NAT 為何要關?主點跟分點才能互聯,這通常出現在企業透過 VPN(如 IPsec VPN) 或是 專線 連接總部(主點)與分公司(分點)的架構中。
簡單來說,NAT(網路位址轉譯)的本質是「隱藏」真實 IP,而互聯的本質是「辨識」真實 IP。
這兩者在特定設定下會產生衝突。
以下是為什麼在互聯架構中通常需要「繞過 NAT」或「關閉特定 NAT」的原因:
1. NAT 會「弄丟」對方的身分
NAT 的主要工作是將私有 IP(例如 192.168.1.10)轉換成一個對外的公有 IP。
在互聯時: 主點的伺服器需要直接看到分點電腦的真實私有 IP,才能準確地把資料送回去。
如果開了 NAT: 分點送出的資料會被轉換成數據機的公有 IP。主點回傳資料時,會撞到分點數據機的防火牆,導致連線中斷,因為數據機不知道這份資料該給裡面哪一台電腦。
2. VPN 隧道與 NAT 的衝突
當主點與分點建立 VPN 隧道(Site-to-Site VPN)時,兩端的路由器會約定:「只要是去往對面網域的資料,就進隧道」。
衝突點: 如果路由器先執行了 NAT,封包的目標 IP 或來源 IP 就會被改掉,導致封包不符合 VPN 隧道的約定規則,資料就不會進隧道,而是直接跑去公眾網路,導致互聯失敗。
3. 「互聯」追求的是點對點直接通訊
在企業內部網路中,我們希望主、分點像是在同一個大辦公室一樣。
關閉 NAT (或設定 NAT Exemption): 確保 192.168.1.x (主點) 可以直接看到 192.168.2.x (分點)。
這樣一來,不論是開會軟體、檔案伺服器或是列印機,都能像在區域網路內一樣直接連線,不需要經過複雜的連接埠轉送 (Port Forwarding)。
NAT 是變裝:它讓大家都戴上同一個面具(公有 IP)上網。
互聯要認人:公司內部連線需要認出你是哪一台電腦(私有 IP)。
為什麼要關:為了不讓 NAT 把私有 IP 蓋掉,讓兩邊的電腦能「開門見山」直接溝通,資料才不會走錯路或被防火牆擋掉。
留言功能已依作者設定調整顯示方式