私有地址通過什麼伺服器轉換

A. NAT伺服器將網內私有地址轉換為合法的ip地址

一個IP地址，按照協議，最多有TCP和UDP埠各有65535個。但是，一台電腦開一個業務，通常都只用1個到幾個埠號，同時開多個任務，配早也最多佔用幾十個埠號，因此在歲備公網地址缺少的今天，專家們就想了個節約的辦法，用一台設備，叫NAT設備，就是用一個公網地址，對應一個網路內的多台私網地址。NAT設備，就是負責把私網內的每個地址向外網的請求，都記錄下來，然後使用自身「公網地址+沒有的埠號」來代替「私網的P地址+埠號」，對於公網上與此計算機通訊的計算機來說，他並不知道對方計算機使用的不是公網地址，它只是與這個經過轉換的「公網地址+埠號」通訊，而NAT設備則在收到對方的數據包後，會在自身的資料庫中查找，是哪個私網地址的哪個埠的請求，然後再把數據包轉發給它。
對於私網內的地址來說，它實際的通訊都是與NAT設備進行的，但它感覺就是與擁有公網地址的計算機是相同的。
這種方案對於大多數用戶都行，只是，如果當伺服器，公網的計算機是訪問不到的，那需要在NAT設備上進行設置，把需要服務的埠映射到公網上。
NAT伺服器如果配了多個公網地址，它就可以將內部私網地址轉成所配的公網地址，由於乎賣毀演算法的原因，通常是第1個公網地址的埠號用完了，它才使用第二個公網地址的埠號，因此，經常看起來，特別是在用戶較少時，所有的用戶似乎都只有一個公網地址。
還有一種轉換，用於公網地址較多時，多到一般情況下，所有上網的私網地址都能獨立的使用一個公網地址，這時可以不使用埠號映射，直接將公網地址與私網地址映射。

B. 保留IP地址和私有IP地址

保留地址的分配
根據用途和安全性級別的不同，IP地址還可以大致分為兩類：公共地址和私有地址。公用地址在Internet中使用，可以在Internet中隨意訪問。私有地址只能在內部網路中使用，只有通過代理伺服器才能與Internet通信。
一個機構網路要連入Internet，必須申請公用IP地址。但是考慮到網路安全和內部實驗等特殊情況，在IP地址中專門保留了三個區域作為私有地址，其地址范圍如下： 10.0.0.0/8:10.0.0.0-10.255.255.255 172.16.0.0/12:172.16.0.0-172.31.255.255 192.168.0.0/16:192.168.0.0-192.168.255.255
使用保留地址的網路只能在內部進行通信，而不能與其他網路互連凳兄。因為本網路中的保留地址同樣也可能被其它網路使用，如果進行網路互連，那麼尋找路由時就會因為地址的不唯一而出現問題。但是這些使用保留地址冊粗敏的網路可以通過將本網路內的保留地址翻譯轉換成公共地址的方式實現與外部網路的互連。這也是保證網路安全的重要方法之一。
特殊IP地址(保留IP地址)介紹 就像我們每個人都有一個身份證號碼一樣，網路里的每台電腦(更確切地說，是每一個設備的網路介面)都有一個IP地址用於標示自己。我們可能都知道這些地址由四個位元組組成，用點分十進製表示以及它們的A，B，C分類等，然而，在總數大約為四十多億個可用IP 地址里，有一些特殊意義地址：
一、0.0.0.0 嚴格說來，0.0.0.0已經不是一個真正意義上的IP地址了。它表示的是這樣一集合：所有不清楚的主機和目的網路。這里的「不清楚」是指在本機的路由表裡沒有特定條目指明如何到達。對本機來說，它就是一個「收容所」，所有不認識的「三無」人員，一 律送進去。如果你在網路設置中設置了預設網關，那麼Windows系統會自動產生一個目的地址為0.0.0.0的預設路由。
二、255.255.255.255 限制廣播地址。對本機來說，這個地址指本網段內(同一廣播域)的所有主機。如果翻譯成人類的語言，應該是這樣：「這個房間里的所有人都注意了！」這個地址不能被路由器轉發。
三、127.0.0.1 本機地址，主要用於測試。用漢語表示，就是「我自己」。在Windows系統中，這個地址有一個別名「Localhost」。定址這樣一個地址，是不能把它發到網路介面的。除非出錯，否則在傳輸介質上永遠不應該出現目的地址為「127.0.0.1」的 數據包。 四、224.0.0.1 組播地址，注意它和廣播的區別。從224.0.0.0到239.255.255.255都是這樣的地址。224.0.0.1特指所有主機，224.0.0.2特指所有路由器。這樣的地址多用於一些特定的程序以及多媒體程序。如果你的主機開啟了IRDP(Internet路由發現協議，使用組播功能)功能，那麼你的主機路由表中應該有這樣一條路由。
五、169.254.x.x 如果你的主機使用了DHCP功能自動獲得一個IP地址，那麼當你的DHCP伺服器發生故障，或響應時間太長而超出了一個系統規定的時間，Wingdows系統會為你分配這樣一個地址。如果你發現你的主機IP地址是一個諸如此類的地址，很不幸，十有八九 是你的網路不能正常運行了。
六、10.x.x.x、 172.16。x。x～172.31。x。x、 192.168。x。x 私有地址，這些地址被大量用於企業內部網路中。一些寬頻路由器，也往往使用192.168.1.1作為預設地址。私有網路由於不與外部互連，因州枝而可能使用隨意的IP地址。保留這樣的地址供其使用是為了避免以後接入公網時引起地址混亂。使用私有地址的私有網路在接入Internet時，要使用地址翻譯(NAT)，將私有地址翻譯成公用合法地址。在Internet上，這類地址是不能出現的。 對一台網路上的主機來說，它可以正常接收的合法目的網路地址有三種：本機的IP地址、廣播地址以及組播地址。

C. 目的NAT和NAT server

NAT可以分為兩大類：

按照功能不同，基於目的IP地址的NAT server和目的NAT：
NAT Server ：主要應用於實現私網伺服器以公網IP地址對外提供服務的場景。
目的NAT ：主要應用於實現手機用戶上網時，手機的預設WAP網關與所在地運營商的實際WAP網關不一致，導致需要修改報文的目的網關地址的場景

NAT Server是最常用的基於目的地址的NAT 。當內網部署了一台伺服器，其真實IP是私網地址，但是希望公網用戶可以通過一個公網地址來訪問該伺服器，這時可以配置NAT Server，使設備將公網用戶訪問該公網地址的報文自動轉發給內網伺服器。

NAT Server功能使得內部伺服器可以供外部網路訪問。外部網路的用戶訪問內部伺服器時，NAT將請求報文的目的地址轉換成內部伺服器的私有地址。對內部伺服器回應報文而言，NAT還會自動將回應報文的源地址（私網地址）轉換成公網地址。

NAT Server可以通過靜態IP（即global IP地址）和動態IP（即介面IP地址）兩種方式實現地址轉換。當通過global IP地址配置NAT Server後，再通過基於介面地址的方式配置NAT Server，當被借用的介面的地址與global IP地址相同時，二者沖突，基於介面方式的NAT Server不生效。

在移動終端訪問無線網路時，如果其預設WAP網關地址與所在地運營商的WAP網關地址不一致時，可以在終端與WAP網關中間部署一台設備，並配置目的NAT功能，使設備自動將終端發往錯誤WAP網關地址的報文自動轉發給正確的WAP網關

手機用戶需要通過登錄WAP（Wireless Application Protocol）網關來實現上網的功能。目前，大量用戶使用直接從國外購買的手機，這些手機出廠時，預設設置的WAP網關地址與本國WAP網關地址不符，且無法自行修改，從而導致用戶不能移動上網。

為解決這一問題，無線網路中，在WAP網關與用戶之間部署USG。通過在設備上配置目的NAT功能，使這部分手機用戶能夠正常獲取網路資源。

更多詳細信息和配置請參考：
http://support.huawei.com/hedex/hdx.do?docid=EDOC1000038797&lang=zh
有關NAT SERVER和目的NAT的說明。

D. 區域網的主機 將私有IP轉換成公有IP才能出公網 ,哪么他是怎麼轉的呢

這個技術叫nat
NAT英文全稱是「Network Address Translation」，中文意思是「網路地址轉換」，它是一個IETF(Internet Engineering Task Force, Internet工程任務組)標准，允許一個整體機構以一個公用IP（Internet Protocol）地址出現在Internet上。顧名思義，它是一種把內部私有網路地址（IP地址）翻譯成合法網路IP地址的技術

簡單的說，NAT就是在區域網內部網路中使用內部地址，而當內部節點要與外部網路進行通訊時，就在網關（可以理解為出口，打個碧含比方就像院子的門一樣）處，將內部地址替換成公用地址，從而在外部公網（internet）上正常使用，NAT可以使多台計算機共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法，您可以只申請一個合法IP地址，就把整個區域網中的計算機接入Internet中。這時，NAT屏蔽了內部網路，所有內部網計算機對於公共網路來說是不可見的，而內部網計算機用戶通常不會意識到NAT的存在。如圖2所示。這里提到的內部地址，是指在內部網路中分配給節點的私有IP地址，這個地址只能在內部網路中使用，不能被路由（一種芹慧陪網路技術，可以實現不同路徑轉發）。雖然內部地址可以隨機挑選，但是通常使用的是下面的地址：10.0.0.0~10.255.255.255，172.16.0.0~172.16.255.255，192.168.0.0~192.168.255.255。NAT將這些無法在互聯網上使用的保留IP地址翻譯成可以在互聯網上使用的合法IP地址。而全局地址，是指合法的IP地址，它是由NIC（網路信息中心）或者ISP(網路服務提供商)分配的地址，對外代表一個或多個內部局部地址，是全球統一的可定址的地址。

NAT功能通常被集成到路由器、防火牆、ISDN路由器或者單獨的NAT設備中。比如Cisco路由器中已經加入這一功能，網路管理員只需在路由器的IOS中設置NAT功能，就可以實現對內部網路的屏蔽。再比如防火牆將WEB Server的內部地址192.168.1.1映射為外部地址202.96.23.11，外部訪問202.96.23.11地址實際上就是訪問訪問192.168.1.1。另外資金有限的小型企業來說，現在通過軟體也可以實現這一功能。Windows 98 SE、Windows 2000 都包含了這一功能。
NAT技術類型
NAT有三種類型：靜態NAT(Static NAT)、動態地址NAT(Pooled NAT)、網路地址埠轉換NAPT（Port－Level NAT）。
其中靜態NAT設置起來最為簡單和最容易實現的一種，內部網路中的每個主機都被永久映射成外部網路中的某個合法的地址。而動態地址NAT則是在外部網路中定義了一系列的合法地址，採用動態分配的方法映射到內部網路。NAPT則是把內部地址映射到外部網路的一個IP地址的不同埠上。根據不同的需要，三種NAT方案各有利弊。
動態地址NAT只是轉換IP地址，它為每一個內部的IP地址分配一個臨時的外部IP地址，主要應用於撥號，對於頻繁的遠程聯接也可以嫌蠢採用動態NAT。當遠程用戶聯接上之後，動態地址NAT就會分配給他一個IP地址，用戶斷開時，這個IP地址就會被釋放而留待以後使用。
網路地址埠轉換NAPT（Network Address Port Translation）是人們比較熟悉的一種轉換方式。NAPT普遍應用於接入設備中，它可以將中小型的網路隱藏在一個合法的IP地址後面。NAPT與動態地址NAT不同，它將內部連接映射到外部網路中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備選定的TCP埠號。
在Internet中使用NAPT時，所有不同的信息流看起來好像來源於同一個IP地址。這個優點在小型辦公室內非常實用，通過從ISP處申請的一個IP地址，將多個連接通過NAPT接入Internet。實際上，許多SOHO遠程訪問設備支持基於PPP的動態IP地址。這樣，ISP甚至不需要支持NAPT，就可以做到多個內部IP地址共用一個外部IP地址上Internet，雖然這樣會導致信道的一定擁塞，但考慮到節省的ISP上網費用和易管理的特點，用NAPT還是很值得的。

E. NAT將私網IP轉換為公網IP的過程是哪些

隨著IPv6時代的到來，我也一直懷疑，是不是還旁州有必要再去學習NAT技術——因為網路的資源不再如IPv4時代匱乏，而NAT技術正是為解決IP地址的緊缺而存在的，如此，NAT便沒有存在的必要了。

但是，隨著拿慧這篇文章的翻譯，我的懷疑慢慢變成慶幸，漸而又變為肯定，通過翻譯所學到的東西，不再僅僅是翻譯第一手資料帶來的成就感，更多的是通過翻譯，去領悟技術前輩們的智慧與經驗，也通過翻譯，養成自己從第一手資料獲得信息的習慣，從而將視野放得更寬，讓理解更為透徹——至少，很多東運敏蔽西都是要經過仔細斟酌才真正轉化為自己思想的一部分的。正是如此，我才堅定的要把這篇文章翻譯完，也如之前所提到的，如果時間允許的話，我會用C#來寫一些例子，讓大家更好的理解NAT技術，掌握NAT技術（主要涉及到即時通訊、文件對等傳輸和語音應用三個方面）。

這篇文章主要是介紹一下「代理」機制的起因以及給P2P應用帶來的不便，不需要任何基礎知識：）

1. Introction

1、簡介

關鍵詞：

middleboxe(s) —— 我翻譯成「代理」，也許有更好的翻譯

host —— 我翻譯成「主機」，希望大家不要理解成伺服器了，主機就是一台普通的終端機

Present-day Internet has seen ubiquitous deployment of "middleboxes" such as network address translators(NAT), driven primarily by the ongoing depletion of the IPv4 address space. The asymmetric addressing and connectivity regimes established by these middleboxes, however, have created unique problems for peer-to-peer (P2P) applications and protocols, such as teleconferencing and multiplayer on-line gaming. These issues are likely to persist even into the IPv6 world, where NAT is often used as an IPv4 compatibility mechanism [NAT-PT], and firewalls will still be commonplace even after NAT is no longer required.

在當今的Internet中，普遍存在使用「代理」設備來進行網路地址轉換（NAT），導致這種現象的原因是 IPV4 地址空間的資源耗盡危機。雖然不對稱 asymmetric 的地址分配和連通性制度已經在代理中被定義，但是卻給端對端應用程序和協議制定造成了一些特殊的問題。像電話會議和多媒體網路游戲。這些問題即使在IPV6世界中還是會存在，因為NAT作為IPV4的一種兼容性機制經常被使用[NAT-PT]，並且防火牆將仍然將普遍存在，即使不再需要NAT技術。

Currently deployed middleboxes are designed primarily around the client/server paradigm, in which relatively anonymous client machines actively initiate connections to well-connected servers having stable IP addresses and DNS names.

Most middleboxes implement an asymmetric communication model in which hosts on the private internal network can initiate outgoing connections to hosts on the public network, but external hosts cannot initiate connections to internal hosts except as specifically configured by the middlebox's administrator. In the common case of NAPT, a client on the internal network does not have a unique IP address on the public Internet, but instead must share a single public IP address, managed by the NAPT, with other hosts on the same private network.The anonymity and inaccessibility of the internal hosts behind a middlebox is not a problem for client software such as web browsers, which only need to initiate outgoing connections. This inaccessibility is sometimes seen as a privacy benefit.

當前使用的「代理」技術主要是為 客戶端/服務端 C/S 結構設計的，為了實現那些需要連接但是又沒有固定IP地址的客戶端能夠連接到一台配置好的擁有固定IP和DNS域名的伺服器。
大多數的「代理」使用一種 asymmetric 通信模型，即 私網（區域網） 的主機能發起一個「外出」連接去連接公網上的主機。 但是公網上的主機卻無法發送信息給私網上的主機（除非對「代理」進行特殊的配置），NAPT（網路地址埠轉換）的普通情況是，一個私網客戶端不需要一個公網的固定的IP地址，但是必須要共享一個由NAPT控制的公網的固定IP地址（當然這個NAPT是處於同一個私網內部的）。這樣的話，這些匿名的並且看起來難以觸及的藏在NAT之後的內網主機對於像 Web瀏覽器 這種軟體來說就不是一個問題,因為內網的主機只需要發起向外部的連接就可以了。這樣一來，無法觸及也還是有他的優點的——那就是具有保密性。

In the peer-to-peer paradigm, however, Internet hosts that would normally be considered "clients" need to establish communication sessions directly with each other. The initiator and the responder might lie behind different middleboxes with neither endpoint having any permanent IP address or other form of public network presence. A common on-line gaming architecture, for example, is for the participating application hosts to contact a well-known server for initialization and administration purposes. Subsequent to this, the hosts establish direct connections with each other for fast and efficient propagation of updates ring game play.

Similarly, a file sharing application might contact a well-known server for resource discovery or searching, but establish direct connections with peer hosts for data transfer. Middleboxes create problems for peer-to-peer connections because hosts behind a middlebox normally have no permanently usable public ports on the Internet to which incoming TCP or UDP connections from other peers can be directed.

RFC 3235 [NAT-APPL] briefly addresses this issue, but does not offer any general solutions.

然而，在P2P的應用中，Internet上的「客戶機」之間是需要建立一個通信會話直連的。邀請者和響應者也許會處於不同的NAT之後，也許他們都沒有固定IP或者即使有也不是公網的IP地址。舉例來說，在一個普通的網路游戲體系結構中，都是通過客戶端向一個具有公網固定IP的伺服器發起申請進行初始化並通過驗證的。同時，客戶端之間也要建立直連，才使網路間傳輸的速度加快，保證數據即時更新（不然搶不到裝備啊，呵呵）。

同樣的，一個文件共享應用程序也必須通過到一個伺服器上去查找它想要的資源，然後再到擁有這個數據的主機上去下載（BT網站，走了一個中介），「代理」造成了很多P2P直連的問題，因為藏在「代理」之後的的主機通常沒有固定的埠來使其他的客戶端發起的TCP或UDP連接能夠最終到達。

RFC 3235[NAT-APPL] 簡要的提到了這個問題，但是沒有給出任何的解決方案。

In this document we address the P2P/middlebox problem in two ways. First, we summarize known methods by which P2P applications can work around the presence of middleboxes. Second, we provide a set of application design guidelines based on these practices to make P2P applications operate more robustly over currently-deployed middleboxes. Further, we provide design guidelines for future middleboxes to allow them to support P2P applications more effectively. Our focus is to enable immediate and wide deployment of P2P applications requiring to traverse middleboxes.

在這篇文章中，我們用兩種方式討論 P2P/代理 的問題。首先，概要的講敘已有的P2P應用程序能夠在現有的代理機制中的工作原理。然後，我們提供一組應用程序設計指南，基於已有的實踐，在現有的配置好的代理上，來使得P2P應用程序操作更加有條理。最後，我們提供了設計指南，為以後的代理機制能夠更方便支持P2P應用程序。討論的焦點是如何 直接的、廣泛的 配置那些需要經過「代理」的P2P應用程序。
Peer-to-Peer (P2P) communication across middleboxes（術語篇）

2. Terminology

2. 術語

In this section we first summarize some middlebox terms. We focus hereon the two kinds of middleboxes that commonly cause problems for P2P applications.

在這一章節中，首先概要的介紹一下「代理」技術的一些術語。然後集中討論兩種造成P2P應用問題的代理機制。

Firewall

A firewall restricts communication between a private internal network and the public Internet, typically by dropping packets that are deemed unauthorized. A firewall examines but does not modify the IP address and TCP/UDP port information in packets crossing the boundary.

防火牆

防火牆限制了私網與公網的通信，它主要是將（防火牆）認為未經授權的的包丟棄，防火牆只是檢驗包的數據，並不修改數據包中的IP地址和TCP/UDP埠信息。

Network Address Translator (NAT)

A network address translator not only examines but also modifies the header information in packets flowing across the boundary, allowing many hosts behind the NAT to share the use of a smaller number of public IP addresses (often one). Network address translators in turn have two main varieties:

網路地址轉換（NAT）

當有數據包通過時，網路地址轉換器不僅檢查包的信息，還要將包頭中的IP地址和埠信息進行修改。以使得處於NAT之後的機器共享幾個僅有的公網IP地址（通常是一個）。網路地址轉換器主要有兩種類型：

Basic NAT

A Basic NAT maps an internal host's private IP address to a public IP address without changing the TCP/UDP port numbers in packets crossing the boundary. Basic NAT is generally only useful when the NAT has a pool of public IP addresses from which to make address bindings on behalf of internal hosts.

基礎NAT

基礎NAT 將私網主機的私有IP地址轉換成公網IP地址，但並不將TCP/UDP埠信息進行轉換。基礎NAT一般用在當NAT擁有很多公網IP地址的時候，它將公網IP地址與內部主機進行綁定，使得外部可以用公網IP地址訪問內部主機。（譯者註：實際上是只將IP轉換，192.168.0.23 <-> 210.42.106.35,這與直接設置IP地址為公網IP還是有一定區別的，特別是對於企業來說，外部的信息都要經過統一防火牆才能到達內部，但是內部主機又可以使用公網IP）

Network Address/Port Translator (NAPT)

By far the most common, a Network Address/Port Translator examines and modifies both the IP address and the TCP/UDP port number fields of packets crossing the boundary, allowing multiple internal hosts to share a single public IP address simultaneously.

Refer to [NAT-TRAD] and [NAT-TERM] for more general information on NAT taxonomy and terminology. Additional terms that further classify NAPT are defined in more recent work [STUN]. When an internal host opens an outgoing TCP or UDP session through a network address/port translator, the NAPT assigns the session a public IP address and port number so that subsequent response packets from the external endpoint can be received by the NAPT, translated, and forwarded to the internal host. The effect is that the NAPT establishes a port binding between (private IP address, private port number) and (public IP address, public port number).

The port binding defines the address translation the NAPT will perform for the ration of the session. An issue of relevance to P2P applications is how the NAT behaves when an internal host initiates multiple simultaneous sessions from a single (private IP, private port) pair to multiple distinct endpoints on the external network.

網路地址和埠轉換 （NAPT）

這是最普遍的情況，網路地址/埠轉換器檢查、修改包的IP地址和TCP/UDP埠信息，這樣，更多的內部主機就可以同時使用一個公網IP地址。

請參考[NAT-TRAD]和[NAT-TERM]兩個文檔了解更多的NAT分類和術語信息。另外，關於NAPT的分類和術語，[STUN]在最近做了更多的定義。當一個內部網主機通過NAT打開一個「外出」的TCP或UDP會話時，NAPT分配給這個會話一個公網IP和埠，用來接收外網的響應的數據包，並經過轉換通知內部網的主機。這樣做的效果是，NAPT在 [私有IP:私有埠] 和[公網IP:公網埠]之間建立了一個埠綁定。

埠綁定指定了NAPT將在這個會話的生存期內進行地址轉換任務。這中間存在一個這樣的問題，如果P2P應用程序從內部網路的一個[私有IP地址:埠]對同時發出多條會話給不同的外網主機，那麼NAT會怎樣處理呢？請看以下幾種方案。

Cone NAT

After establishing a port binding between a (private IP, private port) tuple and a (public IP, public port) tuple, a cone NAT will re-use this port binding for subsequent sessions the application may initiate from the same private IP address and port number, for as long as at least one session using the port binding remains active.

錐形NAT

（譯者註：為什麼叫做錐形呢？請看以下圖形,終端和外部伺服器，都通過NAT分派的這個綁定地址對來傳送信息，就象一個漏斗一樣，篩選並傳遞信息）

當建立了一個 [私有IP:埠]-[公網IP:埠] 埠綁定之後，對於來自同一個[私有IP:埠]會話，錐形NAT伺服器允許發起會話的應用程序 重復使用這個埠綁定，一直到這個會話結束才解除（埠綁定）。

For example, suppose Client A in the diagram below initiates two simultaneous outgoing sessions through a cone NAT, from the same internal endpoint (10.0.0.1:1234) to two different external servers, S1 and S2. The cone NAT assigns just one public endpoint tuple（元組）, 155.99.25.11:62000, to both of these sessions, ensuring that the "identity" of the client's port is maintained across address translation. Since Basic NATs and firewalls do not modify port numbers as packets flow across the middlebox, these types of middleboxes can be viewed as a degenerate form of Cone NAT.

例如，假設 Client A（IP地址信息如上圖所示）通過一個 錐形NAT 同時發起兩個外出的連接，它使用同一個內部埠（10.0.0.1:1234）給公網的兩台不同的伺服器，S1和S2。錐形NAT 只分配一個公網IP和埠（155.99.25.11:62000）給這個兩個會話，通過地址轉換可以 確保 Client使用埠的「同一性」（譯者註：即這個Client只使用這個埠）。而基礎NATs和防火牆卻不能修改經過的數據包埠號，它們可以看作是錐形NAT的精簡版本。

Symmetric NAT

A symmetric NAT, in contrast, does not maintain a consistent port binding between (private IP, private port) and (public IP, public port) across all sessions.

Instead, it assigns a new public port to each new session. For example, suppose Client A initiates two outgoing sessions from the same port as above, one with S1 and one with S2. A symmetric NAT might allocate the public endpoint 155.99.25.11:62000 to session 1, and then allocate a different public endpoint 155.99.25.11:62001, when the application initiates session 2. The NAT is able to differentiate between the two sessions for translation purposes because the external endpoints involved in the sessions (those of S1 and S2) differ, even as the endpoint identity of the client application is lost across the address translation boundary.

對稱NAT

對稱NAT，與Cone NAT是大不相同的，並不對會話進行埠綁定，而是分配一個全新的 公網埠 給每一個新的會話。

還是上面那個例子：如果 Client A (10.0.0.1:1234)同時發起兩個 "外出" 會話,分別發往S1和S2。對稱Nat會分配公共地址155.99.25.11:62000給Session1，然後分配另一個不同的公共地址155.99.25.11:62001給Session2。對稱Nat能夠區別兩個不同的會話並進行地址轉換，因為在 Session1 和 Session2中的外部地址是不同的，正是因為這樣，Client端的應用程序就迷失在這個地址轉換邊界線了，因為這個應用程序每發出一個會話都會使用一個新的埠，無法保障只使用同一個埠了。

The issue of cone versus symmetric NAT behavior applies equally to TCP and UDP traffic. Cone NAT is further classified according to how liberally the NAT accepts incoming traffic directed to an already-established (publicIP, public port) pair. This classification generally applies only to UDP traffic, since NATs and firewalls reject incoming TCP connection attempts unconditionally unless specifically configured to do otherwise.

在TCP和UDP通信中， （到底是使用同一個埠，還是分配不同的埠給同一個應用程序），錐形NAT和對稱NAT各有各的理由。當然錐形NAT在根據如何公平地將NAT接受的連接直達一個已創建的地址對上有更多的分類。這個分類一般應用在Udp通信（而不是Tcp通信上），因為NATs和防火牆阻止了試圖無條件傳入的TCP連接，除非明確設置NAT不這樣做。這些分類如下：

Full Cone NAT

After establishing a public/private port binding for a new outgoing session, a full cone NAT will subsequently accept incoming traffic to the corresponding public port from ANY external endpoint on the public network. Full cone NAT is also sometimes called "promiscuous" NAT.

全雙工錐形NAT

當內部主機發出一個「外出」的連接會話，就會創建了一個 公網/私網 地址，一旦這個地址對被創建，全雙工錐形NAT會接收隨後任何外部埠傳入這個公共埠地址的通信。因此，全雙工錐形NAT有時候又被稱為"混雜"NAT。

Restricted Cone NAT

A restricted cone NAT only forwards an incoming packet directed to a public port if its external (source) IP address matches the address of a node to which the internal host has previously sent one or more outgoing packets. A restricted cone NAT effectively refines the firewall principle of rejecting unsolicited incoming traffic, by restricting incoming traffic to a set of "known" external IP addresses.

受限制的錐形NAT

受限制的錐形NAT會對傳入的數據包進行篩選，當內部主機發出「外出」的會話時，NAT會記錄這個外部主機的IP地址信息，所以，也只有這些有記錄的外部IP地址，能夠將信息傳入到NAT內部，受限制的錐形NAT 有效的給防火牆提煉了篩選包的原則——即限定只給那些已知的外部地址「傳入」信息到NAT內部。

Port-Restricted Cone NAT

A port-restricted cone NAT, in turn, only forwards an incoming packet if its external IP address AND port number match those of an external endpoint to which the internal host has previously sent outgoing packets. A port-restricted cone NAT provides internal nodes the same level of protection against unsolicited incoming traffic that a symmetric NAT does, while maintaining a private port's identity across translation.

埠受限制的Cone NAT

埠受限制的錐形NAT，與受限制的錐形NAT不同的是：它同時記錄了外部主機的IP地址和埠信息，埠受限制的錐形NAT給內部節點提供了同一級別的保護，在維持埠「同一性」過程中，將會丟棄對稱NAT傳回的信息。

Finally, in this document we define new terms for classifying the P2P-relevant behavior of middleboxes:

最後，在這篇文檔里我們將定義一組新的術語 ，以便更好的對P2P代理相關的行為進行分類。

P2P應用程序

P2P應用程序是指，在已有的一個公共伺服器的基礎上，並分別利用自己的私有地址或者公有地址（或者兩者兼備）來建立一個端到端的會話通信。

P2P-Application

P2P-application as used in this document is an application in which each P2P participant registers with a public registration server, and subsequently uses either its private endpoint, or public endpoint, or both, to establish peering sessions.

P2P-Middlebox

A P2P-Middlebox is middlebox that permits the traversal of P2P applications.

P2P代理

P2P代理是一個允許 P2P應用程序進行通信的代理機制

P2P-firewall

A P2P-firewall is a P2P-Middlebox that provides firewall functionality but performs no address translation.

P2P防火牆

P2P防火牆是一個提供了防火牆的功能的P2P代理，但是不進行地址轉換.

P2P-NAT

A P2P-NAT is a P2P-Middlebox that provides NAT functionality, and may also provide firewall functionality. At minimum, a P2P-Middlebox must implement Cone NAT behavior for UDP traffic, allowing applications to establish robust P2P connectivity using the UDP hole punching technique.

P2P-NAT

P2P-NAT 是一個 P2P代理,提供了NAT的功能,也提供了防火牆的功能,一個最簡的P2P代理必須具有 錐形NAT對Udp通信支持的功能,並允許應用程序利用Udp打洞技術建立強健的P2P連接。

Loopback translation

When a host in the private domain of a NAT device attempts to connect with another host behind the same NAT device using the public address of the host, the NAT device performs the equivalent of a "Twice-nat" translation on the packet as follows. The originating host's private endpoint is translated into its assigned public endpoint, and the target host's public endpoint is translated into its private endpoint, before the packet is forwarded to the target host. We refer the above translation performed by a NAT device as "Loopback translation".

回環轉換

當NAT的私網內部機器想通過公共地址來訪問同一台區域網內的機器的時，NAT設備等價於做了兩次NAT的事情，在包到達目標機器之前，先將私有地址轉換為公網地址，然後再將公網地址轉換回私有地址。我們把具有上敘轉換功能的NAT設備叫做「回環轉換」設備。

F. NAT伺服器將網內私有地址轉換為合法的ip地址

nat有三種實現方式：靜態、動態和埠多路復用。
靜態轉換是指將內部網路的私有IP地址轉換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉換為某個公有IP地址。藉助於靜態轉換，可以實現外部網路對內部網路中某些特定設備(如伺服器)的訪問。
動態轉換是指將內部網腔州絡的私有IP地址轉換為公用IP地址時，IP地址對是不確定的，而是隨機的，所有被授權訪問上Internet的私有IP地址可隨機轉換為任何指定的合法IP地址。也就是說，只要指定哪些內部地址可以進行轉換，以及用哪些合法地址作為外部地址時，就可以進行動態轉換。凳啟動態轉換可以使用多個合法外部地址集。當ISP提供的合法IP地址略少於網路內部的計算機數量時。可以採用動態轉換的方式。
埠多路復用(Port
address
Translation,PAT)是指改變外出數據包的源埠並進行埠轉換，即埠地址轉換(PAT，Port
Address
Translation).採用埠多路復用方式。內部網路的所有主機均可共享一個合法外部IP地址實現對Internet的訪問，從而可以最大限度地節約IP地址資源。同時，又可隱藏網路內部的所有主機，有效避免來自internet的攻擊。因此，目前網路中應用最多的就是埠伍粗蔽多路復用方式。

G. NAT(網路地址轉換技術)詳解，NAT和NAPT的區別是什麼

內網穿透，也就是 NAT 穿透，是一種網路地址的轉換技術；進行 NAT 穿透，是為了使具有某一個特定源 IP 地址和源埠號的數據包不被 NAT 設備屏蔽而正確路由到內網主機。在數據中心網路中，內網穿透可將私有地址映射到公網，同時它也解決了IP地址匱乏的問題，滿足用戶對IP地址的應用需求。

對於內網穿透技術中基礎NAT和NAPT，以及NAPT中對稱型NAT和非對稱型NAT的區別，大家可能並不怎麼了解，這里我來為大家詳細說一說這兩種內網穿透的類型。

一般來說，我們數據中心的伺服器一般分為兩個網卡，一個提供內網，一個提供外網，內網訪問時我們一般採用的是私有地址，而外網訪問採用的是公共地址。根據目前網路發展趨勢來看，公共地址數量有限，而內網使用大量的私有地址，通過內網穿透技術，可以實現私有地址和公有地址的轉化。

內網穿透技術一般分為兩大類，一是基礎NAT，另一個是NAPT。基礎NAT是將私有地址轉化為公有IP地址，但不會將TCP/UDP埠信息轉換，並且有動態和靜態區分。然而，NAPT是人們較為熟悉的轉換方式，將私有地址映射到公有網路地址上，同時會加上NAT設備選定的TCP埠。所以，NAPT又被分為對稱型NAT和非對稱型NAT。

對稱型NAT

該類型的NAT也被稱為圓錐型NAT，可將私有地址設備用一個IP連接外面的伺服器，在NAT伺服器上映射的否是同一個IP地址，換句話說就是私有地址和埠在NAT上都只有一個出口，屬於一對多的關系。

非對稱型NAT

什麼是非對稱型NAT？其實，圓錐型NAT也可以被稱為非對稱型NAT。非對稱型NAT和對稱型NAT相反，它能為每一個新的繪畫分配新的埠號，而對稱型NAT不保證會話中的私有地址、埠之間的一致性。

當然，NAT技術不僅僅上述幾個，它的技術種類非常多，不同技術應用於不同網路需求。而花生殼內網穿透採用的內網穿透技術是NAT-DDNS技術，主要是利用動搖域名服務和網路地址轉化的伺服器實現公私網動態映射的方法。該技術和傳統DDNS技術相比較，其難度系數較大，主要是採用域名+埠的訪問方式。

NAT是數據網路必備技術，它往往會應用於數據中心的網路出口處，實現數據中心內部訪問外部的目的，或者外部訪問內部數據的流量要經過NAT設備，確保訪問的安全性。一旦NAT出現問題，往往會造成網路訪問阻礙，甚至會出現數據安全性問題。

內網穿透的功能可以擺脫無公網IP及NAT轉發導致無法使用的問題，同時支持公網IP解析，解決了國內用戶所面臨的動態域名解析的難題，也讓互聯網中的所有朋友都能訪問，十分方便。

H. 私有IP地址與公有IP地址是怎樣轉換的

在路由器里做NAT地址轉換，通常是有3種虧汪轉換形式`1，靜態轉換，1對1，一個內網地址對應一個外網地址，路由接到對這個外網地址的請求直接轉到對應的內網地址2，輪流轉換的，一般是多對多，比如說有3個內網地址192.168.1.1 1.2和1.3，有2個公網地址 x.x.x.1和x.x.x.2，路由接到x.1的請求，轉給1.1，接到x.2的請求轉給1.2，又接到x.1的請求轉給液友1.3，這樣輪流3，單IP多埠，多對1，一堆內網地址對應一個公網地址，公網地址用同一個IP不同的埠對應內網不同的IP，比如公網IPx.x.x.1：1對應192.168.1.1，IPx.x.x.1：2對應192.168.1.2，鬧空槐等等，一般網吧都用這種`

I. 域名與IP地址之間的轉換是通過什麼伺服器來進行的

DNS伺服器。

DNS（Domain Name System，域名系統），網際網路上作為域名和IP地址相互映射的一個分布式資料庫，能夠使用戶更方便的訪問互聯網，而不用去記住能夠被機器直接讀取的IP數串。通過主機名，最終得到該主機名對應的IP地址的過程叫做域名解析（或主機名解析）。

(9)私有地址通過什麼伺服器轉換擴展閱讀：

DNS通過允許一個名稱伺服器把他的一部分名稱服務（眾所周知的zone）「委託」給子伺服器而實現了一種層次結構的名稱空間。此外，DNS還提供了一些額外的信息，例如系統別名、聯系信息以及哪一個主機正在充當系統組或域的郵件樞紐。

任何一個使用IP的計算機網路可以使用DNS來實現他自己的私有名稱系統。盡管如此，當提到在公共的InternetDNS系統上實現的域名時，術語「域名」是最常使用的。

這是基於504個全球范圍的「根域名伺服器」（分成13組，分別編號為A至M）。從這504個根伺服器開始，餘下的Internet DNS名字空間被委託給其他的DNS伺服器，這些伺服器提供DNS名稱空間中的特定部分。