NAT简单理解

Posted 2023-04-12

参考技术A 一、静态NAT

静态NAT：即端口映射（一对一映射）

1)静态NAT实现了私有地址和公有地址的一对一映射

2)一个公网ip只会分配给唯一且固定的内网主机

例如将内网web服务器映射到公网，让公网用户可以直接访问内网web服务

如果想让连接在 Internet 上的计算机能够使用某个私有 网络 上的 服务器 （如网站 服务器 ）以及应用 程序 （如游戏），那么静态映射是必需的。静态映射不会从 NAT 转换表中删除。

在静态NAT方式中， 内部的IP地址与公有IP地址是一种一一对应的映射关系 ，所以，采用这种方式的前提是，机构能够申请到足够多的公网IP地址。

二、动态NAT

动态NAT基于地址池来实现私有地址和公有地址的转换

动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号，对于频繁的远程联接也可以采用动态NAT。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。

动态NAT方式适合于 当机构申请到的全局IP地址较少，而内部网络主机较多的情况。内网主机IP与全局IP地址是多对一的关系。 当数据包进出内网时，具有NAT功能的设备对IP数据包的处理与静态NAT的一样， 只是NAT table表中的记录是动态的，若内网主机在一定时间内没有和外部网络通信，有关它的IP地址映射关系将会被删除，并且会把该全局IP地址分配给新的IP数据包使用，形成新的NAT table映射记录。

三、网络地址端口转换

网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口

网络地址端口转换分为两种：SNAT + DNAT

1、SNAT

SNAT 即我自己转换成公网地址，访问外网（我在内网），主动访问公网，主动

SNAT： 我们平时在局域网中有好多内网服务器或者终端，要访问公网，这种NAT实现方式就叫做SNAT，也叫作PAT

通过修改IP地址和端口的方法就可以使内网中所有的主机都能访问外网，此类NAT适用于组织或机构内只有一个合法的IP地址的情况

2、DNAT

DNAT 即别人从外网访问我（我在内网），被别人访问，被动

DNAT： 这种方式适用于内网的某些服务器需要为外网提供某些服务的情况。例如 内网web服务器集群（ip地址分别为：10.1.1.1,10.1.1.2,10.1.1.3等）需要为外网提供WEB 服务，当外网主机HostB访问内网时，所发送的数据包的目的IP地址为10.1.1.20，端口号为：80，当该数据包到达内网连接的路由器时，路由器查找NAT table，路由器通过修改目的IP地址和端口号，将外网的数据包请求平均分发到不同的主机上（10.1.1.1,10.1.1.2,10.1.1.3等），这样就实现了负载均衡。

四、Easy IP

Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口

五、图解NAT

图解可以参考：https://www.idcbest.com/idcnews/11003641.html

网络：NAT使用场景

NAT：Network Address Translation  网络地址转换

使用场景：家庭局域网，公司局域网的网络设备没有公网IP地址如何访问互联网？

 

简单图示：

理解一些原理：

1，互联网中网络设备互相访问时基于IP地址的

2，我们把发起一方的IP叫做源IP，被访问的一方叫做目的IP

3，源IP如何找到目的IP，是基于路由（route），也即网络设备中存放的路由表（routing table）

4,我们内网PC一般会有一个网关，即有一条到达网关的路由，但是互联网上有几十亿个ip地址，我们不可能在电脑上存放那么多的路由条目。其实几遍我们真的写了一条这样的路由（Cisco静态路由）：ip route  202.100.1.2 255.255.255.250 202.100.1.1  那么人家回包的时候更根本不认识192.168.1.1这样的地址，因为这个地址在全世界到处都是。

5，但是我们的网关设备一般会有一个默认路由目的IP为0.0.0.0，表示任意地址，我们只需指明下一跳即可，这样运营商帮我们解决后续数据包的传递

6，所以，综上的意思为：我们内网PC不能直接访问互联网，但是我们的网关设备可以，那我们的电脑怎么上网呢？

7，因此出现NAT技术，它的作用就是帮助把内网的IP地址可以转换为公网的IP地址

 

我也理解的不是很深刻，欢迎交流，指正！

下面贴下我管理的飞塔防火墙的配置吧！