深入淺出 NAT:保護內部網路並應對 IPv4 枯竭的救星

發表於 分類於

隨著對 IP 地址和路由的深入了解,可能已經開始意識到,儘管 IP 地址 是網路世界中每個設備的唯一「身份證」,但 IPv4 地址的數量是有限的。全球有數十億甚至更多的設備需要連接到網際網路,這對於總量約 43 億的 IPv4 地址來說,無疑是杯水車薪。

那麼,現代家庭或辦公室裡,為什麼數十個設備(手機、電腦、平板、智慧家電)都可以同時上網,卻只需要一個「公網 IP」呢?這背後的神奇技術,就是這篇文章要深入探討的「網路地址轉換」—— NAT (Network Address Translation)

什麼是 NAT?

NAT (Network Address Translation) 是一種在 IP 封包到達路由器邊界時,透過修改其 IP 地址資訊,使得多個設備可以共用一個公共 IP 地址上網的技術。它主要工作在 OSI 模型的第三層(網路層),或 TCP/IP 模型中的網路層。

可以將 NAT 想像成一位網路世界的「翻譯官」或「前台接待員」。

  • 比喻:公司前台的電話機
    • 一家公司對外只有一個總機號碼(公網 IP)。
    • 公司內部有許多分機(私有 IP),員工用分機打電話。
    • 當內部員工打電話給外部時,總機負責將分機號碼「偽裝」成總機號碼打出去。
    • 當外部電話打進總機,總機會根據之前的紀錄(或指示),將電話轉接到內部特定的分機。

在這個比喻中,路由器就是總機,公網 IP 是總機號碼,內部電腦的私有 IP 就是分機號碼。

NAT 的主要目的

NAT 的出現,主要解決了以下幾個關鍵問題:

  1. 緩解 IPv4 地址枯竭:這是最主要的原因。透過讓多個內部設備共用少量的公共 IP 地址,極大地延緩了 IPv4 地址的耗盡速度。
  2. 提升網路安全性:由於外部網路無法直接看到或存取內部網路設備的私有 IP 地址,這為內部網路提供了一層額外的保護,像是一個「隱形披風」。
  3. 靈活性與簡化網路管理:當內部網路需要修改 IP 配置時(例如更換 ISP),只需修改路由器的公網 IP,內部私有 IP 配置可以不變,減少了管理複雜性。

NAT 的運作方式:主要類型

根據轉換方式的不同,NAT 主要有三種類型:

1. 靜態 NAT (Static NAT)

  • 定義:將內部網路的一個特定私有 IP 地址,一對一地永久映射到一個公有 IP 地址
  • 用途:主要用於讓外部網路能夠存取內部網路中的特定伺服器(例如:Web 伺服器、FTP 伺服器),因為這些伺服器需要一個固定的公共入口。
  • 優點:簡單、穩定,外部可直接訪問。
  • 缺點:每個內部 IP 都需要一個獨特的公網 IP,無法節省公共 IP 地址,也不提供隱蔽性。
  • 比喻:公司為某位高管分配了一個專屬的直撥號碼,外部可以直接撥打到他/她的分機,但這個號碼不能給其他人用。

2. 動態 NAT (Dynamic NAT)

  • 定義:路由器維護一個可用的公共 IP 地址池 (Pool)。當內部設備需要上網時,路由器會從這個池中動態地分配一個未被使用的公有 IP 地址給它,進行一對一映射。
  • 用途:主要用於那些需要臨時公網 IP 訪問的內部設備,例如普通員工的電腦。
  • 優點:節省了公共 IP 地址,因為公網 IP 可以重複利用(當設備離線時,其分配到的公網 IP 會被釋放回池中)。
  • 缺點:仍然受限於公共 IP 地址池的大小,如果內部設備數量超過地址池數量,部分設備將無法獲得公網 IP。
  • 比喻:公司有一組對外公開的客服專線號碼。當員工需要打外部電話時,系統會自動分配一個當前空閒的客服專線號碼給他/她。

3. 埠地址轉換 / 網路地址埠轉換 (PAT / NAT Overload)

  • 定義:這是日常生活中最常用、最常見的 NAT 形式。它允許多個內部私有 IP 地址,共用一個單一的公共 IP 地址來訪問網際網路。它通過為每個連線分配不同的埠號 (Port Number) 來區分不同的內部會話。
  • 用途:絕大多數家用路由器、小型辦公室網路都使用 PAT。它極大地節省了 IPv4 地址。
  • 優點:最大限度地節省公共 IP 地址,一個公網 IP 可以支持數千個內部設備同時上網。
  • 缺點
    • 無法直接從外部主動連接內部設備:因為外部設備只看到路由器的公網 IP 和埠號,不知道對應哪個內部設備。除非透過「埠轉發 (Port Forwarding)」或「DMZ 主機」進行特殊配置。
    • 對某些應用程式可能產生兼容性問題:尤其是一些對 IP 和埠號有嚴格要求的舊應用程式。
  • 比喻:公司對外只有一個總機號碼。當內部員工打電話給外部時,總機會在撥出的號碼後面加上一個分機號碼(埠號)來標示是哪個員工打的。外部電話回撥到總機時,總機就知道要轉接給哪個分機。

PAT 範例:

想像一下,家庭路由器只有一個公網 IP:203.0.113.10

  1. 你的電腦 (192.168.1.100) 訪問 Google 網站 (假設目的埠 80)。
    • 路由器會記錄:內部 192.168.1.100:12345 -> 外部 203.0.113.10:50000 (這裡的 12345 和 50000 都是源埠號,50000 是路由器為此次連接分配的唯一埠)
  2. 你的手機 (192.168.1.101) 同時訪問 Facebook 網站 (假設目的埠 80)。
    • 路由器會記錄:內部 192.168.1.101:54321 -> 外部 203.0.113.10:50001 (又分配了一個不同的埠)

當 Google 或 Facebook 的伺服器回應資料時,它們將資料發送到 203.0.113.10 和路由器為其分配的特定埠(例如 5000050001)。路由器收到後,查詢其 NAT 表,就能準確地將回應轉發回你的電腦或手機。

NAT 的安全性考量:好處與限制

NAT 在提供地址隱蔽性的同時,也帶來了一些安全上的特性:

  • 隱藏內部拓撲:外部攻擊者無法直接掃描內部網路的 IP 地址,提高了匿名性。
  • 自然的防火牆作用:由於外部無法主動發起對內部私有 IP 的連線(除非設定特殊規則),NAT 在某種程度上扮演了非狀態防火牆的角色,阻擋了許多未經請求的外部連線。
  • 「埠轉發 (Port Forwarding)」為突破口:如果要讓外部主動存取內部伺服器,就需要在路由器上設定「埠轉發」,將特定埠從公網 IP 映射到內部私有 IP 的特定埠。這會打開一個「孔」,需要謹慎配置。

結論

NAT 是一項實用的網路技術,它在解決 IPv4 地址枯竭問題上功不可沒,同時也為我們的內部網路提供了一層隱形的保護。無論是家用的 Wi-Fi 路由器,還是企業級的網路設備,NAT 都扮演著不可或缺的翻譯官角色,讓私有網路設備能夠順暢無阻地與網際網路進行溝通。

理解 NAT 的原理和不同類型,能幫助我們更好地配置和管理自己的網路,並對資料流動有更清晰的認識。