2. Nat всередині локальних адрес

В іншому сценарії приватна мережа має власну приватну адресну схему, а NAT сконфігуровано на раутері, який під’єднанує внутрішню (10.1.1.0) мережу до зовнішньої (192.50.20.2) мережі з використанням публічної адресної схеми Internet. NAT може бути сконфігуровано статично або динамічно. Оскільки NAT в раутері відображає адреси між обидвома мережами, то кінцева станція не може знати дійсної IP-адреси станції – комунікаційного партнера з другого боку. Цей сценарій показаний на рис. 6.7.

Р исунок 6.7 NAT всередині локальних адрес

Коли станція A потребує доступу до зовнішньої мережі, то вона використовує одну з IP-адрес пулу, визначеного у раутері (192.50.20.1 … 192.50.20.254). Станція B знає тільки IP-адресу станції A, призначену раутером, і нічого не знає про те, що реальна адреса станції A дорівнює 10.1.1.2.

3. Динамічна nat з трансляцією номерів портів для глобальної адресації

У цьому випадку наявно більше внутрішніх IP-станцій, ніж IP-адрес у пулі NAT. Властивість трансляції номерів портів (PAT) здатна обслуговувати таку ситуацію, використовуючи відображення на гнізда (socket). Щоб різні застосування могли використовувати ті самі IP-адреси з обмеженого IP-пулу, використовується властивість перевантаження. При цьому NAT вимагає тільки унікальні порти, а не унікальні IP-адреси для встановлення сполучення між двома станціями. Цей сценарій проілюстрований на рис. 6.8. Пул NAT містить тільки одну IP-адресу – 192.50.20.1. Станція A встановлює TCP-сполучення через порт 1024 (10.1.1.2:1024) зі станцією B (192.50.20.2:23), відображаючи IP-адресу з пулу NAT. Якщо тепер станція C потребує сполучення зі станцією D, то воно могло б не відбутися, бо в пулі NAT більше немає IP-адрес, однак, це можна здійснити при наявній властивості перевантаження.

Р исунок 6.8. NAT з трансляцією номерів портів (PAT)

для глобальної адресації

У табл. показано, як NAT відображає внутрішні адреси на зовнішні, викорисовуючи IP-адресу пулу NAT.

Таблиця NAT для прикладу на рис. 6.2

Протокол (сполучення)	Внутрішнє джерело адреса:порт	Зовнішнє джерело адреса:порт	Зовнішня адреса призначення
TCP (від A до B)	10.1.1.2:1100	192.50.20.1:1024	192.50.20.2
TCP (від C до D)	10.1.1.3:1200	192.50.20.1:1025	192.50.20.3

4. Спільне використання статичної та динамічної nat

У певних випадках статична NAT, динамічна NAT, NAPT і навіть двосторонні NAT або NAPT можуть вживатися сумісно. Наприклад, організація може розмістити публічний Web-сервер зовні від “пожежної стінки” у демілітаризованій зоні, тоді як поштовий сервер і клієнти розміщені в приватній внутрішній мережі за раутером-“пожежною стінкою”, оснащеним NAT. Крім цього, приймемо, що всередині мережі є застосування, які періодично встановлюють сполучення до Internet на тривалий період часу. У цьому випадку:

• Web-сервери можуть бути досягнені з Internet без NAT, бо вони забезпечені публічними IP-адресами.

• Протокол електронної пошти (Simple Mail Transfer Protocol – SNMP), який пересилає пакети з Internet до приватного поштового сервера, потребує вхідної трансляції адрес. Оскільки цей сервер мусить бути постійно досяжний через публічну адресу, пов’язану з його входом DNS (Domain Name System – система доменних імен), то поштовий сервер потребує статичного відображення (статична NAT або таблиця віртуального сервера обмеженого призначення).

• Для більшості клієнтів практично використовувати спільне вживання публічних адрес з їх динамічним отриманням (динамічна NAT з коректно визначеним обсягом адресного пулу, або NAPT).

• Застосування, які утримують динамічно виділені адреси протягом довгого часу, можуть привести до вичерпання динамічного адресного пулу NAT і заблокувати доступ інши клієнтам. Щоб запобігти цьому, такі застосування можуть використовувати NAPT, бо вона створює можливість високого паралелізму (тисячі портів відображаються на однуIP-адресу).