Inetnet上的非保留地址。
公网的计算机和Internet 上的其他计算机可随意互相访问。
NAT(Network Address Translator)是网络地址转换,它实现内网的IP地址与公网的地址之间的相互转换,将大量的内网IP地址转换为一个或少量的公网IP地址,减少对公网IP地址的占用。
NAT的最典型应用是:在一个局域网内,只需要一台计算机连接上Internet,就可以利用NAT共享Internet连接,使局域网内其他计算机也可以上网。
使用NAT协议,局域网内的计算机可以访问Internet上的计算机,但Internet上的计算机无法访问局域网内的计算机。
Windows操作系统的Internet连接共享、sygate、winroute、unix/linux的natd等软件,都是使用NAT协议来共享Internet连接。
所有ISP(Internet服务提供商)提供的内网Internet接入方式,几乎都是基于 NAT协议的。
什么是固定IP、动态IP地址、什么是域名?什么是固定IP地址?固定IP地址是长期分配给一台计算机或网络设备使用的IP地址。
一般来说,采用专线上网的计算机才拥有固定的IP地址。
什么是动态IP地址?通过Modem、ISDN、ADSL、有线宽频、小区宽频等方式上网的计算机,每次上网所分配到的IP地址都不相同,这就是动态IP地址。
网络地址转换协议NAT详解
网络地址转换协议NAT详解网络地址转换(Network Address Translation,NAT)是一种在计算机网络中向本地网络中的多个主机分配多个公共IP地址的技术。
NAT技术在IPv4网络中得到广泛应用,它的主要用途是使本地网络能够共享有限的公共IP地址。
NAT将私有IP地址转换为公共IP地址,使得内网中的多台计算机可以通过共享公共IP地址与公网进行通信。
NAT技术在路由器上实现,它会维护一个地址转换表,记录着内部主机与外部网络之间的映射关系。
NAT可以实现以下功能:1.IP地址转换:NAT通过将内网中的私有IP地址转换为合法的公共IP地址,实现内网与外网之间的通信。
2.IP地址共享:通过使用NAT,多个内部主机可以共享一个公共IP 地址,减少了公共IP地址的消耗。
3.安全性增强:NAT可以隐藏内网主机的真实IP地址,外部网络无法直接访问内网主机,从而提高了网络的安全性。
4.端口转换:NAT还可以实现端口转换,使得多个内网主机可以使用同一个公共IP地址与外部网络进行通信。
NAT的工作原理如下:1.内网主机向外网发送数据包时,数据包中的源IP地址会被NAT路由器替换为公共IP地址。
2.NAT路由器在转发数据包之前,将原始源IP地址和端口加入地址转换表,并为该连接分配一个公共IP地址和端口。
3.当外部主机回复数据包时,数据包中的目标IP地址是公共IP地址,NAT路由器会根据地址转换表将数据包转发给对应的内网主机。
4.NAT路由器会周期性地检查地址转换表中的转换规则是否过期,并删除不再活跃的连接。
尽管NAT在一定程度上解决了IPv4地址枯竭的问题,但也带来了一些问题和限制:1.限制了网络应用:由于NAT对于网络应用的支持不完全,一些对于特定端口或协议的网络应用可能无法正常工作。
2.不利于点对点连接:NAT增加了网络通信的复杂性,不利于建立点对点的连接。
3. 不支持IPSec:由于NAT会修改IP报文的源IP地址,导致与IPSec等加密协议不兼容。
网络IP的分类与地址分配方式
网络IP的分类与地址分配方式一、概述在网络通信中,IP地址是唯一标识互联网上的设备的数字标签。
为了更好地管理和分配IP地址,人们将其进行了分类与分配方式的划分。
本文将对网络IP的分类以及地址分配方式进行详细探讨。
二、IP地址的分类1. IPv4地址IPv4(Internet Protocol version 4)是最早使用的IP协议版本。
它由32位二进制数表示,通常用四个十进制数(0-255)来表示,每个数之间使用句点分隔。
IPv4地址根据网络规模的大小被分为以下五个类别: - A类地址:以0开头,范围从1.0.0.0到126.0.0.0,可分配大量主机。
- B类地址:以10开头,范围从128.0.0.0到191.255.0.0,适用于中等规模网络。
- C类地址:以110开头,范围从192.0.0.0到223.255.255.0,可分配较小规模的网络。
- D类地址:以1110开头,范围从224.0.0.0到239.255.255.255,用于多播传输。
- E类地址:以1111开头,范围从240.0.0.0到255.255.255.255,保留地址,不用于分配。
2. IPv6地址由于IPv4地址的有限性,IPv6(Internet Protocol version 6)被引入以解决地址空间不足的问题。
IPv6地址由128位二进制数表示,使用冒号分隔,每个单元通过四个十六进制数表示。
IPv6采用无类别的无分级地址结构,地址空间极大,符合未来互联网的需求。
三、IP地址分配方式1. 静态IP分配静态IP分配是指手动在设备上配置IP地址。
这种方式适用于需要固定IP地址的情况,例如企业内部服务器、路由器等。
管理员需手动指定IP地址、子网掩码、网关以及DNS服务器等参数,确保网络的稳定性和可靠性。
2. 动态主机配置协议(DHCP)DHCP是一种自动分配IP地址的协议,它通过一个DHCP服务器来分配、管理和回收IP地址。
公网IP和内网IP
公网IP和内网IP一、先来看一下IP地址划分:A类地址:0.0.0.0------127.255.255.255其中127.255.255.255是广播地址,不能分配B类地址:128.0.0.0------191.255.255.255C类地址:192.0.0.0------223.255.255.255D类地址:224.0.0.0-----239.255.255.255E类地址:240.0.0.0------255.255.255你要是想看你自己机子的IP是多少,可以这样查看开始---运行,输入cmd---在弹出的对话框里输入ipconfig /all ,然后回车出现列表.其中有一项:ip address就是你机子的ip地址。
试试看1、局域网专用地址是(私有地址或内网地址):A类地址:10.0.0.0------10.255.255.255由于A类地址的网络号位数是7位,主机号是24位,所以网段比较少(做多有2的7次方-2个网络),但每个网段的主机数都很大(每个网络有2的24次方-2台PC),因此A类地址一般用于大型的公司或厂家.B类地址:172.16.0.0----172.31.255.255由于B类地址的网络号位数是14位,主机号是16位,C类地址:192.168.0.0---192.168.255.255由于B类地址的网络号位数是21位,主机号是8位,注:这些地址在不同的局域网可以重复使用,但在同一个局域网内,IP不能重复。
2、特殊地址是:A类系统回环地址:127.0.0.0-----127.255.255.255每个计算机都有一个本地环回接口地址,是127.0.0.1,这个地址是用来测试本机的TCP/IP 协议栈有没有正确安装的。
B类地址:168.192.0.0---168.192.255.255B类保留地址:169.254.0.0----169.254.255.255D类地址:224.0.0.0-----239.255.255.255E类地址:240.0.0.0-----255.255.255.255二、公网地址:(0.0.0.0----223.255.255.255)地址之间,除以上“局域网专用地址”和“特殊地址”以外的的地址即为公网地址。
为什么ip地址通常以192.168开头?什么是公网ip?什么是内网ip
我们的生活中常常要与ip地址接触,通常也会经常听到公网、内网?那什么是公网ip地址呢?什么是私网ip地址呢?为什么我们常见到的ip地址以192.168开头呢?我们今天来了解下。
内、外网是相对于防火墙而言的,在防火墙内部叫做内网,反之就是外网。
在一定程度上外网等同于公网,内网等同于私网。
一、IP地址分类公网地址是指在因特网上直接可达的地址,如果你有一个公网地址,那就意味着你不但能访问别人,还能被人访问。
公网地址是架设各种服务器必不可少的条件。
A类:10.0.0.0到127.255.255.255主要分配给大量主机而局域网网络数量较少的大型网络B类:128.0.0.0到191.255.255.255一般用于国际性大公司和政府机构C类:192.0.0.0到223.255.255.255用于一般小公司校园网研究机构等D类:224.0.0.0到239.255.255.255用于特殊用途,又称作广播地址E类:240.0.0.0到255.255.255.255暂时保留二、私有地址网络中的主机需要通信,需要使用一个IP地址,目前我们普遍使用的IPv4的地址,分为A、B、C、D、E五类,在上面已经列出,其中A、B、C类是我们常见的IP地址段。
在这三类地址中,大多数为公有地址,需要向国际互联网信息中心注册。
在IPv4地址中预留了3个IP地址段,作为私有地址,共家庭、企业、学校等内部组网使用。
私网地址除了这三个ip地址段为私有ip地址外,其它的都为公网ip。
这些地址已被声明私有化,任何内网中的设备可以任意使用这些地址,但是在这三个范围内的IP地址不允许出现在Internet(外网)上。
所以我们平台在内部组网时用的比较多,比如监控项目与公司内部电脑ip设置,用的多的就是192.168.xx。
通常情况下,按照需要容纳的主机数选择私有地址段。
家庭网络规模比较小,一个C类地址,192.168.1.x可以容纳254个终端,足够使用。
NAT转换的三种方式
NAT地址转换的几种形式实验拓扑图模拟器拓扑图实验说明:①防火墙采用华为USG6000V②PC采用Linux服务器搭建,IP地址配置如上。
③管理PC采用win7④公网IP费用较高,防火墙的出接口采用真实环境中内网IP模拟,将防火墙的桥接到真实环境中的PC上。
防火墙的基本配置如下:①相应的接口配置相应的IP地址,并把相应的接口划入相应的区域。
②需要配置一条缺省路由指向真实内网的网关。
③配置NAT地址转换如下相应的策略如下此时内网PC去ping百度可以进行测试防火墙的会话如下:(用display firewall session table source inside 192.168.30.100这条命令进行查看)1、上面就是采用公网地址池中的地址进行转换上网。
(缺点是静态一对一进行地址转换,每个公网地址对应一个内网地址。
浪费公网地址,如果有2个公网地址只容许2台PC上网,第三台就无法上网。
现实中不常用)注意:公网IP不能使用防火墙接外网的接口IP。
2.现在使用2个公网地址进行上网。
其他配置不动,只改NAT地址池3.用3台PC去访问百度,发现有1台PC3无法访问百度。
查看防火墙的会话发现只有2个会话实验验证成功二.将2个公网地址的端口转换地址打开3.发现3台PC都可以进行上网查看防火墙的会话发现有3个会话(第三台PC用的两个公网地址中的一个地址进行端口转发)三、将使用1个公网地址打开端口转发地址1、查看3台PC访问百度的情况2、查看防火墙的会话发现有3个会话(三台PC用的1个公网地址的端口进行转发)四、最后一种NAT地址转换(内网访问公网都转换为防火墙的出口地址192.168.1.3)如下图所示1、查看3台PC访问百度的情况查看防火墙的会话发现有3个会话(三台PC用的1个公网地址的端口进行转发,并且是防火墙出口地址192.168.1.3)以上是防火墙的三种端口NAT转换方式。
第4章 网络地址转换(NAT)
第4章网络地址转换(NAT)⏹NAT概述随着网络的发展,公用IP地址的需求与日俱增。
为了缓解公用IP地址的不足,并且保护公司内部服务器的私网地址,可以使用NAT(Network Address Translation,网络地址转换)技术将私网地址转化成为公网地址,缓解IP地址的不足,并且隐藏内部服务器的私网地址。
⏹NAT的概述与现实方式1.NAT概念网络地址转换(NAT)通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到互联网等外部网络上,广泛应用于各种类型的互联网接入方式和各种类型的网络中。
原因很简单,NAT不仅解决了IP地址不足的问题,而且还能够隐藏内部网络的细节,避免来自网络外部的攻击,起到一定的安全作用。
借助于NAT,私有保留地址的内部网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,这样一个局域网只需要少量地址(甚至是一个),即可实现使私有地址网络中的所有计算机与互联网的通信需求。
2.NAT的实现方式NAT的实现方式有以下三种:静态转换(Static Translation)动态转换(Dynamic Translation)端口多路复用(Port Address Translation,PAT)静态转换IP地址的对应关系是一对一且不变的,并没有节约公用IP地址,只是隐藏了主机的真实地址。
动态转换虽然在一定情况下节约了公用IP地址,但是当内部网络同时访问Internet的主机数大于合法地址池中的IP地址数时就不适用了。
端口多路复用可以使所有的内部网络主机共享一个合法的外部IP地址,从而最大限度的节约IP地址资源。
由于动态转换形成的IP地址的对应关系是不确定的、随机的;端口多路复用使用的是端口号的转换,也是不确定的,所以内网服务器不能使用这两种转换方式,这是由于外网用户无法确定服务器合法的公网IP地址,导致无法访问服务器。
这时使用静态转换将私有IP地址转换为固定的合法的IP地址,这样服务器有了固定的合法的公网IP地址,才能实现外网的访问。
NAT网络地址转换
NAT⽹络地址转换⼀、NAT基本概念1)技术背景IPv4地址已经耗尽。
局域⽹⽤户普遍使⽤私有IPv4地址,如何访问公⽹。
局域⽹中使⽤私有IPv4地址的服务器如何对公⽹提供服务。
若需要对外隐藏内⽹的IP,同时内⽹的特定服务器⼜需对外提供服务该如何实现。
2)公⽹IP地址及私有IP地址公⽹地址:公⽹地址是指可以在Internet上使⽤的地址。
为保证整个Internet内的IP地址的唯⼀性,公⽹地址由IANA(Internet Assigned Number Authority)这个国际组织负责分配。
⼀台⽹络设备如果需要使⽤公⽹地址,就必须向ISP(Internet Service Provider)或注册中⼼申请。
私有地址:为了满⾜⼀些实验室、公司或其他组织的独⽴于Internet之外的私有⽹络的需求,RFCA(Requests For Comment)1918为私有使⽤留出了三个IP地址段。
私有地址不能在Internet上被分配,因⽽可以不必申请就可以⾃由使⽤。
私有IPv4地址空间A类10.0.0.010.255.255.255(10.0.0.0/8)B类172.16.0.0172.31.255.255(172.16.0.0/12)C类192.168.0.0192.168.255.255(192.168.0.0/16)3)什么是NATNAT(Network Address Translator)的主要原理是通过解析IP报⽂头部,⾃动替换报⽂头中的源地址或⽬的地址,实现私⽹⽤户通过私⽹IP访问公⽹的⽬的。
私⽹IP转换为公⽹IP的过程对⽤户来说是透明的。
4)NAT的优缺点优点缺点缓解公⽹地址紧缺问题存在转发延迟解决IP地址冲突或重叠的问题端到端寻址变得困难⽹络扩展性更⾼,本地控制也更容易某些应⽤不⽀持NAT内⽹结构及相关操作对外变得不可见NAT产⽣的表项需占⽤设备的内存空间增加了安全性设备性能问题5)NAT类型源IP地址转换(Source IP address-based NAT)No-Port 地址转换(No-PAT)⽹络地址及端⼝转换(NAPT)⽬的IP地址转换(Destination IP address-based NAT):NAT Server⽬的NAT(5.1)NAT类型1:No-PATNAT No-PAT也可以称为“⼀对⼀地址转换”,在地址转换过程中,数据包的源IP地址由私⽹地址转换为公⽹地址,但端⼝号不做转换。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
公网/内网IP分配及NAT地址转换协议公网/内网IP分配及NAT地址转换协议(转自ReTu rner.D's blog)上一篇 / 下一篇 2008-10-20 10:43:13 / 个人分类:无线通信查看( 150 ) / 评论( 0 ) / 评分( 0 / 0 )公网IP/内网IP:在TCP/IP协议中,专门保留了三个IP地址区域作为私有地址,其地址范围如下:10.0.0.0/8:10.0.0.0~10.255.255.255172.16.0.0/12:172.16.0.0~172.31.255.255192.168.0.0/16:192.168.0.0~192.168.255.255使用保留地址的网络只能在内部进行通信,而不能与其它网络互连。
因为本网络中的地址同样也可能被其它网络使用,如果进行网络互连,那么寻找路由时就会因为地址的不唯一而出现问题。
但是这些使用保留地址的网络可以通过将本网络内的保留地址翻译转换成公共地址的方式实现与外部网络的互连。
这也是保证网络安全的重要方法之一。
但是有一些宽带运营商尽管也使用了非私有地址分配给用户使用,但是由于路由设置的原因,Internet 上的其它用户并不能访问到这些IP。
我们将这两种情况下应用的IP称为内网IP。
如果自己机器上网络接口的IP地址落在上述保留地址范围内,则可以肯定自己处于内网模式下。
内网IP对Internet的访问必须通过代理的方式,NAT(Network Address Translation)技术是基于TCP 层面的代理,能够相当好地使用于各种IP服务应用,因此被广泛应用。
之所以说是相当好,是因为NAT 要求整个服务的连接是从内网向外网主动发起的,而外网用户则无法直接(主动)向内网内网的服务发起连接请求,除非在NAT的(所有)网关上针对服务的端口作了端口映射。
NAT转换的类型:有四种NAT转换模型可以涵盖当前NAT的基本应用。
1、静态转换(Static NAT)在路由器上手工配置私有IP地址和公网IP地址的对应关系,一经配置,转换表永久存在。
明显的例子是NAT路由器上配置外网用户访问内网的服务器:内网服务器依然使用私网地址,在NAT路由器上,分配一个公网地址并配置私网地址/公网地址的转换表,对外提供公网IP地址给外部网络用户访问。
NAT转换表:202.110.10.10 8080 ---> 10.110.10.10 80 (www)2、动态转换(Dynamic NAT)路由器上保留一个合法地址列表,每当有转换需求的时候,从列表中选择一个进行转换。
注意:动态转换依然是一对一的。
1)由于从列表中选择,每次转换采用的IP地址并不一定是同一个;2)合法地址被采用后,其他的转换需求不能再使用这个合法IP。
3、复用转换(Overloading NAT)在动态转换中,每个合法的IP地址只能在转换表中使用一次,在内部网络主机访问外部需求增多的情况下,合法地址列表中的IP地址会很快不够用。
这时,可以利用上层协议标识,例如利用传输层TCP/UD P的端口号字段来协助建立NAT转换表项(ICMP报文的ICMP头中的Identifier字段也可以用来实现与端口号类似的功能)。
这样,多个私有地址可以通过一个合法地址进行转换,这种类型的NAT转换也可以称为PAT(端口地址转换)。
转换表项例子:10.10.1.1 100 202.110.10.1 10010.10.1.1 101 202.110.10.1 10110.10.1.2 102 202.110.10.1 102......理论上,1个公网地址可以提供的转换表项为2^16=65535个(尚未扣除知名端口数量)。
这是INTER NET上NAT的典型应用。
通过复用转换,还可以实现服务器负载分担的功能。
4、重叠转换(Overlapping NAT)内部网使用的地址跟外部网重叠,这时需要把跟外部重叠的IP地址进行变换。
在NAT路由器上,将外部网的重叠IP重新映射成不重叠的IP地址。
这个方案可以解决使用相同私网网段的企业网络的合并问题。
建立的转换表项如下:10.10.10.1 168.192.10.1 172.10.1.1 10.10.10.110.10.10.1 172.10.1.1 168.192.10.1 10.10.10.1在NAT路由器上,将外部网的重叠IP重新映射成不重叠的IP地址。
这个方案可以解决使用相同私网网段的企业网络的合并问题。
------------------------------4种地址类型分别是:内部局部地址(IL Inside local address)内部全局地址(IG Inside global address)外部局部地址(OL Outside local address)外部全局地址(OG Outside global address)------------------------------NAT转换表NAT按照转换表进行数据包的转发。
1)转发原则根据数据包的来源是内部还是外部而不同。
NAT重叠转换为例,建立如下转换表:内部局部内部全局外部局部外部全局10.10.10.1 172.10.10.1 ————————168.192.10.1 10.10.10.110.10.10.1 172.10.10.1 168.192.10.1 10.10.10.1左边主机访问右边主机发出的Packet_1 IP包到达NAT路由器转换后,源IP地址将根据转换表项第1行转换为172.10.10.1,目的IP地址将根据转换表项第2行转换为10.10.10.1,反之亦然。
2)按照数据驱动的方式建立,有静态,动态两种。
静态地址转换类型表项一旦建立,将一直存在。
动态地址表项在需要时动态建立,如果一段时间没有IP报文查询利用这个表项,到达老化时间后将自动删除,释放资源重新使用。
---------------------------从功能上看,主要有以下几种典型的NAT:传统NAT(基本NAT,NAPT)、两次NAT、多宿主NAT。
两次NAT:即上文的“重叠转换NAT”多宿主NAT(Multihomed NAT)使用NAT会带来很多问题(RFC2993)。
比如,NAT设备要为经过它的会话维护状态信息,而一个会话的请求和响应必须通过同一NAT设备做路由,因此通常要求允许NAT末梢域边界路由器必须是惟一的,所有的IP包要么发起,要么终结在该域。
但这种配置将NAT设备变成了可能的单点故障点。
为了让一个内部网络能够在某个NAT链路故障的情况下,也可以保持与外部网络的连通性,通常希望内部网络到相同或不同的ISP具有多条连接(多宿主的),希望经过相同或不同的NAT设备。
又如,多个NAT设备或多条链路使用同一NAT,共享相同的NAT配置能够为相互之间提供故障备份。
在这种情况下,有必要让备份NAT设备交换状态信息,以便当主NAT出现故障时,备份NAT能够担负起透明地保持会话的能力。
传统NAT(内部地址,端口)与(内部地址,端口)的映射方式主要有以下几种典型类型:ConeNAT(Full Cone、Restricted Cone、Port Restricted Cone、)和对称NAT。
1.锥形NAT(ConeNAT)当在(私有IP,私有端口)与(公开IP.公开端口)已经建立了一个端口映射表后,克隆NAT将为随后从相同的私有地址和端口号发起的呼叫重复使用该映射,条件是只要使用映射(有时业叫绑定)的会话至少有一个继续保持激活状态。
从下图可以看出,客户A分别从相同的内部地址和端口号(10.0.0.1:1234)同时发起两个会话请求到服务器1和服务器2,因为这两个请求来自相同的内部地址和端口,所以克隆NAT将为这两个不同的会话请求分配相同的公开端点号(100.100. 100. 100:62000),以保证客户A的“身份”能够在经过翻译后仍然保持一致。
NAT和防火墙不翻译端口号,因此也是克隆方式的NAT。
根据克隆时受到的限制大小,又可以把克隆NAT分为以下三种:(1)全双工锥形(Full Cone)首先,把所有来自相同内部IP地址和端口的请求映射到相同的外部1P地址和端口。
其次,任何一个外部主机通过把一个TP包发送给已得到映射的外部IP地址的方式,都能够把该包发送给该内部主机。
(2)限制性克隆(Restricted Cone)把所有来自相同内部IP地址和端口号的请求映射到相同的外部IP地址和端口。
与全克隆NAT方式不同,只有当内部主机以前曾经给IP地址为x的外部主机发送过一个包时,IP地址为x的该外部主机才能够把一个IP包发送给该内部主机。
(3)端口限制性克隆(Port Restricted Cone)端口限制性克隆与限制性克隆类似,只是限制中多了端口号。
特别是,一个外部主机可以发送一个源IP地址和源端口号分别为(x,P)的IP包给内部主机,只有当内部主机以前曾经给IP地址为x,端口号为P 的外部主机发送过一个包时,IP地址为X的该外部主机才能够把一个源端口号为P的IP包发送给该内部主机。
2.对称NAT对称式NAT(symmetric NAT)是指把所有来自相同内部IP地址和端口号,到特定目的1P地址和端口号的请求映射到相同的外部TP地址和端口。
如果同一主机使用不同的源地址和端口对,发送的目的地址不同,则使用不同的映射。
只有收到了一个IP包的外部主机才能够向该内部主机发送回一个UDP包。
对称式的NAT不保证所有会话中的(私有地址,私有端口)和(公开IP,公开端口)之间绑定的一致性。
相反,它为每个新的会话分配一个新的端口号。
从下图可以看出,假如客户A分别从相同的内部地址和端口号(10.0.0.1:1234)同时发起两个会话请求到服务器1和服务器2,对称NAT可能会为这两个来自相同地点的会话请求分配不相同的公开端点号,如把100 100. 100.100:62000分配给会话1,把100 100. 100.100:62001分配给会话2。
因为这两个会话的有一个端点不同,所以虽然在翻译的过程中客户A的身份发生了变化,但NAT仍然能够正确工作。