NAT

Posted 2021-03-02 tmjblog

NAT

4.1 NAT概述

NAT的出现时为了解决IPV4地址不足的问题。

NAT是将IP数据包头中的IP地址转换成另一个IP地址的过程，主要用于实现内部网络（私有IP地址）访问外部网络地址（公有IP地址）的功能。

4.2 NAT分类

4.2.1 Basic NAT

属于一对一地址转换，在这种方式下只转换IP地址，而不处理TCP/UDP协议的端口号。

基本原理：

1. Router收到内网Host发送的访问公网server的报文，假设其IP地址为10.1.1.100

2. Router从地址池中选取一个空闲的公网IP地址，建立与内网报文源的IP地址间的NAT正反转换表项，并根据查找的正向NAT表项的结果将报文转换后向公网发送。

3. router收到公网server的回应报文，根据其目的地址查找反向NAT表项，根据查表结果将报文发送到内网host。

静态NAT

在NAT转换时内网host的IP地址与公网IP一对一静态绑定。

Basic NAT未实现公网地址的复用，不能有效解决IP地址短缺的问题，因此在实际应用中并不常用。

4.2.2 NAPT

网络地址端口转换NAPT可以实现并发的地址转换。通过使用“IP地址+端口号”的形式进行转化，允许多个私有IP地址映射到同一个公有地址上，因此也被称为“多对一地址转换”或地址复用。

基本原理:

1. router收到内网Host发送的访问公网server的报文，假设Host A报文的源地址是10.1.1.100，端口号1025.

2. router从地址池中选出一对空闲的“公网IP地址+端口号”，建立与内网报文“源IP地址+源端口号”正反转换表项，并根据查找的正向NAPT的表项将报文发出。

3. router收到公网的回应报文后，根据查找反向NAPT表项的结果将报文转换后发送到内网host。

静态NAPT

将私网host的IP静态绑定指定公网范围内的IP，不能ACL过滤，需要映射公网IP和端口号。

4.3 NAT的实现

4.3.1 Easy IP

可以利用访问控制列表来控制哪些内部地址进行地址转换。

这种方式特别适合小型局域网访问Internet，一般是内部主机较少，出接口通过拨号方式获得临时公网IP地址的情况。

4.3.2 NAT Server

NAT具有“屏蔽”内部主机的作用，但有时需要内网向外网提供服务，此时就需要外网用户可以随时访问内网服务器，这种情况下就需要内网的服务器不被屏蔽。直接映射公网IP。

基本原理：

外网访问内网服务器时，通过事先配置好的“公网IP地址+端口号”与“私网IP地址+端口号“的映射关系进行转换，内网访问外网时亦是如此。

4.2.4 Twice NAT

指源IP地址和目的地址同时转换，该技术应用于内部网络主机地址与外部网络上主机地址重叠的情况。