NAT har många användningsområden, men dess främsta syfte är att spara på publika IPv4-adresser. Det gör NAT genom att låta nätverk använda privata IPv4-adresser internt och översätta dem till publika adresser endast när det behövs. En upplevd fördel med NAT är att det tillför en viss nivå av integritet och säkerhet, eftersom det döljer interna IPv4-adresser från externa nätverk.

Routrar med NAT aktiverat kan konfigureras med en eller flera giltiga publika IPv4-adresser. Dessa publika adresser kallas för NAT-pool. När en enhet inifrån nätverket skickar trafik ut mot internet, översätter routern den interna IPv4-adressen till en publik adress från NAT-poolen. För externa enheter ser all trafik som går in och ut från nätverket ut att komma från en publik IPv4-adress i den angivna poolen.

En NAT-router är vanligtvis placerad vid gränsen till ett så kallat stubb nätverk. Ett stubb nätverk är ett eller flera nätverk med en enda anslutning till ett angränsande nätverk – det finns alltså bara en väg in och en väg ut. I exemplet i figuren fungerar R2 som en gräns-router. Sett från internetleverantörens perspektiv utgör R2 ett stubb nätverk.

När en enhet inne i stubb nätverket vill kommunicera med en enhet utanför nätverket, skickas paketet vidare till gräns-routern. Gräns-routern utför NAT-processen genom att översätta enhetens interna privata adress till en publik, extern och routbar adress.

Observera: Anslutningen till internetleverantören (ISP) kan använda en privat adress eller en publik adress som delas mellan flera kunder. I den här modulen visas ett exempel med en publik adress.

I det här exemplet vill PC1, som beskrivs på ett annat sätt i bilderna nedan där PC1 har en privat IP-adress (192.168.10.10), vill kommunicera med en extern webbserver som har en publik IP-adress (209.165.201.1).

PC1 skickar ett paket till webbservern. Source-adressen i paketet är PC1:s privata IP-adress (192.168.10.10), och destinationsadressen är serverns publika IP-adress (209.165.201.1). Paketet når gräns-routern (R2) som är NAT-aktiverad. Den är placerad mellan det interna nätverket och internet.

Routern kontrollerar sin NAT-tabell för att se om det redan finns en översättning för 192.168.10.10. Om inte, skapar den en ny översättning. Den privata IP-adressen översätts till en publik IP-adress (209.165.200.226). Det är denna adress som används som inside global address. Routern ersätter avsändaradressen i paketet med den publika IP-adressen (209.165.200.226) och skickar vidare paketet till webbservern på internet.

Webbservern svarar genom att skicka ett paket tillbaka till den publika IP-adress som den såg som avsändare (209.165.200.226). Routern tar emot svaret och använder sin NAT-tabell för att se vilken privat IP-adress som hör till den publika adressen. Routern översätter tillbaka den publika IP-adressen till PC1:s privata adress (192.168.10.10) och skickar svaret till rätt enhet i det interna nätverket.

NAT-terminologi

I exemplet ovan används flera termer som är centrala inom NAT. För att förstå hur NAT fungerar behöver dessa begrepp förklaras och sättas i sitt sammanhang.

I NAT-sammanhang syftar insidan på det nätverk där adresser översätts, medan utsidan avser alla andra nätverk utanför det lokala.

Vid användning av NAT får IPv4-adresser olika benämningar beroende på om de tillhör det privata (interna) nätverket eller det publika (externa), och beroende på om trafiken är utgående eller inkommande.

NAT använder fyra typer av adresser:

• Inside local address
• Inside global address
• Outside local address
• Outside global address

När man bestämmer vilken typ av adress som används är det viktigt att komma ihåg att NAT-termer alltid utgår från perspektivet av den enhet vars adress översätts:

• Inside address – Adressen på den enhet som NAT översätter.
• Outside address – Adressen på den enhet som är destination.

NAT använder också begreppen local och global i samband med adresser:

• Local address – En adress som finns i den inre delen av nätverket (insidan).
• Global address – En adress som finns i den yttre delen av nätverket (utsidan).

Adressers roller

Begreppen inside och outside kombineras med local och global för att beskriva specifika adressernas roller. NAT-routern, R2 i figuren, utgör gränsen mellan insidan och utsidan. R2 är konfigurerad med en pool av publika adresser som kan tilldelas interna enheter. Titta på sista bilden i exemplet ovan för att följa förklaringen av varje NAT-adresstyper.

• Inside local address – Detta är source-adressen sett från insidan av nätverket. Det är oftast en privat IPv4-adress. I figuren har PC1 adressen 192.168.10.10, vilket är dess inside local address.
• Inside global address – Detta är source-adressen sett från det externa nätverket. Det är vanligtvis en globalt routbar IPv4-adress. När PC1 skickar trafik till webbservern på 209.165.201.1, översätter R2 den inside local address till en inside global address. I detta fall ändrar R2 IPv4-källadressen från 192.168.10.10 till 209.165.200.226.
• Outside global address – Detta är destinationens adress sett från det externa nätverket. Det är en globalt routbar IPv4-adress tilldelad till en värd på internet. Exempelvis är webbservern tillgänglig på adressen 209.165.201.1. Ofta är outside local och outside global address samma adress.
• Outside local address – Detta är destinationens adress sett från det interna nätverket. I det här exemplet skickar PC1 trafik till webbservern med IPv4-adress 209.165.201.1. Även om det är ovanligt kan denna adress skilja sig från den globalt routbara adressen till destinationen.

Sammanfattning

PC1 har en inside local address på 192.168.10.10. Ur PC1:s perspektiv har webbservern en outside address på 209.165.201.1. När paket skickas från PC1 till servern översätts inside local address 192.168.10.10 till inside global address 209.165.200.226. Destinationens adress (webbservern) översätts normalt inte, eftersom det vanligtvis redan är en publik IPv4-adress.

Observera att PC1 har olika local och global adresser, medan webbservern har samma publika IPv4-adress oavsett perspektiv. Ur webbserverns synvinkel ser trafiken från PC1 ut att komma från 209.165.200.226, det vill säga PC1:s inside global address.