采用網(wǎng)絡(luò)地址翻譯(NAT，etwork Address Translation)可以減少對合法注冊地址的需求。簡單地說，NAT就是在內(nèi)部專用網(wǎng)絡(luò)中使用內(nèi)部地址(不可路由)，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外界網(wǎng)絡(luò)發(fā)生聯(lián)系時，就在邊緣路由器或者防火墻處，將內(nèi)部地址替換成全局地址，即可路由的合法注冊地址，從而在外部公共網(wǎng)上正常使用，其具體的做法是把IP包內(nèi)的地址域用合法的IP地址來替換。

在任一時刻，如果內(nèi)部網(wǎng)絡(luò)中只有少數(shù)節(jié)點(diǎn)與外界建立連接，那么就只有少數(shù)的內(nèi)部地址需要被轉(zhuǎn)化成合法地址，從而減少對合法地址的需求。同時還可以使多個內(nèi)部節(jié)點(diǎn)共享一個外部地址，使用端口進(jìn)行區(qū)分(NAPT)，這樣就能更有效地節(jié)約合法地址。

利用雙向NAT轉(zhuǎn)換技術(shù)，還可隱藏內(nèi)部真實的網(wǎng)絡(luò)地址，降低黑客入侵的成功率。在內(nèi)部網(wǎng)絡(luò)通過內(nèi)部網(wǎng)卡訪問外部網(wǎng)絡(luò)時將產(chǎn)生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過外部網(wǎng)卡與外部網(wǎng)絡(luò)連接，這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過外部網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。

NAT功能通常被集成到路由器、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中。NAT設(shè)備維護(hù)一個狀態(tài)表，用來把內(nèi)部的口地址映射到合法的IP地址上去。每個包在NAT設(shè)備中都被翻譯成正確的IP地址發(fā)往下一級，這雖然會給處理器帶來了一定的負(fù)擔(dān)，但對于一般的網(wǎng)絡(luò)來說是微不足道的。

需要注意的是，NAT并不是一種有安全保證的方案，它不能提供類似防火墻、包過濾、隧道等技術(shù)的安全性，僅僅在包的最外層改變IP地址。

NAT有靜態(tài)轉(zhuǎn)換NAT(Static NAT)、動態(tài)轉(zhuǎn)換(Pooled NAT)和端口地址轉(zhuǎn)換三種類型。

靜態(tài)轉(zhuǎn)換NAT是最簡單的一種轉(zhuǎn)換方式，它在NAT表中為每一個需要轉(zhuǎn)換的內(nèi)部地址創(chuàng)建了固定的轉(zhuǎn)換條目，映射了惟一的全局地址。內(nèi)部地址與全局地址一一對應(yīng)。每當(dāng)內(nèi)部節(jié)點(diǎn)與外界通信時，內(nèi)部地址就會轉(zhuǎn)化為對應(yīng)的全局地址



動態(tài)轉(zhuǎn)換(亦稱NAT池)增加了網(wǎng)絡(luò)管理的復(fù)雜性，但也提供了很大的靈活性。它將可用的全局地址地址集定義成NAT池(NAT Poo1)。對于要與外界進(jìn)行通信的內(nèi)部節(jié)點(diǎn)，如果還沒有建立轉(zhuǎn)換映射，邊緣路由器或者防火墻將會動態(tài)地從NAT池中選擇全局地址對內(nèi)部地址進(jìn)行轉(zhuǎn)化。每個轉(zhuǎn)換條目在連接建立時動態(tài)建立，而在連接終止時會被回收。這樣，網(wǎng)絡(luò)的靈活性大大增強(qiáng)了，所需要的全局地址進(jìn)一步減少。值得注意的是，當(dāng)NAT池中的全局地址被全部占用以后，以后的地址轉(zhuǎn)換申請會被拒絕。這樣會造成網(wǎng)絡(luò)連通性的問題。為了解決這個問題，許多有NAT功能的路由器有超時配置功能。在配置成開始的指定時間后刪除當(dāng)前的NAT進(jìn)程，為后續(xù)的NAT申請預(yù)留出外部IP地址。通過試驗表明，一般的外部連接不會很長，所以短的時間閾值也可以接受。當(dāng)然用戶可以自行調(diào)節(jié)時間閾值，以滿足各自的需求。

采用NAT池意味著可以在內(nèi)部網(wǎng)中定義很多的內(nèi)部用戶，通過動態(tài)分配的辦法，共享很少的幾個外部IP地址。而靜態(tài)NAT則只能形成一一對應(yīng)的固定映射方式。NAT池在提供很大靈活性的同時，也影響到網(wǎng)絡(luò)原有的一些管理功能。例如，SNMP管理站利用IP地址來跟蹤設(shè)備的運(yùn)行情況。但使用NAT之后，意味著那些被翻譯的地址對應(yīng)的內(nèi)部地址是變化的，同一地址今天可能對應(yīng)一臺工作站，明天就可能對應(yīng)一臺服務(wù)器，這給SNMP管理帶來了麻煩。一個可行的解決方案是把劃分給NAT池的那部分地址在SNMP管理平臺上標(biāo)記出來，對于這些不響應(yīng)管理信號的地址不予報警，如同它們被關(guān)掉了一樣。

端口地址轉(zhuǎn)換(NAPT，Network Address Port Translation)是動態(tài)轉(zhuǎn)換的一種變形。它可以使多個內(nèi)部節(jié)點(diǎn)共享一個全局IP地址，而使用源和目的節(jié)點(diǎn)的TCP／UDP的端口號來區(qū)分NAT表中的轉(zhuǎn)換條目及內(nèi)部地址。這樣，就更節(jié)省了地址空間。假設(shè)內(nèi)部節(jié)點(diǎn)10.1.1.3，10.1.1.2都用源端口1723向外發(fā)送數(shù)據(jù)包。NAPT路由器把這兩個內(nèi)部地址都轉(zhuǎn)換成全局地址192.168.2.2，而使用不同的源端口號：1492，1723。當(dāng)接收方收到的源端口號為1492，則返回的數(shù)據(jù)包在邊緣網(wǎng)關(guān)處，目的地址和端口被轉(zhuǎn)換為10.1.1.3：1723；而接收到的源端口號為1723，目的地址被映射到10.1.1.2：1723。在以上的映射轉(zhuǎn)換中，只使用了IP地址的轉(zhuǎn)換條目被稱為簡單條目，而包含IP地址和TCP／UDP端口號的轉(zhuǎn)換條目被稱為擴(kuò)展條目。

以上所有的地址轉(zhuǎn)換功能，都是由防火墻或者邊緣路由器(即連接內(nèi)部網(wǎng)絡(luò)和公用網(wǎng)絡(luò)的路由器)完成的，而對于通信的各節(jié)點(diǎn)，無論是內(nèi)部還是外部的，都是透明的。通常情況下，NAT用于共享一個IP地址發(fā)出流向外部網(wǎng)絡(luò)的數(shù)據(jù)流，而不接受外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)出的連接請求的地方，比如多節(jié)點(diǎn)用戶、遠(yuǎn)程的工作點(diǎn)、小型商業(yè)用戶等。具體地說，就是通過ISDN、DSL(Digital Subscriber Line)、cable modem連接的小型局域網(wǎng)。雙向的靜態(tài)NAT／NAPT常被安裝在有防火墻的大型企業(yè)使用。另外，當(dāng)ISP的地址發(fā)生變化時，如果企業(yè)不想改變自己的地址規(guī)劃，也會用到NAT技術(shù)。

NAT技術(shù)可以節(jié)約地址空間，簡化配置，使網(wǎng)絡(luò)規(guī)劃更靈活。但是，它對網(wǎng)絡(luò)應(yīng)用帶來了一定的影響，也給網(wǎng)絡(luò)管理帶來了一定的復(fù)雜性。