一、NAT的基本工作原理

在RFC1631中对NAT有很多描述，非常类似与CIDR（Classless Inter-Domain Routing，无类别域间路由），NAT设计之初的目的是解决IP地址不足的问题，慢慢地其作用发展到隐藏内部地址、实现服务负载均衡、完成端口地址转换等功能。

NAT完成将IP报文报头中的IP地址转换为另一个IP地址的过程，主要用于实现内部网络（简称内网，使用私有网路IP地址）访问外部网络（简称外网，使用公共网络IP地址）的功能。NAT功能一般部署在连接内网和外网的网关设备上。当收到的报文源地址为私有网络（简称私网）地址、目的地址为公共网络（简称公网）地址时，采用NAT功能可以将源私网地址转换成公网地址。这样公网目的地就能够收到报文，并做出响应。此外，在网关上还会创建一个NAT映射表，以便判断从公网收到的报文应该发往的私网目的地址。

所谓公网是由运营商运维的互联网，是指除RFC1918规定的私网IP地址之外的公网IP地址组成的互联网。在公网上不能路由私网的IP地址，私网IP地址范围包括：

A类IP地址——10.0.0.0~10.255.255.255

B类IP地址——172.16.0.0~192.31.255.255

C类IP地址——192.168.0.0~192.168.255.255

这意味着这些地址都不能出现在互联网上，只可以在企业、家庭内部使用（而且不同企业之间完全不会相互影响，比如A公司可以使用10.1.1.0/24网络，B公司也可以使用10.1.1.0/24网络）。下图描述了一个典型的NAT应用，内网中的私网地址被转换完毕之后可以访问互联网（公共网络）。

我们在上图基础上进行扩展，扩展后的网络拓扑图如下所示，该图描述一个典型的内部地址在网关设备上的转换过程。在网关AR1上进行了私网IP地址192.168.1.1到公网IP地址200.10.10.1的转换配置，当网关收到主机A发送的报文后，会先将报文中的源地址192.168.1.1转换为200.10.10.1，然后将报文路由到目的设备。目的设备回复的报文目的IP地址是200.10.10.1.当网关收到回复报文后，也会执行地址转换，将200.10.10.1转换成192.168.1.1，然后转发报文到主机A。和主机A在同一网络中的其他主机，如主机B，访问公网的过程也需要网关AR1完成NAT。

二、NAT的实现

在华为设备上实现NAT的基本方式有：

Basic NAT

NAT 服务器

动态 NAT

Easy IP

1.Basic NAT方式

Basic NAT方式是一对一的、静态的地址转换方式，在这种方式下，只转换IP地址，而不处理TCP/UDP的端口号。一个公网IP地址不能同时被多个私网用户使用，静态Basic NAT方式并不能起到节约IP的作用，所以应用场景较少。

2.NAT服务器

NAT功能在使内网用户访问公网的同时，也满足了公网用户访问私网主机的需求。当一个私网需要向公网用户提供Web和FTP等服务时，私网中的服务器必须随时向公网用户提供访问，NAT服务器可以满足这个需求，但是需要通过配置将服务器私网IP地址和端口号转换为公网IP地址和端口号并发布出去。路由器在收到一个公网主机的请求报文后，根据报文的目的IP地址和端口号查询地址转换表项，路由器根据匹配的地址转换表项，将报文的目的IP地址和端口号转换成私网IP地址和端口号，并将报文转发给私网中的服务器。该技术可以起到“隐藏”服务器的目的，是现网常用的技术。

3.动态NAT

动态NAT基于地址池实现私有地址与公有地址的转换。动态NAT首先要定义合法地址池，然后采用动态分配地方法映射到内部网络。动态NAT是动态一对一的映射，每台主机都会分配到地址池中的一个唯一地址。当网关收到回复报文后，会根据之前的映射再次进行转换之后转发给对于主机。当不需要此连接时，对应的地址映射将会被删除，相应的公网地址也会重新出现在地址池中待用。该功能也称为NAPT（网络地址端口转换）。

4.Easy IP

Easy IP方式利用访问控制列表来控制哪些内部地址可以进行地址转换。Easy IP方式特别适合中小型局域网访问Internet情况，此时内部主机较少、出端口通过拨号方式获得临时公网IP地址以供内部主机访问Internet。对于这种情况，可以使用Easy IP方式使局域网用户都通过这个临时公网IP地址接入Internet。该技术很多时候和PPPoE结合起来使用。

网络安全技术——网络地址转换（NAT）相关推荐

【计算机网络】Internet原理与技术2（因特网的路由协议RIP、OSPF、BGP，网络地址转换NAT，网络协议IPv6）
Internet原理与技术因特网的路由协议自治系统与路由协议分类(IGP.EGP) 内部网关协议 - RIP [例]RIP路由信息表的交换 RIP工作过程内部网关协议 - OSPF 外部网关协议 ...
网络层：虚拟专用网VPN和网络地址转换NAT
1.网络层:虚拟专用网VPN和网络地址转换NAT 笔记来源: 湖科大教书匠:虚拟专用网VPN和网络地址转换NAT 声明:该学习笔记来自湖科大教书匠,笔记仅做学习参考 1.1 虚拟专用网VPN 专用网和 ...
如何配置网络地址转换(NAT)—Vecloud微云
什么是 NAT? 网络地址转换(NAT)为IP地址保存设计. 这使得采用未注册IP地址的专用IP网络可以连接到Internet. NAT在路由器上运行,通常将两个网络连接在一起,并在数据包转发到另一个 ...
网络地址转换 NAT
网络地址转换 NAT 先来介绍一下NAT,NAT(网络地址转换)是一种将一个IP地址域映射到另一个IP地址域技术,从而为终端主机提供透明路由.NAT包括静态网络地址转换.动态网络地址转换.网络地址及端 ...
第四章.网络层：4.8虚拟专用网和网络地址转换NAT
文章目录 4.8.1 虚拟专用网VPN 1. 本地地址与全球地址 2. RFC 1981指明的专用IP地址 3. 专用网 4. 虚拟专用网VPN 5. 虚拟专用网VPN的构建 6. 用隧道技术实现虚拟 ...
独立IP和共享IP、网络地址转换NAT
独立IP和共享IP: 我们在购买虚拟主机的时候经常看到"独立IP"这个词.那究竟什么是"独立IP",它的原理是怎样的? IP地址是由32位(bit)字组成,分成 ...
计算机网络王道考研2021 第四章：网络层 -- lPv4地址、私有IP地址、网络地址转换 (NAT)、WAN / LAN
文章目录 1. lPv4地址 1.1 IP地址 1.2 IP编址的历史阶段 1.3 分类的IP地址 1.4 互联网中的IP地址 1.5 特殊lP地址:不能作为主机或者路由器的具体接口标识 1.6 私有 ...
【转载】网络地址转换(NAT)和端口映射
网络地址转换(NAT) 1.1 NAT的应用场景 (1)应用场景:允许将私有IP地址映射到公网地址,以减缓IP地址空间的消耗 ①需要连接Internet,但主机没有公网IP地址 ②更换了一个新的ISP ...
虚拟专用网VPN与网络地址转换NAT技术
1.专用网络或本地互联网一方面现在随着个人电脑的增大,IP地址十分紧缺,所以如果为每一台电脑都分配个一个全球IP地址(唯一的)不太现实:另外一方面,很多机构(比如大公司)往往只需要进行内部通信,按理 ...
【计算机网络】湖科大微课堂笔记 p54-56 IPv4数据报的首部格式、网际控制报文协议ICMP、虚拟专用网VPN与网络地址转换NAT
文章目录 IPv4数据报的首部格式小结一些例题网际控制报文协议ICMP 小结一些例题虚拟专用网VPN与网络地址转换NAT 小结 IPv4数据报的首部格式版本首部长度.可选字段.填充字段 ...

网络安全技术——网络地址转换（NAT）

1.NAT的操作与实现；

2.配置NAT；

3.NAT的一些潜在问题。