我们使用 Xen 虚拟机的时候一般都是用桥接（bridging）的方式把虚拟机（domU）直接暴露在网络上，就像网络上单独的一台服务器一样，这种方式简单好用，不用在 dom0 做任何的端口转发也不用任何 iptable 规则。不过除了 bridging 以外，Xen 还支持 routing 和 NAT 的方式配置虚拟机网络。

    到底什么是NAT呢？在不同的领域里估计有不同的含义，本文里的NAT特指计算机网络领域的专有名词Network Address Translation，翻译成中文是网络地址转换。（在此，特别声明，以下要描写的东西，都是对该概念的基本内涵的个人理解，并没有什么新鲜的东西，也不保证正确，感兴趣请参阅《计算机网络》第四版）

    NAT是在传输层及以上做的，传输层最主要的2个协议是TCP和UDP。对于TCP和UDP而言，每个包都有很基本的4个要素：src ip、src port、dst ip、dst port。 根据在做NAT的时候是否保留src ip和src port，可以把NAT分为这么三种： Cone: 将src ip映射到一个固定的IP，并且将src port映射到一个固定的Port，无论dst ip和dst port是什么。 Single IP address, symmetric：将src ip映射到一个固定的IP，将src port映射到一个随机的port，但是保证对于相同的(dst ip,dst port), src port始终相同。（否则双方没法通话啊，回来的包回给哪个端口呢？） Multiple IP address, symmetric:与上面类似，但是src ip可能会有多个。